The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новый вид атак с использованием перепрограммированных USB-устройств

31.07.2014 23:44

На следующей неделе на конференции Black Hat запланирована демонстрация новой атаки BadUSB, для совершения которой используются USB-устройства со специально модифицированной прошивкой. В результате внесённых изменений USB-устройство может сэмулировать работу совершенно другого типа USB-устройств и вклиниться в работу системы.

Например, USB-накопитель или web-камера с интерфейсом USB в определённый момент могут сэмулировать работу USB-клавиатуры и осуществить подстановку ввода. Источником проблем также может оказаться штатная USB-клавиатура с изменённой прошивкой или штатный USB-накопитель (организация скрытого ввода или подмены записываемых данных). USB-устройства в системе пользуются изначально слишком высоким уровнем доверия, не подразумевающим, что они могут выполнить не только штатные действия. Современными методами обнаружения вредоносного ПО практически невозможно выявить факт модификации прошивки, что затрудняет обнаружение и предотвращение атаки до момента её совершения.

Вредоносные изменения можно выявить зачастую только через очень трудоёмкие методы анализа, такие как физическое дизасcемблирование и обратный инжиниринг устройства. Получить код прошивки с внешнего USB-устройства можно только при участии самой прошивки, которая в случае наличия вредоносных вставок успешно сможет исключить их из дампа. Большие трудности также предоставляет чистка вредоносных вставок, которые можно удалить только через восстановление оригинальной прошивки, что без специализированного оборудования также невозможно сделать без участия поражённой прошивки. При этом нет особых трудностей с начальной модификацией прошивки USB-устройств традиционным вредоносным ПО.

Возможные варианты атаки могут меняться в достаточно широком диапазоне, например, вместо клавиатуры может быть симулирован сетевой адаптер, который может применяться для подмены запрашиваемого контента. Вместо специализированных USB-устройств в качестве звена для проведения атаки могут применяться и смартфоны. Например, на Black Hat будет продемонстрирована атака с использованием смартфона под управлением платформы Android.

Атаку продемонстрирует Карстен Нол (Karsten Nohl), известный созданием метода вскрытия алгоритма шифрования A5/1, разработкой техники воссоздания алгоритма шифрования смарт-карт по их снимкам и созданием успешных методов атак на сети GSM. Будет сделано четыре демонстрации, три из которых будут проведены на устройствах с чипами контроллеров компании Phison Electronics.

Кроме вышеупомянутых демонстраций с превращением USB-накопителя в клавиатуру и сетевую карту, будет показана атака с применением скрытого внесения изменений в сохраняемые на USB-накопителе данные. В частности, USB-накопитель с изменённой прошивкой осуществит подстановку вредоносного кода в скопированный на накопитель инсталляционный файл с Ubuntu Linux. При этом модификация проявится только при попытке установки Ubuntu на другом компьютере, проверка контрольной суммы после копирования файла не выявит проблем.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
  3. OpenNews: Офисная техника может стать причиной утечки информации
  4. OpenNews: Атака на Linux-системы через запуск кода при вставке USB-накопителя
  5. OpenNews: Техника атаки, позволяющей продолжить запись с микрофона после закрытия сайта
  6. OpenNews: Атака по превращению IP-телефонов Avaya в прослушивающие радиопередатчики
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40309-usb
Ключевые слова: usb, attack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (96) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Crazy Alex (ok), 23:58, 31/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Не понял, что в такой атаке нового? Даже здесь на опеннете с год назад подобное пробегало
     
     
  • 2.2, EuPhobos (ok), 00:03, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну это же конференция, решили поднять проблему на обсуждение. Видать были прецеденты..
     
     
  • 3.32, ford15focus (ok), 09:24, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ну, емнип, PS3 так и ломали
     
  • 2.3, vitalif (ok), 00:14, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не то что на опеннете - чуть ли не на АВТОВАЗе по-моему это было))
     
     
  • 3.4, Аноним (-), 00:32, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы путайте, раньше эксплуатировались конкретные уязвимости в конкретных ОС и программах. Эксплуатация была через запись неперевариваемых опрелелёнными программами данных. Например, можно было организовать запуск кода при попытке создания миниатюры вредоносной картинки.
    В упоминаемом в текущей новости случае, вредоносный код интегрируется в прошивку и он абсолютно не заметен для внешнего наблюдателя.
     
     
  • 4.21, Аноним (-), 04:52, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Такая неожиданность, пля: контроллер клавиатуры может самодурничать, контроллер флехи, винча и прочих сидиромов может сектор подменить, etc. Эта тема Б-А-Я-Н, известный с еще досовых времен.
     
     
  • 5.24, Ordu (ok), 05:44, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +14 +/
    > Такая неожиданность, пля: контроллер клавиатуры может самодурничать, контроллер флехи,
    > винча и прочих сидиромов может сектор подменить, etc. Эта тема Б-А-Я-Н,
    > известный с еще досовых времен.

    Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.

     
     
  • 6.31, Xaionaro (ok), 09:23, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.

    Ну, справидливости ради, такие идеи действительно высказывались уже много лет назад. Скорее всего на конфенерции будет предостаточно интересной и новой информации, однако в тексте новости ни о чём новом не поведали.

     
     
  • 7.34, YetAnotherOnanym (ok), 10:48, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Высказать идею и продемонстрировать атаку - это не одно и тоже.
     
     
  • 8.54, linux must _RIP__ (?), 14:23, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    а чем принципиально отличается атака от старых вирусов из DOS помечаем блок как... текст свёрнут, показать
     
     
  • 9.56, Andrey Mitrofanov (?), 14:47, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И загружается резидентно, и перехватывает INT 13 INT 21, и всех-всех заражает И... текст свёрнут, показать
     
     
  • 10.62, linux must _RIP__ (?), 15:56, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а что не так вроде нормальный elf, вдруг бах - и запустился левый код - не так ... текст свёрнут, показать
     
     
  • 11.72, Аноним (-), 19:40, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да куда угодно подпихнуться, лишь бы туда управление попадало К слову, если кто... текст свёрнут, показать
     
  • 9.71, Аноним (-), 19:36, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Выполнением кода на проце периферии В результате системный проц и его софт ант... текст свёрнут, показать
     
  • 8.59, Xaionaro (ok), 15:37, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я и не говорил, что одно и то же Лично меня лишь смущает 171 новый вид атак ... текст свёрнут, показать
     
  • 6.70, Аноним (-), 19:35, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вам следует съездить на конференцию и окунуть в дерьмо с головой всех
    > тех "специалистов", рассказав им про боянность их работы.

    А зачем? Если им хочется выступить в роли Капитана Очевидность и тем паче выкатить PoC - так в этом ничего такого криминального нет.

     
     
  • 7.75, Ordu (ok), 20:10, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Существует куча любопытных нюансов, например, определение прошивкой флешки опера... большой текст свёрнут, показать
     
     
  • 8.80, Аноним (-), 22:44, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже дело наживное Вон я тут ссылочку в соседнем коменте скинул на типа, кл... большой текст свёрнут, показать
     
     
  • 9.88, Ordu (ok), 13:02, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    USB-сетевая карта тоже поллится А ммм Как насчёт перехвата данных других ... большой текст свёрнут, показать
     
     
  • 10.91, Аноним (-), 20:06, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Все и вся поллится - периферия хосту может отдать данные только после того как х... большой текст свёрнут, показать
     
     
  • 11.94, Ordu (ok), 23:02, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    FFFUUUUU Но ОС запросто может решить что ура-ура, второй монитор и нарисовать ... большой текст свёрнут, показать
     
     
  • 12.95, Аноним (-), 00:21, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да оно там с частичной поддержкой железа и буферизацией, так что хост напрягаетс... большой текст свёрнут, показать
     
     
  • 13.96, Ordu (ok), 01:20, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не-не-не Пользователю НЕ надо видеть картинку отдаваемую на фейковую видеокарту... большой текст свёрнут, показать
     
     
  • 14.97, Аноним (-), 04:02, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Хм, почем таких флешек продашь Их же вместо админов можно юзать достаточно вот... большой текст свёрнут, показать
     
     
  • 15.100, Ordu (ok), 06:11, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Никак Если терминал установлен слишком редко, то надо использовать какую-нибудь... большой текст свёрнут, показать
     
  • 4.50, vitalif (ok), 14:13, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ни фига подобного. Я вот про это http://habrahabr.ru/post/65220/ - когда внутрь мышки засунули хаб+флешку и данные таким макаром сливали. Хотя конечно это был не АВТОВАЗ :D
     
  • 2.5, Ordu (ok), 00:41, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Технический прогресс не стоит на месте. Там же написано: новая атака необнаружима современными средствами. Не удастся просто выгрузить фирмварь с флешки и проверить её на наличие инфекции. Точнее проверить то удастся, но отрицательный результат проверки не будет значит ничего.
     
     
  • 3.7, Аноним (-), 00:47, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть. Хотя если код подставляется только иногда - может и не прокатить.

    С другой стороны - у флехи мелкий контроллер, не такой уж и умный. Поэтому силно крутую логику применять он напряжется. И не факт что сможет как-то осмысленно поразить "вот этот ELF с arm-hf ABI". Зато если контроллер прощелкает клювом пару полей в хидере - файл красиво грохнется на этом ARM, а вот дальше уже любопытные кексы могут заметить что читается не то что записали.

     
     
  • 4.9, Гость (?), 01:55, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > элементарная сверка хешей файлов прочитанных с флехи может запалить напасть

    И как часто надо проводить элементарную сверку хешей?

    > силно крутую логику применять он напряжется

    Эмуляция клавиатурного ввода из правильно скомпонованных команд nohup, while, wget, sh и 2>>/dev/null снимает напряг на раз.

    > не такой уж и умный
    > осмысленно поразить "вот этот ELF с arm-hf ABI"
    > прощелкает клювом
    > грохнется
    > кексы

    С этими проблемами лучше на ксакеп.

     
     
  • 5.16, Аноним (-), 04:47, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И как часто надо проводить элементарную сверку хешей?

    После записи и перед использованием, например.

    > Эмуляция клавиатурного ввода из правильно скомпонованных команд nohup, while, wget, sh
    > и 2>>/dev/null снимает напряг на раз.

    Только клавиатура не знает куда сфокусирован ввод. Поэтому можно отправить сие в браузер, програмерский редактор, чатик или куда там еще. Мало ли куда народ текст вводит. И конечно этого никто не заметит... :)

    Кстати, если вы считаете что все вокруг бакланы и не читают dmesg, на предмет того что "флешка" вдруг зачем-то еще и HID - вот это не факт. Я например из интереса чаще всего смотрю что из себя какое устройство представляет. И HIDроватую флешку вполне могу заметить.

    > С этими проблемами лучше на ксакеп.

    Вам как эксперту наверное виднее.

     
     
  • 6.44, Аноним (-), 13:13, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как вариант, ждать длительного простоя, затем посылать win+r код и atl+f4. Из-за зоопарка ДЕ в линуксах может не прокатить.
     
     
  • 7.47, arisu (ok), 13:21, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ctrl+alt+f1, ^C, say goodbye to all your work, sucker!
     
     
  • 8.74, Аноним (-), 19:56, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну может в твоей слаке этот номер и работает, но в убунтах например там по дефо... текст свёрнут, показать
     
  • 8.92, Anonym2 (?), 22:46, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Незачёт от Поттеринга ... текст свёрнут, показать
     
     
  • 9.93, arisu (ok), 22:49, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    для системдеца никаких трояноустройств не надо, системдец сам троян ... текст свёрнут, показать
     
     
  • 10.98, Аноним (-), 04:14, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так все правильно чтобы избавиться от чужих троянов, мы будем приваживать св... текст свёрнут, показать
     
  • 7.73, Аноним (-), 19:51, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Клавиатуру никто не информирует о простое Единственная небольшая проблема У ... большой текст свёрнут, показать
     
  • 4.10, Аноним (-), 02:23, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    в новости написано как раз о том, что проявится измененный код только на другом компе, т.е. заливаешь, сверяешь суммы - все ок, а на другом компе может и не догадаются сверить. да и надеяться на глупость контроллера или того кто его взламывал - недальновидно.
     
  • 4.12, Ordu (ok), 03:06, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть. Хотя
    > если код подставляется только иногда - может и не прокатить.

    А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура, которая запускает терминал, затем, изображая нажатия на клавиши, "набирает" код программы, после чего отправляет её на выполнение.

    > С другой стороны - у флехи мелкий контроллер, не такой уж и
    > умный.

    Да, это серьёзный ограничитель.

     
     
  • 5.17, Аноним (-), 04:47, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура,

    Ну если вас не смущает бубнеж ядра про HID device при втыкании флехи - ну извините :).

     
     
  • 6.23, Ordu (ok), 05:40, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура,
    > Ну если вас не смущает бубнеж ядра про HID device при втыкании
    > флехи - ну извините :).

    Вот к чему вы это сказали? К тому, что на конференции они будут заниматься туфтой и, как британские учёные, бессмысленно тратить своё время? Думаю нет, думаю вы имели в виду какую-то иную цель, когда говорили это. Но какую именно? Может вы хотели продемонстрировать окружающим свои невероятные познания и умение отслеживать в реалтайме все изменения в подключённых девайсах? Допустим, но мне кажется вы ошиблись адресом, такими знаниями лучше хвастаться в офисе перед планктонинами. М-м-м... Мне не придумать никаких других объяснений вашим словам. Может вы сами расскажете, чтобы мне не гадать?

     
     
  • 7.45, Аноним (-), 13:17, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/

    >  Может вы хотели продемонстрировать окружающим свои
    > невероятные познания и умение отслеживать в реалтайме все изменения в подключённых
    > девайсах? ь?

    Зришь в корень. А может он хотел сказать, что выводить dmesg на пол эжкрана постоянно - это жизненная необходимость и те, кто этого не делает хомячки и вообще о безопасности не думают.

     
     
  • 8.81, Аноним (-), 22:56, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну извините, если вы безбашенно втыкаете чужие флешки и лезете при этом под руто... текст свёрнут, показать
     
  • 5.22, Классический Анонимус (?), 05:29, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    "у флехи мелкий контроллер"

    Вы ошибаетесь. Есть флэшки с операционкой внутри. Пройдет год-два и флэшки станут ещё мощнее. Хотя софтовый USB делается на микроконтроллере атмега с 8кб памяти и несколько кб ОЗУ.

    Как страшно жить! :(((((((((

     
  • 4.14, pavlinux (ok), 03:41, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > у флехи мелкий контроллер, не такой уж и умный.

    Угу, Intel i8088

     
     
  • 5.18, Аноним (-), 04:48, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Угу, Intel i8088

    Бывает 8051 разогнанный, как один из вариантов.

     
  • 4.38, Аноним (-), 11:58, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > у флехи мелкий контроллер

    А ты не подумал, что умный злой контроллер может легко эмулировать функции мелкого тупого контроллера.

     
     
  • 5.46, Аноним (-), 13:18, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> у флехи мелкий контроллер
    > А ты не подумал, что умный злой контроллер может легко эмулировать функции
    > мелкого тупого контроллера.

    Рано или поздно флешкам перестанет хватать питания, когда те начнут ломать пароли в консоли перебором ))

     
  • 4.42, AlexAT (ok), 13:07, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Зато на каком-то современном SSD недавно при беглом осмотре обнаружил x86.
     
  • 4.53, bOOster (?), 14:21, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Какие хеши?? Откуда им там взяться? Чего с чем сравниваете? Атакующая флешка никогда не бывала в атакуемой системе.
     

  • 1.8, Аноним (-), 01:40, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Примерно так в общем-то ломали PS3...
     
     
  • 2.11, Lui (??), 03:03, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен. есть к примеру кейлогеры которых вообще не заметишь, которые в далекие времена подключались к ps2 , а какой нибудь usb который могет почти все (при правильных настроек рук - усе ))) ) не только снифить но и активно влиять на "жертву" - это может просто перерасти в разновидность вируса который передается через флэху,3g-модем,... , но аппаратно-софтварный. в принципе ничего не мешает сделать и программно-аппаратный вирус ) -- к примеру как я перепрогил usb-3g-модем )
     
     
  • 3.85, Аноним (-), 03:12, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Согласен. есть к примеру кейлогеры которых вообще не заметишь, которые в далекие
    > времена подключались к ps2

    Заметим что он и слать что угодно мог в свое удовольствие. А что помешает то?

     

  • 1.13, pavlinux (ok), 03:29, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У ФСБ могли бы быть такие девайсы - в 2006 году сам делал.
    Они сказали - нах... нам такие, при себестоимости 3$, с них откаты маленькие.
    Но зато есть спец-USB-хаб от таких атак, так что - галактико в безопасности,
    ну а хомяки пускай страдают. :-P

    Кстате, [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы,
    с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь.  

    Собственно я это к чему?! А к тому, что OpenSource без OpenHardware - ИБД  

     
     
  • 2.19, Аноним (-), 04:49, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > У ФСБ могли бы быть такие девайсы - в 2006 году сам делал.

    Да елки, такое кто только не делал.

    > Они сказали - нах... нам такие, при себестоимости 3$, с них откаты маленькие.

    Так надо было представлять это как убер-хайтеч-достижение. "100 баксов - за работу и 900 - за то что знаю что заменять" (c) анекдот.

     
     
  • 3.26, pavlinux (ok), 06:04, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так надо было представлять это как убер-хайтеч-достижение.

    ... они даже по 500$ связываться не стали бы.
    Если в госзаказе меньше 10 лямов никто шевелится не будет.  
    Как НИОКР прокатило, на полгода себя з/п обеспечили.  

     
     
  • 4.82, Аноним (-), 22:57, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Если в госзаказе меньше 10 лямов никто шевелится не будет.

    Ну так это... 10 мега-девайсов по миллиону :).


     
  • 2.49, Аноним (-), 13:42, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    За тобой уже выехали.
     
  • 2.55, rob pike (?), 14:46, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы, с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь

    И что, до сих пор нет ни одной опенсорсной имплементации этой тривиальной идеи?

     
     
  • 3.57, Andrey Mitrofanov (?), 14:52, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы, с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь
    > И что, до сих пор нет ни одной опенсорсной имплементации этой тривиальной
    > идеи?

    Как нет?! systemd-fairwalld-uedvd-usbd же. У Сиверса в git-е.

     

  • 1.15, pavlinux (ok), 04:13, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > При этом модификация проявится только при попытке установки Ubuntu
    > на другом компьютере, проверка контрольной суммы после копирования
    > файла не выявит проблем.

    А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности системы.

     
     
  • 2.20, Аноним (-), 04:50, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки
    > целостности системы.

    Как атакующий не может предусмотреть всех комбинаций систем, так и дистропитеки не могут предусмотреть все варианты западла от флешек. Понимаешь ли подменить сектор при чтении можно в любой момент...


     
     
     
    Часть нити удалена модератором

  • 4.29, commiethebeastie (ok), 09:08, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ЧСВ OVER 9000.
     
  • 4.48, Аноним (-), 13:22, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  от меня хрн дождётесь полезной инфы.

    Никто и не сомневался.

    > Чем больше деблов, тем больше у меня зарплата.

    Зарплата дворника зависит от количества мусора?

     
  • 2.30, Аноним (-), 09:22, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности системы.

    они уже есть, только если ты включишь думающее устройство, то поймешь, что они вполне могут не помочь в случае, если флешка выдает измененный бинарь только в случае загрузки с нее.

    и кстати от такой атаки хорошо должен помочь secure boot.

     
     
  • 3.86, Аноним (-), 03:14, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > и кстати от такой атаки хорошо должен помочь secure boot.

    Вот это не факт совсем.

     
  • 3.87, Аноним (-), 10:30, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > от такой атаки

    От какой атаки? От копирования файла с носителя? USB накопитель в этом смысле ничем не отличается от дискеты, сетевого накопителя и т.п. Бредовая статья.

     
  • 2.39, Аноним (-), 12:13, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> При этом модификация проявится только при попытке установки Ubuntu
    >> на другом компьютере, проверка контрольной суммы после копирования
    >> файла не выявит проблем.
    > А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности
    > системы.

    Погугли BART.

     

  • 1.27, A.Stahl (ok), 08:38, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Вредоносные изменения можно выявить зачастую только через очень трудоёмкие методы анализа, такие как физическое дизасcемблирование и обратный инжиниринг устройства.

    Ну да. А может просто у оператора спросить а чего это он только что присобачил к системе? А для тех устройств которые редко отключаются\подключаются просто прописать их назначение где-то в конфигах? Это, наверное, слишком сложно. Ну пусть тогда пишут ИИ по слежению за поведением устройств. Точно.

     
  • 1.33, например (?), 10:04, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как страшно жить
     
  • 1.35, YetAnotherOnanym (ok), 11:11, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну чо, зяпилят в ядро файрвол для USB - чо ещё делать...
     
     
  • 2.36, Аноним (-), 11:46, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    1. Накодят systemd-usbd;
    2. Накодят ужасного качества патч для ведра, потому что в процессе работы над п.1 всплывет фатальный недостаток;
    3. Линус явит Животворящий Перст очередному кею сиверсу;
    4. ?????
    5. Новая новость на опеннете!
     
  • 2.76, Аноним (-), 20:22, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Точно, usbtales. И правила, типа, в этом физическом USB порту может работать только накопитель. Если не накопитель, то -j REJECT (DROP).
     
     
  • 3.90, Xasd (ok), 18:55, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    usbtables
     
     
  • 4.101, Аноним (-), 16:43, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > usbtables

    "Ты не поверишь....", но в дремучем Солярис 10 есть конфигурация безопасности для периферии, включая USB.....

     

  • 1.37, Аноним (-), 11:52, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Коллеги, посмотрите материал о выполнении контроллером клавиатуры несвойственных ему функций http://ilizarov.center/?page_id=91 В случае не полезной (как в примере), а деструктивной начинки защита от такого вряд ли будет простой.
     
  • 1.40, Аноним (-), 12:24, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe
     
  • 1.41, odity (?), 12:39, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Хахаха, сертифицировали кабинет шефа..значит ФСБ не так глубоко копает,когда делает осмотр каждого устройства,раз надо подходить индивидуально к каждому устройству. каждую клавиатуру не только просвечивать,но и проверять код прошивки??не думаю,что они это делают.))) рдал дого..поставил клаву шефу, а она со встроеным глазом и следит за ним, а через адаптер отправляет видео шпиону))) смешно в том, что такое мне снилось уже)))Моя фантазия впереди инноваций)
     
  • 1.43, arisu (ok), 13:12, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    опять до кого-то дошло, что по универсальному интерфейсу кто угодно может притвориться HID-устройством? ну, круто, чо. почти так же круто, как недавняя новость про «уязвимость rm».
     
  • 1.60, vi (?), 15:46, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прощай udev, здравствуй mknod!
    Нет, назад возврата нет.
     
     
  • 2.61, udev (?), 15:52, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    прощай, vi
     
  • 2.63, Andrey Mitrofanov (?), 15:57, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Прощай udev, здравствуй mknod!
    > Нет, назад возврата нет.

    Ой-вей, ви-таки не любите outflux.net/blog/archives/category/vulnerabilities/ Xorg? И systemd, и автомаунт, и автозапуск?

     
     
  • 3.84, vi (?), 22:59, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Прощай udev, здравствуй mknod!
    >> Нет, назад возврата нет.
    > Ой-вей, ви-таки не любите outflux.net/blog/archives/category/vulnerabilities/ Xorg?
    > И systemd, и автомаунт, и автозапуск?

    Люблю! Но какою то странною Любовью!

     

  • 1.64, Аноним (-), 17:30, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    для воровать данные норм,
    не тока же барину собирать метаданные.
     
  • 1.65, Аноним (-), 18:21, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А-а-а!!!
    Мы все умрем.
     
  • 1.66, Кирилл (??), 18:23, 01/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как ни странно, вот же новость, но человек -- пользователь -- вообще ничего в устройствах компьютера не контролирует.
     
     
  • 2.83, Аноним (-), 22:59, 01/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как ни странно, вот же новость, но человек -- пользователь -- вообще
    > ничего в устройствах компьютера не контролирует.

    Да, прилетела флешка. Сама воткнулась в системник.

     
     
  • 3.106, Кирилл (??), 13:27, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ну не флэшка прилетела, а примеру -- южный мост. Или, тем более, сам процессор.
     

  • 1.89, Xasd (ok), 18:47, 02/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    а ещё USB-устройство -- может замкнуть дорожки питатния.

    и в этом случае:

    * либо сгорит материнская плата. (низкая вероятность)

    * либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание USB-группы. (высокая вероятность).

    * либо сработает программируемая многоразовая система отключения питания, за состояние которого отвечает прошивка UEFI. (низкая вероятность).

    так что в любом случае засовывать в USB -- всякое говно -- не нужно. :-)

    да и вообще -- если уж передавать файлы на флэшке -- то лучше на SD-флэшке а не на USB-флэшке. (хотя и SD-флэшка может быть перепрограммирована. но в клавиатуру или в сетевую карту она не может превратиться)

     
     
  • 2.99, Аноним (-), 04:17, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > * либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание
    > USB-группы. (высокая вероятность).

    Там как правило многократные предохранители нынче, знаток.

    > * либо сработает программируемая многоразовая система отключения питания, за состояние
    > которого отвечает прошивка UEFI. (низкая вероятность).

    Где вы такой бред берете?

     
     
  • 3.102, Классический Анонимус (?), 08:24, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я разрабатывал железки на ftdi и atmega. USB-порты на USB-хабе очень легко палятся насмерть по недосмотру.
     
     
  • 4.104, Xaionaro (ok), 08:34, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я разрабатывал железки на ftdi и atmega. USB-порты на USB-хабе очень легко
    > палятся насмерть по недосмотру.

    И как это делать (палить USB-порты)? (/me искренне интересно)

    P.S.: IMHO, анонимам надо запретить говорить "я".

     
     
  • 5.105, arisu (ok), 12:42, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > P.S.: IMHO, анонимам надо запретить говорить "я".

    отчего это? O_O

     
     
  • 6.108, Xaionaro (ok), 21:16, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> P.S.: IMHO, анонимам надо запретить говорить "я".
    > отчего это? O_O

    Потому что фразы вроде «Я разрабатывал железки на ftdi и atmega» могут оказаться ложью и никак не повлияют на репутацию реального пользователя.

     
  • 2.103, Xaionaro (ok), 08:33, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а ещё USB-устройство -- может замкнуть дорожки питатния.
    > и в этом случае:
    > * либо сгорит материнская плата. (низкая вероятность)
    > * либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание USB-группы.
    > (высокая вероятность).

    Откуда у вас такая информация? Я замыкал питание на USB, ничего не сгорало.

     

  • 1.107, Аноним (-), 20:56, 04/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В патчах grsecurity давно есть некоторая защита от этого. Можно sysctl-кой вырубить возможность обнаружения новых устройств без возможности обратного влючения этой возможности до перезагрузки. Т. е. загрузились, инит скрипт выставил значение kernel.grsecurity.deny_new_usb = 1 и усе, никакие новые USB устройства больше инициализированы не будут. Правда нужно безоговорочно доверять тем устройствам, которые подключены к компьютеру/серверу в момент загрузки. :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру