На следующей неделе на конференции Black Hat запланирована (http://arstechnica.com/security/2014/07/this-thumbdrive-hack.../) демонстрация новой атаки BadUSB, для совершения которой используются USB-устройства со специально модифицированной прошивкой. В результате внесённых изменений USB-устройство может сэмулировать работу совершенно другого типа USB-устройств и вклиниться в работу системы.
Например, USB-накопитель или web-камера с интерфейсом USB в определённый момент могут сэмулировать работу USB-клавиатуры и осуществить подстановку ввода. Источником проблем также может оказаться штатная USB-клавиатура с изменённой прошивкой. Выявить факт модификации прошивки, до момента совершения атаки, проблематично, что затрудняет обнаружение и предотвращение атаки.Возможные варианты атаки могут меняться в достаточно широком диапазоне, например, вместо клавиатуры может быть симулирован сетевой адаптер, который может применяться для подмены запрашиваемого контента. Вместо специализированных USB-устройств в качестве звена для проведения атаки могут применяться и смартфоны. Например, на Black Hat будет продемонстрирована атака с использованием смартфона под управлением платформы Android.
URL: http://arstechnica.com/security/2014/07/this-thumbdrive-hack.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=40309
Не понял, что в такой атаке нового? Даже здесь на опеннете с год назад подобное пробегало
Ну это же конференция, решили поднять проблему на обсуждение. Видать были прецеденты..
ну, емнип, PS3 так и ломали
Не то что на опеннете - чуть ли не на АВТОВАЗе по-моему это было))
Вы путайте, раньше эксплуатировались конкретные уязвимости в конкретных ОС и программах. Эксплуатация была через запись неперевариваемых опрелелёнными программами данных. Например, можно было организовать запуск кода при попытке создания миниатюры вредоносной картинки.
В упоминаемом в текущей новости случае, вредоносный код интегрируется в прошивку и он абсолютно не заметен для внешнего наблюдателя.
Такая неожиданность, пля: контроллер клавиатуры может самодурничать, контроллер флехи, винча и прочих сидиромов может сектор подменить, etc. Эта тема Б-А-Я-Н, известный с еще досовых времен.
> Такая неожиданность, пля: контроллер клавиатуры может самодурничать, контроллер флехи,
> винча и прочих сидиромов может сектор подменить, etc. Эта тема Б-А-Я-Н,
> известный с еще досовых времен.Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.
> Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.Ну, справидливости ради, такие идеи действительно высказывались уже много лет назад. Скорее всего на конфенерции будет предостаточно интересной и новой информации, однако в тексте новости ни о чём новом не поведали.
Высказать идею и продемонстрировать атаку - это не одно и тоже.
а чем принципиально отличается атака от старых вирусов из DOS? помечаем блок как сбойный, копируем начало com файла в этот блок, на место начала копируем свой код - и вуаля..
тут тож самое только вид DOS принимает прошивка usb устройства
> а чем принципиально отличается атака от старых вирусов из DOS? помечаем блок
> тут тож самое только вид DOS принимает прошивка usb устройстваИ загружается резидентно, и перехватывает INT 13/INT 21, и всех-всех заражает. И всё это прямо в прошифке свистка, да!
>> а чем принципиально отличается атака от старых вирусов из DOS? помечаем блок
>> тут тож самое только вид DOS принимает прошивка usb устройства
> И загружается резидентно, и перехватывает INT 13/INT 21, и всех-всех заражает. И
> всё это прямо в прошифке свистка, да!а что не так? вроде нормальный elf, вдруг бах - и запустился левый код - не так уж сложно себя подпихнуть в область _init...
> а что не так? вроде нормальный elf, вдруг бах - и запустился
> левый код - не так уж сложно себя подпихнуть в область _init...Да куда угодно подпихнуться, лишь бы туда управление попадало.
К слову, если кто не в курсе - подобные техники это чуть ли не стандартный метод обхода техник по типу secure boot. Мысль основана на том что постоянно проверять не поменялся ли файл - слишком ресурсоемко, поэтому подпись проверяется лишь при его начальной вгрузке в память. А вот дальше за сохранностью никто особо не следит. И будь там paging или вгрузка кода по ходу пьесы - "secure" проверку подписей в половине случаев можно ненавязчиво послать, если програмеры не подумали о таком варианте атаки.
> а чем принципиально отличается атака от старых вирусов из DOS?Выполнением кода на проце периферии. В результате системный проц и его софт (антивирусы, руткит-детекторы) вот так влобовую почти без шансов детектировать подставу.
> Высказать идею и продемонстрировать атаку - это не одно и тоже.Я и не говорил, что одно и то же. Лично меня лишь смущает «новый вид атак» в subj-е. Вероятно, тут просто вопрос терминологии. Просто, когда видишь такой subject, ожидаешь увидеть какие-то новые мысли в тексте, а тут лишь вот это.
Например, все давно знали про проблемы с cache side-channel attack. А спустя годы появился работоспособный proof of concept. Да, это очень достойная и очень важная работа, но это был уже не «новый вид атак», IIRC. IMHO, тут аналогичная ситуация.
> Вам следует съездить на конференцию и окунуть в дерьмо с головой всех
> тех "специалистов", рассказав им про боянность их работы.А зачем? Если им хочется выступить в роли Капитана Очевидность и тем паче выкатить PoC - так в этом ничего такого криминального нет.
>> Вам следует съездить на конференцию и окунуть в дерьмо с головой всех
>> тех "специалистов", рассказав им про боянность их работы.
> А зачем? Если им хочется выступить в роли Капитана Очевидность и тем
> паче выкатить PoC - так в этом ничего такого криминального нет.Существует куча любопытных нюансов, например, определение прошивкой флешки операционной системы, с которой флешке довелось связаться. Или как, например, осуществлять подстановку ввода без обратной связи, или откуда взять эту обратную связь. Ну, например, ежели контроллер флешки эмулирует клавиатуру -- как этот контроллер может знать, какое из окон в данный момент имеет фокус ввода? А как насчёт мышкой порулить и на кнопочки понажимать? Или всё "наощупь" "вслепую"? Затем, если отдавать подложное содержимое фирмвари антивирусу, то антивирус ведь, наверное, знает какого размера должна быть фирмварь, и спалит, если ему подсунуть что-то меньшее чем то, чего он ожидает? А значит встаёт вопрос, где хранить оригинальную фирмварь, прошив в ПЗУ флешки новую. Или может антивирус можно обмануть, неверно отчитавшись о модели устройства? А пользователь не спалит этот момент, когда его ОС неверно назовёт модель флешки или фотоаппарата?
В общем вопросов много, и было бы на самом деле смешно, если бы анонимус с опеннета доказал бы на конференции всем, что это боян, и он проделывал всё это в досе лет двадцать назад.
> Существует куча любопытных нюансов,Это уже дело наживное. Вон я тут ссылочку в соседнем коменте скинул на "типа, клавиатуру" на копеечной атмелке. Можете теперь свою флешку с западлом друзьям и врагам подкидывать.
> например, определение прошивкой флешки операционной
> системы, с которой флешке довелось связаться.Вы не понимаете как работает USB. Это хост с девайсами связывается, usb - протокол, где всем дирижирует хост. Периферия вообще никак и ни с чем связываться не может, ее хост опрашивать должен. И тогда в ответном пакете периферия может высказать свое мнение о том что и как. В USB3 вроде немного добавили самостоятельности - там вроде периферия и сама может по super-speed паре пакеты пулять по своей инициативе. Но много вы клавиатур с usb3 видели? Так что для начала хост должен пойти и спросить у клавиатуры статус, а та уже может сообщить - мол нажали (или, "типа, нажали" вот это и вот это).
> например, ежели контроллер флешки эмулирует клавиатуру -- как этот контроллер может
> знать, какое из окон в данный момент имеет фокус ввода?А никак не может, как минимум без помощи добавочного софта в системе (паливо, убивающее всю идею на корню) через сильно извратные методы. В этом то и прикол.
USB HID протокол примитивен как валенок, ну и столь же "кастомизабелен": клавиатура шлет хосту коды клавиш которые нажали (или "типа, нажали", если фирмвара решила срубить лулзов). От хоста как максимум можно поиметь статус лампочек num/caps/scroll, и то - для этого надо прикидываться boot-устройством. Всякие джойстики с feedback как я понимаю требуют участия в этом процессе софта со стороны писюка, что портит всю идею.
В целом тема HID неплохо раскрыта авторами устройств "а я типа тоже клавиатура" много лет назад, в частности - по упомянутой ссылке на usb "клавиатуру" в флешке. Такого хлама уже валяется по сети целый легион, так что это вполне заслуженно считать баяном.
> А как насчёт мышкой порулить и на кнопочки понажимать? Или всё "наощупь"
> "вслепую"?А никак в нормальном виде, без помощи нестандартного софта со стороны хоста. В HID не предусмотрено нормальной обратной связи с периферией, и уж тем более интегрированной в систему настолько чтобы мышка имела представление о том какое окно активно. Тем паче что для разных систем понятия окон разнятся. Клавиатура может лишь вслепую выстрелить набор символов, но куда он попал - клавиатура не имеет ни малейшего понятия. Клавиатуру про это никто попросту не информирует.
> Затем, если отдавать подложное содержимое фирмвари антивирусу,
Все намного проще: можно просто не предусмотреть команду чтения фирмвари совсем. Оспорить данное инженерное решение можно в авторитетной инстанции - спортлото.
> то антивирус ведь, наверное, знает какого размера должна быть фирмварь,
Але, гараж! Нет никаких стандартных протоколов чтения фирмвари. Антивирус никогда и ничего не узнает, он без шансов. Большинство девайсов не имеет таких команд совсем или они недокументированы напрочь и используются только в инженерных целях на фабрике.
> и спалит, если ему подсунуть что-то меньшее чем то, чего он ожидает?
Ничего он не спалит. В этой схеме антивири в пролете как мухи в самолете. HID не обязывает клавиатуры иметь какие либо команды чтения фирмвары. Поэтому удачи в чтении оной. Для начала попробуй прочитать фирмрварь своей клавиатуры. Нуачо, нажатия кнопок и пихание этого в и-фейс тоже какой-то таракан обрабатывает. А схема логитеховской мышки вообще достаточно понятна: к вполне типовому моторольскому потомку 68HC11 прицеплен чип-радиопередатчик (вполне общеизвестный, кстати) и датчик картинки на SPI и-фейсе. Народ ради прикола подобные кишки и сами делали, получается эдакая кастомная мышка. Ничего сверхъестественного.
> А значит встаёт вопрос, где хранить оригинальную фирмварь, прошив в ПЗУ флешки новую.
Это все ламерский бред. Вы никогда не программили фирвари, спорим?
> Или может антивирус можно обмануть, неверно отчитавшись о модели устройства?
Во первых, можно прикинуться любым устройством. Скопипиз...ть чужой дескриптор - некрасиво, конечно, но не более того. Во вторых - антивирус не получит никакой фирмвари. Точка.
> бы анонимус с опеннета доказал бы на конференции всем, что это
> боян, и он проделывал всё это в досе лет двадцать назад.Так это баян и все это те кто минимально догадывается как работает периферия делали уже хренадцать лет назад.
>> например, определение прошивкой флешки операционной
>> системы, с которой флешке довелось связаться.
> Вы не понимаете как работает USB. Это хост с девайсами связывается, usb
> - протокол, где всем дирижирует хост. Периферия вообще никак и ни
> с чем связываться не может, ее хост опрашивать должен.USB-сетевая карта тоже поллится? А... ммм... Как насчёт перехвата данных других usb-хостов или руления ими с инфицированного usb-хоста?
> А никак в нормальном виде, без помощи нестандартного софта со стороны хоста. В HID не
> предусмотрено нормальной обратной связи с перифериейА если прикинуться видеокартой?
>> то антивирус ведь, наверное, знает какого размера должна быть фирмварь,
> Але, гараж! Нет никаких стандартных протоколов чтения фирмвари. Антивирус никогда и ничего
> не узнает, он без шансов. Большинство девайсов не имеет таких команд
> совсем или они недокументированы напрочь и используются только в инженерных целях
> на фабрике.На это можно создать базу данных устройств с процедурами чтения. Сложно, но это скорее вопрос в востребованности такого, чем в сложности.
>> А значит встаёт вопрос, где хранить оригинальную фирмварь, прошив в ПЗУ флешки новую.
> Это все ламерский бред. Вы никогда не программили фирвари, спорим?Можно сказать и так. Наверное. Полагаете в ПЗУ-шке всегда достаточно свободного места?
> USB-сетевая карта тоже поллится?Все и вся поллится - периферия хосту может отдать данные только после того как хост явно опросит периферию. Зацикленость на центре вселенной в виде мощного хоста - фирменная глупость USB. Немного починено в USB-OTG, но костыли знатные. Кстати кроме всего прочего - у usb кадры в пределах которых хост начинает опросы периферии идут 1 раз в миллисекунду. Это означает что латентность передачи данных как минимум 1 мс или выше. Геймеры на это бухтят, кстати (для них наверное сделают usb3 со временем, когда 5Гбит из клавы перестанет быть роскошью)
> А... ммм... Как насчёт перехвата данных других usb-хостов
> или руления ими с инфицированного usb-хоста?А никак: в USB может быть только 1 хост - писюк, который рулит периферией. Multi-master на шине не предусмотрен, это вообще-то FAIL. Ибо не позволяет например просто взять и соединить 2 писюка между собой куском провода по этому и-фейсу (как например в эзернете). Вот такаая вот хреновая сеть. И если мобильные девайсы еще умеют переключаться между девайсом и периферией, то писюки обычно наглухо хосты и периферией быть не обучены, потому и. Бывают костыли - кабели с чипом посередине: он с двух сторон периферия и гоняет между своими периферийными сторонами данные. А компы видят с обоих сторонов провода периферию. Но это костыль и дорого, т.к. активный кабель.
> А если прикинуться видеокартой?
На нее никто не обязан рисовать просто потому что вы ее в систему добавили. Да и видеокарта получает массив пикселей. Пытаться распетрушить массив пикселей обратно на окна, пытаясь понять где там что... из флешки... "фантомас в очках на аэроплане", однако :).
> На это можно создать базу данных устройств с процедурами чтения.
У половины девайсов такой процедуры нет или она недокументирована. Кроме того, как ты понимаешь, поскольку фирмварь сама же и обрабатывает эти команды - она может посылать в ответ что угодно, а то что это правильные данные можно лишь поверить на слово.
> Сложно, но это скорее вопрос в востребованности такого, чем в сложности.
Это скорее вопрос тотальной бесполезности этого начинания. Ибо протрояненой железке приврать немного при обработке команд - как два байта переслать.
> Можно сказать и так. Наверное. Полагаете в ПЗУ-шке всегда достаточно свободного места?
Если даже и недостаточно - для создания троянца можно и кастомные кишки сделать, добавив внешнюю ПЗУшку (таракан о 8 лапок в минимальном виде) куда и завернуть операции чтения. Можно достать идеально честную копию фирмвары, раз уж просят. А кто сказал что работает именно она? :)
>> USB-сетевая карта тоже поллится?
> Все и вся поллится - периферия хосту может отдать данные только после
> того как хост явно опросит периферию. Зацикленость на центре вселенной в
> виде мощного хоста - фирменная глупость USB. Немного починено в USB-OTG,
> но костыли знатные. Кстати кроме всего прочего - у usb кадры
> в пределах которых хост начинает опросы периферии идут 1 раз в
> миллисекунду. Это означает что латентность передачи данных как минимум 1 мс
> или выше. Геймеры на это бухтят, кстати (для них наверное сделают
> usb3 со временем, когда 5Гбит из клавы перестанет быть роскошью)FFFUUUUU
>> А если прикинуться видеокартой?
> На нее никто не обязан рисовать просто потому что вы ее в
> систему добавили. Да и видеокарта получает массив пикселей. Пытаться распетрушить массив
> пикселей обратно на окна, пытаясь понять где там что... из флешки...
> "фантомас в очках на аэроплане", однако :).Но ОС запросто может решить что "ура-ура, второй монитор" и нарисовать там десктоп. Массив же пикселей "распетрушить" по полной программе, конечно сложно, особенно учитывая разнообразие тем, которые можно натянуть на интерфейс. Но я не думаю, что это совсем безнадёжно. По-крайней мере, _можно попытаться_ распознать ОС, и выработать последовательность действий для инфицирования десктопа, причём так, чтобы это сработало, допустим, в 50% ситуаций.
>> На это можно создать базу данных устройств с процедурами чтения.
> У половины девайсов такой процедуры нет или она недокументирована. Кроме того, как
> ты понимаешь, поскольку фирмварь сама же и обрабатывает эти команды -
> она может посылать в ответ что угодно, а то что это
> правильные данные можно лишь поверить на слово.Процедуры нет или она недокументирована, для антивируса -- не проблема. Если нет, значит устройство просто так, с бухты барахты, не подцепит заразу. Недокументировано не является проблемой (непреодолимой), потому что разработка антивируса, по большей части и есть реверс-инжинеринг. Разбор недокументированных малварей на винтики. Ну добавится к этому разбор на винтики протокола выковыривания прошивки. Ну и чё? :)
>> Сложно, но это скорее вопрос в востребованности такого, чем в сложности.
> Это скорее вопрос тотальной бесполезности этого начинания. Ибо протрояненой железке приврать
> немного при обработке команд - как два байта переслать.Ну, собственно, тотальная бесполезность этого и есть одна из тем доклада.
>> Можно сказать и так. Наверное. Полагаете в ПЗУ-шке всегда достаточно свободного места?
> Если даже и недостаточно - для создания троянца можно и кастомные кишки
> сделать, добавив внешнюю ПЗУшку (таракан о 8 лапок в минимальном виде)
> куда и завернуть операции чтения. Можно достать идеально честную копию фирмвары,
> раз уж просят. А кто сказал что работает именно она? :)Для этого надо лезть с паяльником во флешку. Чисто программно заразить её не удастся. Недостаточно просто воткнуть флешку в инфицированный комп.
> FFFUUUUUДа оно там с частичной поддержкой железа и буферизацией, так что хост напрягается меньше чем могло бы показаться. Но тем не менее, бестолковостей в usb - есть.
> Но ОС запросто может решить что "ура-ура, второй монитор" и нарисовать там
> десктоп.А что, юзер так уж прямо с оптимизмом будет печатать команды в консоли, на десктопе который он даже не видит нифига, ибо у флешки нет выхода на, собственно, моитор? :)
> учитывая разнообразие тем, которые можно натянуть на интерфейс.
А также тот факт что текст в TTF каждый рендерит как хочет, etc. Да и какой придypoк будет вводить команды в теринал который он не видит?
> Но я не думаю, что это совсем безнадёжно. По-крайней мере, _можно попытаться_
Если у вас все так просто - давайте вы лучше подъемник на орбиту попытаетесь построить? И лунные базы. Не сильно проще, но имхо полезнее :).
> распознать ОС, и выработать последовательность действий для инфицирования десктопа,
> причём так, чтобы это сработало, допустим, в 50% ситуаций.Как максимум могу предположить что какая-нить винда может после установки дров показать там десктоп с кнопкой пуск, и вот там еще может прокатит в силу того что все одинаковые, инкубаторские. А тут мне уже предлагали Win+R, ctrl-alt-F1 и чего там еще. ЧСХ, эти последовательности не работали в плане практической пользы поимения чего либо.
Ну то-есть если делать клаву-для-поимения - жать win+r -> calc.exe -> enter -> "вау, я сделал супер-PoC, моя флешка запускает ваш calc.exe!!!111". На винде прокатит, но большинство местных это не сильно парит. А кодить под каждого чудака и его изгибы фирмварину можно и задолбаться.
> Процедуры нет или она недокументирована, для антивируса -- не проблема.
Антивирусы в общем случае в пролете со сканированием периферии. Это отдельные процессоры. Достаточно самостоятельные. Со своим адресным пространством и программами. А антивирус туда в общем случае не имеет нормального доступа. Поэтому хватит ламерить - никакой авер вам от этого не поможет. Девайс сам решает что он наружу показывает. Потому что это фирмвара девайса обслуживает USB-интерфейс. И по этому поводу фирмварина может туда слать все что пожелает.
> Если нет, значит устройство просто так, с бухты барахты, не подцепит заразу.
Зараза может там жить вообще "изначально", например...
> Недокументировано не является проблемой (непреодолимой),
Теоретически - так. Практически - иди перепиши для начала все сервисные утилиты которые для флех под винду есть под остальные системы, тогда поговорим. Позови меня как закончишь.
> потому что разработка антивируса, по большей части и есть реверс-инжинеринг.
Вот когда ты сам сможешь что-нибудь отреверсить - тогда сможешь оценить объем работ и время которое это займет. А в случае с периферией это еще и в высшей степени бесполезно, ибо имея свой проц на борту - оно может показывать наружу все что пожелает. И это совсем не обязано соответствовать действительности.
> Разбор недокументированных малварей на винтики. Ну добавится
> к этому разбор на винтики протокола выковыривания прошивки. Ну и чё? :)А ничо - прошивка пошлет по этому протоколу ровно то что посчитает нужным. Насколько это будет достоверным? Ну... это примерно как суд присяжных, состоящий из 1 человека - самого подсудимого. Что захочет, то и выпишет, хренли :).
>> немного при обработке команд - как два байта переслать.
> Ну, собственно, тотальная бесполезность этого и есть одна из тем доклада.Я так смотрю, капитанинг нынче в моде. А вот задействование мозгов - не очень. Это вы еще не осознали что в смартах крутится многомеговый блоб, реалтаймный и с выходом в сеть. С доступом к микрофону, камере и GPS. Вот этой штуки уже стоит бояться, да. Это вам не какие-то cpaные флешки, это дохрена чужой логики имеющей доступ к весьма персональным данным...
> Для этого надо лезть с паяльником во флешку. Чисто программно заразить её
> не удастся. Недостаточно просто воткнуть флешку в инфицированный комп.А вот это уже как повезет и сильно зависит от того перешивается контроллер по USB или нет. Зачастую вполне себе перешивается, так что теоретически - заразить как бы можно. Практически - очень сложно из-за разнообразного ассортимента контроллеров и чипов. См. про переписывание сервисных утилит, в общем.
> А что, юзер так уж прямо с оптимизмом будет печатать команды в
> консоли, на десктопе который он даже не видит нифига, ибо у
> флешки нет выхода на, собственно, моитор? :)
> А также тот факт что текст в TTF каждый рендерит как хочет,
> etc. Да и какой придypoк будет вводить команды в теринал который
> он не видит?Не-не-не. Пользователю НЕ надо видеть картинку отдаваемую на фейковую видеокарту. Эта картинка исключительно нужна для обратной связи. Флешка манипулирует десктопом фейковыми мышью с клавой, а для обратной связи использует фейковую видеокарту.
И TTF не надо распознавать. То есть, во-первых, это не так уж и сложно, как, например, распознавать рукописный текст или даже сканы. Во-вторых, это не особо-то и нужно. На примере линя, чисто идея, на которой можно построить алгоритм... Допустим, наша цель запустить терминал и нацелить туда фокус ввода. Эмм... я тут же споткнулся, поскольку я хрен его знает когда в последний раз видел гномов, кеды и прочие DE и даже не представляю какие там кейбинды. Но если бы я писал такую малварь, я бы первым делом начал бы искать способ запустить терминал наощупь. Если нет способа запустить наощупь, то ориентируясь на стандартный значок терминала -- надо найти все рисунки терминала на экране и по ним кликнуть. Надо сэмулировать клики мышкой по всем стандартным местам, где может находится кнопка "пуск" (или как там её принято в линуксовых DE назвать?). Выскочит меню, надо вычислить высоту пункта меню, и "двигая мышкой" пооткрывать по очереди все подменю, "высматривая" стандартные иконки терминала. Высмотрев тыкать. В один прекрасный момент на экране появится окно, положение которого мы можем вычислить сравнивая скриншоты "до" и "после". Причём фокус на него перепрыгнет автоматически. Можно провести несколько простых вероятностных проверок того, что это окно терминала. Вероятностных в том смысле, что они могут не являтся доказательством того, что это окно терминала, но, в случае положительного результата проверки, должны повышать достоверность предположения о том, что это именно терминал. Можно не проводить таких проверок, но это снизит процент успешных атак. ... Ну, в общем, идея ясна, да?
>> Но я не думаю, что это совсем безнадёжно. По-крайней мере, _можно попытаться_
> Если у вас все так просто - давайте вы лучше подъемник на
> орбиту попытаетесь построить? И лунные базы. Не сильно проще, но имхо
> полезнее :).
>> Если нет, значит устройство просто так, с бухты барахты, не подцепит заразу.
> Зараза может там жить вообще "изначально", например...Может. Это неустранимый источник эпидемии малвари. Но это не значит, что не стоит пытаться защитить промежуточные узлы распространения малвари.
>> Недокументировано не является проблемой (непреодолимой),
> Теоретически - так. Практически - иди перепиши для начала все сервисные утилиты
> которые для флех под винду есть под остальные системы, тогда поговорим.
> Позови меня как закончишь.У меня нет компании разрабатывающей антивирус. А если бы и была, то я бы ещё подумал стоит ли. Особенно в свете того, что пока всё это, судя по всему, неактуально. В том смысле, что в ближайшие полгода эпидемий не предвидится. Что будет дальше... Я не знаю. Опять же у меня нет компании разрабатывающей антивирус, в которой работает группа аналитиков-экспертов, которая могла бы оценить зависимость вероятности возникновения такой эпидемии от времени, и проследить эту функцию на пару лет вперёд.
>> Разбор недокументированных малварей на винтики. Ну добавится
>> к этому разбор на винтики протокола выковыривания прошивки. Ну и чё? :)
> А ничо - прошивка пошлет по этому протоколу ровно то что посчитает
> нужным. Насколько это будет достоверным? Ну... это примерно как суд присяжных,
> состоящий из 1 человека - самого подсудимого. Что захочет, то и
> выпишет, хренли :).Ты споришь, ради спора? Спорим, что тот же Касперский имеет неплохие шансы договориться с рядом производителей, чтобы они раскрыли бы протокол под какой-нибудь-там сильно ограничительной лицензией? Зачем приводить очевидные контраргументы, в ответ на которые можно привести очевидные контрконтраргументы?
Вот разработчики малвари вряд ли имеют возможность договориться с производителем устройства. Что резко снижает вероятность возникновения эпидемии. Но зато их много, среди них кучи энтузиазистов, которые будут ревёрсить ради реверса. Результаты они куда-то будут выкладывать. А если кто-то будет покупать результаты, то будут и продавать.
>>> немного при обработке команд - как два байта переслать.
>> Ну, собственно, тотальная бесполезность этого и есть одна из тем доклада.
> Я так смотрю, капитанинг нынче в моде. А вот задействование мозгов -
> не очень. Это вы еще не осознали что в смартах крутится
> многомеговый блоб, реалтаймный и с выходом в сеть. С доступом к
> микрофону, камере и GPS. Вот этой штуки уже стоит бояться, да.
> Это вам не какие-то cpaные флешки, это дохрена чужой логики имеющей
> доступ к весьма персональным данным...Почему же не осознали? Осознали. И да, не скрою, уровень паранойи в моём случае достаточен для того, чтобы вместо смартфона таскать с собой планшет в сумке, а в кармане обычную звонилку.
> десктопом фейковыми мышью с клавой, а для обратной связи использует фейковую
> видеокарту.Хм, почем таких флешек продашь? Их же вместо админов можно юзать: достаточно воткнуть флеху и она сама комп настроит, лучше пользователя зная куда какой десктоп. Разве не крутизна?! :)
> И TTF не надо распознавать.
А как наличие терминала предлагается определять без доп. софта в системе?
> То есть, во-первых, это не так уж
> и сложно, как, например, распознавать рукописный текст или даже сканы.Это пока не посмотишь на список опций либ для рендеринга. Да и кушать флеха с OCRом будет столько, что ей вентилятор потребуется. Для охлаждения проца :).
> DE и даже не представляю какие там кейбинды. Но если бы
> я писал такую малварь, я бы первым делом начал бы искать
> способ запустить терминал наощупь.При том с заметной вероятностью оно обламывалось бы, а крутой бэкдор на который убабахано много сил - попадался бы в два счета. Тем паче что флешка объект материальный, историю кто и от кого получил оную не так уж сложно проследить.
> но это снизит процент успешных атак. ... Ну, в общем, идея ясна, да?
Ну да. Надо всего ничего - боевой AI, который заменит админа и пользователя и порулит по своему. Мне кажется что если его удастся сделать - флешка с трояном будет не самой страшной из проблем...
> Может. Это неустранимый источник эпидемии малвари. Но это не значит, что не
> стоит пытаться защитить промежуточные узлы распространения малвари.Тебе авторы антивирей за имитацию бурной деятельности и пиар приплачивают, или чего?
> У меня нет компании разрабатывающей антивирус.
Они занимаются ИБД, ибо заведомо не могут выполнить то что обещают, даже чисто теоретически. В лучшем случае они вытряхивают некоторое количество сильно популярной заразы, с переменным успехом. А называя вещи своими именами они просто делают бабки на чужом горе.
> возникновения такой эпидемии от времени, и проследить эту функцию на пару
> лет вперёд.Да не будет никаких особых эпидемий. Слишком уж разнородный хардвар: каждый лепит контроллер и фирмварь как хочет. Троян получится недолгоиграющий и нишевой при ломовых затратах усилий.
> Ты споришь, ради спора?
Я всего лишь капитаню, не более. Истины которые я озвучиваю известны наверное уже более четверти века.
> Спорим, что тот же Касперский имеет неплохие шансы
> договориться с рядом производителей, чтобы они раскрыли бы протоколА ты глупее чем я предполагал. Еще раз, для дубов, прямым текстом вопрос: что помешает фирмвари врать и слать в пакетах не тот код который по факту работает? Ах, ничего, ибо фирмвара весь протокол и обрабатывает? Будь то хоть АНБшный бэкдор, хоть троян самоходный - на кой фиг им себя рапортовать то?! Это не логично как-то :)
> которые можно привести очевидные контрконтраргументы?
Я по-моему привел железный аргумент который фиг оспоришь: фирмвара реализует этот самый протокол. Зачем бы трояну самому себя выдавать в честном виде? Это глупо и нелогично. И авторы трояна должны быть странными человеками, чтобы накодить троян, а потом сделать протокол через который его слить можно, да еще потом нигде не врать в пакетах и честно трояна дампануть :).
> Вот разработчики малвари вряд ли имеют возможность договориться с производителем
> устройства.Так бэкдор внедрит или сам производитель, заинтересованный при этом молчать в тряпочку, бубня про NDA, или если хаксор пропатчит фирмвару - ну наверное он и чтение фирмвары допрет попраить немного, а?! Это допирали делать даже архаичные досовые вирусы.
> будут выкладывать. А если кто-то будет покупать результаты, то будут и продавать.
Это имеет смысл лишь для отдельных точечных диверсий и может стоить приличных денег. И как ты понимаешь, антивирь тебя от такого не спасет.
> планшет в сумке, а в кармане обычную звонилку.
Это вполне здравое решение - разделение привилегий. Но даже звонилка, однако же, например чисто технически светит примерные координаты сети. Потому что сеть не может кидать броадкаст на всю страну каждому Васе - эй, Вася, тебе звонят! Сеть от такого флуда просто ляжет. Да и планшет... эм... дефолтные фирмвари могут оставлять желать много лучшего в плане отсутствия западла.
> А как наличие терминала предлагается определять без доп. софта в системе?Никак. Если терминал установлен слишком редко, то надо использовать какую-нибудь другую софтину, более популярную.
> Это пока не посмотишь на список опций либ для рендеринга. Да и
> кушать флеха с OCRом будет столько, что ей вентилятор потребуется. Для
> охлаждения проца :).Не. Наложить фильтр и по шаблону проверить. Чуть сложнее чем выделить битмап символа из картинки. Хуже не то, что у библиотек опции есть, а то, что шрифты могут быть различны.
> При том с заметной вероятностью оно обламывалось бы, а крутой бэкдор на
> который убабахано много сил - попадался бы в два счета. Тем
> паче что флешка объект материальный, историю кто и от кого получил
> оную не так уж сложно проследить.Я не пытаюсь тебе продать крутой бэкдор, на который убабахано много сил, а излагаю концепт.
> Ну да. Надо всего ничего - боевой AI, который заменит админа и
> пользователя и порулит по своему. Мне кажется что если его удастся
> сделать - флешка с трояном будет не самой страшной из проблем...AI не нужен. Тут не нужны даже технологии AI 30-ти-летней давности, я уж молчу про более свежие и менее очевидные. Впрочем, я допускаю что во ПЗУ флешки подобное не влезет. А в ПЗУ фотоаппарата? Сетевой карты? Видеокамеры? Смартфона?
> Тебе авторы антивирей за имитацию бурной деятельности и пиар приплачивают, или чего?
Нет.
> Они занимаются ИБД, ибо заведомо не могут выполнить то что обещают, ...
Очень интересная информация, имеющая такое непосредственное отношение к обсуждаемой теме, что я даже затрудняюсь с выбором возможной своей реакции на подобное заявление.
> Да не будет никаких особых эпидемий. Слишком уж разнородный хардвар: каждый лепит
> контроллер и фирмварь как хочет. Троян получится недолгоиграющий и нишевой при
> ломовых затратах усилий.Да, может быть. Быть может даже не "может быть", а так и есть.
> А ты глупее чем я предполагал. Еще раз, для дубов, прямым текстом
> вопрос: что помешает фирмвари врать и слать в пакетах не тот
> код который по факту работает? Ах, ничего, ибо фирмвара весь протокол
> и обрабатывает? Будь то хоть АНБшный бэкдор, хоть троян самоходный -
> на кой фиг им себя рапортовать то?! Это не логично как-тоА ты глупее, чем я предполагал. Ещё раз, для дубов, прямым текстом вопрос: ты умеешь мыслить гипотетически? Запись из теорвера P(X|A) тебе ни о чём не говорит? Тогда я поясню на пальцах, как в школе, для анализа проблемы иногда удобно _предположить_ что-либо, упростив ситуацию. Проанализировать упрощённую ситуацию, после чего вернуться к исходной, отменив предположение. Например, в данной ситуации, можно предположить "а как бороться с эпидемией, если фирмварь не может замаскировать своё присутствие". И предположив такое, прикинуть потенциальную вероятность детекта инфекции, все связанные параметры системы защиты. А может даже в такой ситуации вероятность детекта окажется недостаточной для предотвращения эпидемии?
Ты высказываешь множество соображений тоном эксперта. Не допуская никаких сомнений. Но люди ищут способы всадить тебе малварь вне зависимости от того, насколько ты уверен в том, что это невозможно. Со временем появляется новое оборудование, новые usb-устройства. Иногда usb меняет версию. Ты готов поспорить на деньги, что подобной эпидемии не случиться в течении десяти лет? Сколько ты готов поставить на, и при каком отношении ставок? 100:1? 1000:1?
Я не являюсь "экспертом", и даже не считаю себя экспертом, и поэтому я не готов поставить ничего. Но я уверен, что подобные исследования, когда они ведутся в паблике, весьма полезны. Всем -- и разработчикам антивирусов, и разработчикам ОС, и разработчикам железа.
>> будут выкладывать. А если кто-то будет покупать результаты, то будут и продавать.
> Это имеет смысл лишь для отдельных точечных диверсий и может стоить приличных
> денег. И как ты понимаешь, антивирь тебя от такого не спасет.Это если мы рассуждаем исходя из гипотезы невероятности эпидемии самораспространяющейся малвари. А если гипотеза неверна?
>> планшет в сумке, а в кармане обычную звонилку.
> Это вполне здравое решение - разделение привилегий. Но даже звонилка, однако же,
> например чисто технически светит примерные координаты сети. Потому что сеть не
> может кидать броадкаст на всю страну каждому Васе - эй, Вася,
> тебе звонят! Сеть от такого флуда просто ляжет. Да и планшет...
> эм... дефолтные фирмвари могут оставлять желать много лучшего в плане отсутствия
> западла.Очень интересно. А теперь расскажи что-нибудь ещё об этом, чего я ещё не знаю.
Ни фига подобного. Я вот про это http://habrahabr.ru/post/65220/ - когда внутрь мышки засунули хаб+флешку и данные таким макаром сливали. Хотя конечно это был не АВТОВАЗ :D
Технический прогресс не стоит на месте. Там же написано: новая атака необнаружима современными средствами. Не удастся просто выгрузить фирмварь с флешки и проверить её на наличие инфекции. Точнее проверить то удастся, но отрицательный результат проверки не будет значит ничего.
Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть. Хотя если код подставляется только иногда - может и не прокатить.С другой стороны - у флехи мелкий контроллер, не такой уж и умный. Поэтому силно крутую логику применять он напряжется. И не факт что сможет как-то осмысленно поразить "вот этот ELF с arm-hf ABI". Зато если контроллер прощелкает клювом пару полей в хидере - файл красиво грохнется на этом ARM, а вот дальше уже любопытные кексы могут заметить что читается не то что записали.
> элементарная сверка хешей файлов прочитанных с флехи может запалить напастьИ как часто надо проводить элементарную сверку хешей?
> силно крутую логику применять он напряжется
Эмуляция клавиатурного ввода из правильно скомпонованных команд nohup, while, wget, sh и 2>>/dev/null снимает напряг на раз.
> не такой уж и умный
> осмысленно поразить "вот этот ELF с arm-hf ABI"
> прощелкает клювом
> грохнется
> кексыС этими проблемами лучше на ксакеп.
> И как часто надо проводить элементарную сверку хешей?После записи и перед использованием, например.
> Эмуляция клавиатурного ввода из правильно скомпонованных команд nohup, while, wget, sh
> и 2>>/dev/null снимает напряг на раз.Только клавиатура не знает куда сфокусирован ввод. Поэтому можно отправить сие в браузер, програмерский редактор, чатик или куда там еще. Мало ли куда народ текст вводит. И конечно этого никто не заметит... :)
Кстати, если вы считаете что все вокруг бакланы и не читают dmesg, на предмет того что "флешка" вдруг зачем-то еще и HID - вот это не факт. Я например из интереса чаще всего смотрю что из себя какое устройство представляет. И HIDроватую флешку вполне могу заметить.
> С этими проблемами лучше на ксакеп.
Вам как эксперту наверное виднее.
Как вариант, ждать длительного простоя, затем посылать win+r код и atl+f4. Из-за зоопарка ДЕ в линуксах может не прокатить.
ctrl+alt+f1, ^C, say goodbye to all your work, sucker!
> ctrl+alt+f1, ^C, say goodbye to all your work, sucker!Ну может в твоей слаке этот номер и работает, но в *убунтах например там по дефолту висит промпт логина, ^C его не пробирает, естественно, ибо мы не в детском садике чтобы так по детски системы ломать. А логина "say goodbye to all your work, sucker!" он тоже не знает. Хотя конечно коврик для мышки^W^W^W клавиатура может попытаться угадать как назывался юзер и пассворд :).
Вообще, автологин в систему где либо - идея дурная. Единственное место где вваливание без пароля как-то приемлимо - UART. Там если уж я есть - я там эксклюзивно. Хотя опять же, хомяку могут на uart подарочек прицепить а хомяк не заметит, на то и хомяк.
> ctrl+alt+f1, ^C, say goodbye to all your work, sucker!Незачёт от Поттеринга...
>:-)
> Незачёт от Поттеринга...для системдеца никаких трояноустройств не надо, системдец сам троян.
> для системдеца никаких трояноустройств не надо, системдец сам троян.Ну так все правильно: чтобы избавиться от чужих троянов, мы будем приваживать своих, дружелюбных и специально дрессированых. Они будут держать чужих троянов на расстоянии, охраняя ввереную территорию от посягательств чужаков :).
> Как вариант, ждать длительного простоя,Клавиатуру никто не информирует о простое. Единственная "небольшая" проблема. У клавиатуры вообще I/O с системой практически одностороннее, да и в остальной USB периферии как правило требуется желание хоста начать обмен.
> затем посылать win+r код и atl+f4. Из-за
> зоопарка ДЕ в линуксах может не прокатить.Ну я нажал win+r - и чего? XFCE - это вам не виндус. Nothing happens.
А так - уж сто лет есть в природе заготовка для таких сюрпризов: простая схема на атмелке с софтварным USB + прошивка эмулирующая клавиатуру. Имеет хождение в вполне благих целах: хардварный автоологин. Когда надо ввести нудный и длинный пароль - втыкаешь эту штуку и она сама его печатает. Но там как раз загвоздка в том что как-то отсигналить этой штуке когда вводить пароль - отдельные грабли. Поэтому пароль вводится через некоторое небольшое время после подключения. А единственный метод коммуникации который там придумали - зарегаться как boot клавиатура и общаться с фэйк-клавой при помощи настоящей, мигая капслоком (очень удобный блин юзеринтерфейс в стиле морзянки). Изменения индикаторов шлются хостом на все клавы, так что фэйку они тоже достаются. Если специальным образом подрюкать капслок - фэйк заметит что юзер от него хочет внимания и например пароль новый хочет задать. Это так, если кто думал что этот ботинок-телефон что-то такое необычное и крутое. Оно такое уже лет пят наверное по интернетикам болтается.
Вообще, вот вам ваша суперхакирская "клава". Допилить до сабжа можно небольшим допатчиванием прошивки: http://www.rlocman.ru/shem/schematics.html?di=133991 - да-да, можете не только пароль вводить но и win+r жать, если хотите.
в новости написано как раз о том, что проявится измененный код только на другом компе, т.е. заливаешь, сверяешь суммы - все ок, а на другом компе может и не догадаются сверить. да и надеяться на глупость контроллера или того кто его взламывал - недальновидно.
> Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть. Хотя
> если код подставляется только иногда - может и не прокатить.А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура, которая запускает терминал, затем, изображая нажатия на клавиши, "набирает" код программы, после чего отправляет её на выполнение.
> С другой стороны - у флехи мелкий контроллер, не такой уж и
> умный.Да, это серьёзный ограничитель.
> А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура,Ну если вас не смущает бубнеж ядра про HID device при втыкании флехи - ну извините :).
>> А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура,
> Ну если вас не смущает бубнеж ядра про HID device при втыкании
> флехи - ну извините :).Вот к чему вы это сказали? К тому, что на конференции они будут заниматься туфтой и, как британские учёные, бессмысленно тратить своё время? Думаю нет, думаю вы имели в виду какую-то иную цель, когда говорили это. Но какую именно? Может вы хотели продемонстрировать окружающим свои невероятные познания и умение отслеживать в реалтайме все изменения в подключённых девайсах? Допустим, но мне кажется вы ошиблись адресом, такими знаниями лучше хвастаться в офисе перед планктонинами. М-м-м... Мне не придумать никаких других объяснений вашим словам. Может вы сами расскажете, чтобы мне не гадать?
> Может вы хотели продемонстрировать окружающим свои
> невероятные познания и умение отслеживать в реалтайме все изменения в подключённых
> девайсах? ь?Зришь в корень. А может он хотел сказать, что выводить dmesg на пол эжкрана постоянно - это жизненная необходимость и те, кто этого не делает хомячки и вообще о безопасности не думают.
> пол эжкрана постоянно - это жизненная необходимостьНу извините, если вы безбашенно втыкаете чужие флешки и лезете при этом под рутом в консоль, а флешка решит немного попечатать - кто вам доктор? Вон там ссыль на дихалта который сделал эрзац мышко-флешку вообще из г-на и палок (кишки мыши, хаб и флеха) и спер промышленные секреты таким манером, совершенно без палива, ибо мыша на вид самая обычная снаружи.
"у флехи мелкий контроллер"Вы ошибаетесь. Есть флэшки с операционкой внутри. Пройдет год-два и флэшки станут ещё мощнее. Хотя софтовый USB делается на микроконтроллере атмега с 8кб памяти и несколько кб ОЗУ.
Как страшно жить! :(((((((((
> у флехи мелкий контроллер, не такой уж и умный.Угу, Intel i8088
> Угу, Intel i8088Бывает 8051 разогнанный, как один из вариантов.
> у флехи мелкий контроллерА ты не подумал, что умный злой контроллер может легко эмулировать функции мелкого тупого контроллера.
>> у флехи мелкий контроллер
> А ты не подумал, что умный злой контроллер может легко эмулировать функции
> мелкого тупого контроллера.Рано или поздно флешкам перестанет хватать питания, когда те начнут ломать пароли в консоли перебором ))
Зато на каком-то современном SSD недавно при беглом осмотре обнаружил x86.
Какие хеши?? Откуда им там взяться? Чего с чем сравниваете? Атакующая флешка никогда не бывала в атакуемой системе.
Примерно так в общем-то ломали PS3...
Согласен. есть к примеру кейлогеры которых вообще не заметишь, которые в далекие времена подключались к ps2 , а какой нибудь usb который могет почти все (при правильных настроек рук - усе ))) ) не только снифить но и активно влиять на "жертву" - это может просто перерасти в разновидность вируса который передается через флэху,3g-модем,... , но аппаратно-софтварный. в принципе ничего не мешает сделать и программно-аппаратный вирус ) -- к примеру как я перепрогил usb-3g-модем )
> Согласен. есть к примеру кейлогеры которых вообще не заметишь, которые в далекие
> времена подключались к ps2Заметим что он и слать что угодно мог в свое удовольствие. А что помешает то?
У ФСБ могли бы быть такие девайсы - в 2006 году сам делал.
Они сказали - нах... нам такие, при себестоимости 3$, с них откаты маленькие.
Но зато есть спец-USB-хаб от таких атак, так что - галактико в безопасности,
ну а хомяки пускай страдают. :-PКстате, [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы,
с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь.Собственно я это к чему?! А к тому, что OpenSource без OpenHardware - ИБД
> У ФСБ могли бы быть такие девайсы - в 2006 году сам делал.Да елки, такое кто только не делал.
> Они сказали - нах... нам такие, при себестоимости 3$, с них откаты маленькие.
Так надо было представлять это как убер-хайтеч-достижение. "100 баксов - за работу и 900 - за то что знаю что заменять" (c) анекдот.
> Так надо было представлять это как убер-хайтеч-достижение.... они даже по 500$ связываться не стали бы.
Если в госзаказе меньше 10 лямов никто шевелится не будет.
Как НИОКР прокатило, на полгода себя з/п обеспечили.
> Если в госзаказе меньше 10 лямов никто шевелится не будет.Ну так это... 10 мега-девайсов по миллиону :).
За тобой уже выехали.
> [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы, с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудьИ что, до сих пор нет ни одной опенсорсной имплементации этой тривиальной идеи?
>> [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы, с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь
> И что, до сих пор нет ни одной опенсорсной имплементации этой тривиальной
> идеи?Как нет?! systemd-fairwalld-uedvd-usbd же. У Сиверса в git-е.
> При этом модификация проявится только при попытке установки Ubuntu
> на другом компьютере, проверка контрольной суммы после копирования
> файла не выявит проблем.А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности системы.
> А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки
> целостности системы.Как атакующий не может предусмотреть всех комбинаций систем, так и дистропитеки не могут предусмотреть все варианты западла от флешек. Понимаешь ли подменить сектор при чтении можно в любой момент...
ЧСВ OVER 9000.
> от меня хрн дождётесь полезной инфы.Никто и не сомневался.
> Чем больше деблов, тем больше у меня зарплата.
Зарплата дворника зависит от количества мусора?
>А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности системы.они уже есть, только если ты включишь думающее устройство, то поймешь, что они вполне могут не помочь в случае, если флешка выдает измененный бинарь только в случае загрузки с нее.
и кстати от такой атаки хорошо должен помочь secure boot.
> и кстати от такой атаки хорошо должен помочь secure boot.Вот это не факт совсем.
> от такой атакиОт какой атаки? От копирования файла с носителя? USB накопитель в этом смысле ничем не отличается от дискеты, сетевого накопителя и т.п. Бредовая статья.
>> При этом модификация проявится только при попытке установки Ubuntu
>> на другом компьютере, проверка контрольной суммы после копирования
>> файла не выявит проблем.
> А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности
> системы.Погугли BART.
>Вредоносные изменения можно выявить зачастую только через очень трудоёмкие методы анализа, такие как физическое дизасcемблирование и обратный инжиниринг устройства.Ну да. А может просто у оператора спросить а чего это он только что присобачил к системе? А для тех устройств которые редко отключаются\подключаются просто прописать их назначение где-то в конфигах? Это, наверное, слишком сложно. Ну пусть тогда пишут ИИ по слежению за поведением устройств. Точно.
как страшно жить
Ну чо, зяпилят в ядро файрвол для USB - чо ещё делать...
1. Накодят systemd-usbd;
2. Накодят ужасного качества патч для ведра, потому что в процессе работы над п.1 всплывет фатальный недостаток;
3. Линус явит Животворящий Перст очередному кею сиверсу;
4. ?????
5. Новая новость на опеннете!
Точно, usbtales. И правила, типа, в этом физическом USB порту может работать только накопитель. Если не накопитель, то -j REJECT (DROP).
usbtables
> usbtables"Ты не поверишь....", но в дремучем Солярис 10 есть конфигурация безопасности для периферии, включая USB.....
Коллеги, посмотрите материал о выполнении контроллером клавиатуры несвойственных ему функций http://ilizarov.center/?page_id=91 В случае не полезной (как в примере), а деструктивной начинки защита от такого вряд ли будет простой.
https://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe
Хахаха, сертифицировали кабинет шефа..значит ФСБ не так глубоко копает,когда делает осмотр каждого устройства,раз надо подходить индивидуально к каждому устройству. каждую клавиатуру не только просвечивать,но и проверять код прошивки??не думаю,что они это делают.))) рдал дого..поставил клаву шефу, а она со встроеным глазом и следит за ним, а через адаптер отправляет видео шпиону))) смешно в том, что такое мне снилось уже)))Моя фантазия впереди инноваций)
опять до кого-то дошло, что по универсальному интерфейсу кто угодно может притвориться HID-устройством? ну, круто, чо. почти так же круто, как недавняя новость про «уязвимость rm».
Прощай udev, здравствуй mknod!
Нет, назад возврата нет.
прощай, vi
> Прощай udev, здравствуй mknod!
> Нет, назад возврата нет.Ой-вей, ви-таки не любите outflux.net/blog/archives/category/vulnerabilities/ Xorg? И systemd, и автомаунт, и автозапуск?
>> Прощай udev, здравствуй mknod!
>> Нет, назад возврата нет.
> Ой-вей, ви-таки не любите outflux.net/blog/archives/category/vulnerabilities/ Xorg?
> И systemd, и автомаунт, и автозапуск?Люблю! Но какою то странною Любовью!
для воровать данные норм,
не тока же барину собирать метаданные.
А-а-а!!!
Мы все умрем.
Как ни странно, вот же новость, но человек -- пользователь -- вообще ничего в устройствах компьютера не контролирует.
> Как ни странно, вот же новость, но человек -- пользователь -- вообще
> ничего в устройствах компьютера не контролирует.Да, прилетела флешка. Сама воткнулась в системник.
ну не флэшка прилетела, а примеру -- южный мост. Или, тем более, сам процессор.
а ещё USB-устройство -- может замкнуть дорожки питатния.и в этом случае:
* либо сгорит материнская плата. (низкая вероятность)
* либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание USB-группы. (высокая вероятность).
* либо сработает программируемая многоразовая система отключения питания, за состояние которого отвечает прошивка UEFI. (низкая вероятность).
так что в любом случае засовывать в USB -- всякое говно -- не нужно. :-)
да и вообще -- если уж передавать файлы на флэшке -- то лучше на SD-флэшке а не на USB-флэшке. (хотя и SD-флэшка может быть перепрограммирована. но в клавиатуру или в сетевую карту она не может превратиться)
> * либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание
> USB-группы. (высокая вероятность).Там как правило многократные предохранители нынче, знаток.
> * либо сработает программируемая многоразовая система отключения питания, за состояние
> которого отвечает прошивка UEFI. (низкая вероятность).Где вы такой бред берете?
Я разрабатывал железки на ftdi и atmega. USB-порты на USB-хабе очень легко палятся насмерть по недосмотру.
> Я разрабатывал железки на ftdi и atmega. USB-порты на USB-хабе очень легко
> палятся насмерть по недосмотру.И как это делать (палить USB-порты)? (/me искренне интересно)
P.S.: IMHO, анонимам надо запретить говорить "я".
> P.S.: IMHO, анонимам надо запретить говорить "я".отчего это? O_O
>> P.S.: IMHO, анонимам надо запретить говорить "я".
> отчего это? O_OПотому что фразы вроде «Я разрабатывал железки на ftdi и atmega» могут оказаться ложью и никак не повлияют на репутацию реального пользователя.
> а ещё USB-устройство -- может замкнуть дорожки питатния.
> и в этом случае:
> * либо сгорит материнская плата. (низкая вероятность)
> * либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание USB-группы.
> (высокая вероятность).Откуда у вас такая информация? Я замыкал питание на USB, ничего не сгорало.
В патчах grsecurity давно есть некоторая защита от этого. Можно sysctl-кой вырубить возможность обнаружения новых устройств без возможности обратного влючения этой возможности до перезагрузки. Т. е. загрузились, инит скрипт выставил значение kernel.grsecurity.deny_new_usb = 1 и усе, никакие новые USB устройства больше инициализированы не будут. Правда нужно безоговорочно доверять тем устройствам, которые подключены к компьютеру/серверу в момент загрузки. :)