The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Открыт код инструментария для проведения атак через модификацию прошивок USB-накопителей

03.10.2014 15:59

Летом на конференции Black Hat был представлен и продемонстрирован новый класс атак BadUSB, проводимых с USB-устройств со специально модифицированной прошивкой. Суть атаки сводится к эмуляции одним устройством совершенно другого типа USB-устройств или модификации передаваемых данных, например, USB-накопитель в определённый момент может притвориться USB-клавиатурой или подменить копируемые данные, но активировать подмену только при определённых условиях для того чтобы проверка по контрольной сумме не выявила расхождений.

Атаку представил известный исследователь безопасности Карстен Нол (Karsten Nohl), который опубликовал только тестовый прототип эмуляции устройств для платформы Android. Наиболее интересные и опасные наработки, связанные с изменениями прошивок остались недоступны широкой публике. Позднее, разработчики проекта Kali Linux подготовили собственную реализацию метода и включили её в продукт Kali NetHunter, предназначенный для использования на смартфонах под управлением платформы Android. Метод позволяет при помощи смартфона эмулировать сетевой USB-адаптер, который может использоваться для MITM-атак, или USB-клавиатуру, выполняющую подстановку символов.

Два независимых исследователя, Brandon Wilson и Adam Caudill, сумели воспроизвести технику атаки для USB-накопителей и несколько дней назад опубликовали на GitHub исходные тексты компонентов, необходимых для модификации прошивок накопителей с чипами контроллеров компании Phison Electronics, а также примеры патчей для прошивок с реализацией метода подстановки клавиатурного ввода и создания полностью скрытого от внешнего мира раздела (прошивка выводит правильный размер итогового накопителя, но часть данных скрывает и показывает только при наступлении определённых событий). Код опубликован под лицензией MIT.

В состав входит приложение для взаимодействия с накопителями Phison, программа для встраивания в прошивку дополнительной функциональности в формате Rubber Ducky, скрипты для загрузки прошивки на устройство, программа для извлечения адресов из прошивки и встраивания кода в прошивку, пример собственной прошивки и коллекция патчей для прошивок. На wiki-странице проекта доступна подробная документация по внесению изменений в прошивку. Разработчики надеются, что публикация инструментария для совершения атаки станет стимулом для внедрения производителями технологий верификации прошивок по цифровым подписям.

Производители USB-устройств оказались совершенно не готовы для данного класса атак, так как в настоящее время системы рассчитаны на то, что USB-устройства выполняют только штатные действия и пользуются слишком высоким уровнем доверия. USB-устройство выглядит для системы чёрным ящиком, в котором невозможно проверить корректность прошивки, а наличие вредоносных модификаций прошивки невозможно зафиксировать до момента совершения атаки. Получить код прошивки с внешнего USB-устройства можно только при участии самой прошивки, которая может успешно скрывать все изменения. Анализ прошивки возможен через такие методы, как физическое дизасcемблирование и обратный инжиниринг устройства, проведение которых возможно только при наличии специализированного оборудования. При этом провести изначальную модификацию прошивки можно в обычном программном окружении без привлечения спецсредств.



  1. Главная ссылка к новости (http://threatpost.com/badusb-a...)
  2. OpenNews: Kali NetHunter, превращающий Android-устройство в окружение исследователя безопасности
  3. OpenNews: Новый вид атак с использованием перепрограммированных USB-устройств
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/40744-badusb
Ключевые слова: badusb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (57) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pavlinux (ok), 21:37, 03/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > при помощи смартфона эмулировать сетевой USB-адаптер, который может использоваться для MITM-атак

    In The Middle между кем?

    ---
    > Разработчики надеются, что публикация инструментария для совершения атаки станет стимулом
    > для внедрения производителями технологий верификации прошивок по цифровым подписям.

    Какие нафиг подписи, вы чо?! Одноразовую, не перезаписываемую флеш и всё!
    Так дело дойдёт и до ЭЦП кондеров/резисторов/катушек и втыкание сертифицированных коннекторов.

    ---
    To set up a build environment, you need to:

    Install Visual Studio 2012 Express (for building the tools).
    Install SDCC (Small Device C Compiler) suite to C:\Program Files\SDCC (for building the firmware and patches).

    не, ну я так не играю ...

     
     
  • 2.6, Skif (ok), 22:27, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перепbшите под gcc, в чём проблема?
     
     
  • 3.8, pavlinux (ok), 22:31, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Слухай, сходи ссылочки/wiki почитай, на Писон сайт слазай, ... через неделю с резюме приходи.
     
     
  • 4.22, Аноним (-), 01:24, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Слухай, сходи ссылочки/wiki почитай, на Писон сайт слазай, ... через неделю с
    > резюме приходи.

    Слушай, павлин, DiHalt уж сто лет назад патченой мышкой с завода данные спер. При том все хакирство состояло в том что в корпус мыша был засунут еще и хаб, в который впихнута флеха. Ну вот на флеху и скопировали. Такое хакирство крутое. Не помогло даже то что комп убран в железный ящик без доступа, как видишь :)

     
     
  • 5.43, pavlinux (ok), 05:25, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Слухай, сходи ссылочки/wiki почитай, на Писон сайт слазай, ... через неделю с
    >> резюме приходи.
    > Слушай, павлин, DiHalt уж сто лет назад патченой мышкой с завода данные
    > спер. При том все хакирство состояло в том что в корпус
    > мыша был засунут еще и хаб, в который впихнута флеха. Ну
    > вот на флеху и скопировали. Такое хакирство крутое. Не помогло даже
    > то что комп убран в железный ящик без доступа, как видишь
    > :)

    Гонишь батенька

    1. Если комп в ящике, как мышь воткнули?  
    2. Если комп в ящике, то там мышь и клава или PS/2, или RS232,
    на болтах,  с экранированными, бронированными шнурами, чтоб ЭМИ не снимали,
    портов ввода/вывода нет, максимум кнопка питания/ресета.


      

     
     
  • 6.49, Онаним (?), 10:46, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Открою Вам тайну. Есть такая отмычка для компов в железном ящике - социнженерия называется. Вот ее то и применил тот чел, для того, чтобы админ сам вскрыл ящик и воткнул пропатченную мышь.
    Подробности уже не помню, Гугл в помощь.
     
     
  • 7.55, Посторонним В (?), 18:27, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Открою Вам тайну. Есть такая отмычка для компов в железном ящике -
    > социнженерия называется. Вот ее то и применил тот чел, для того,
    > чтобы админ сам вскрыл ящик и воткнул пропатченную мышь.
    > Подробности уже не помню, Гугл в помощь.

    О какие тайны всплывают-то. А до этого казалось-бы всего-то и хакерства нужно было - мышку слегка модифицировать...

     
  • 2.7, Anonymus (?), 22:28, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё и ЭЦП проводов. Давным-давно же было кино где вирус в куске кабеля мог жить.
     
     
  • 3.12, Аноним (-), 23:00, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А теперь в куске кабеля спокойно умещается микропроцессор и флеш-память. Есть даже такой прикол - флешка в виде отрезанного куска провода.
     
  • 2.23, Аноним (-), 01:29, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > In The Middle между кем?

    Между юзерскими программами и настоящим адаптером. Хоть я и не понимаю как сетевка без кооперации со стороны ОС сможет весь трафф захватить. Ну разве что если система по DHCP айпи хапнет и дефолтный маршрут? Но это от настроек системы очень зависит.

    > Какие нафиг подписи, вы чо?! Одноразовую, не перезаписываемую флеш и всё!

    А потом, когда в 10 миллионах флех обнаружится фатальный баг вида "дохнет через полдня работы" - производитель будет пускать под пресс 10 миллионов флех? Да щаз, размечтался! :)

     
     
  • 3.35, Аноним (-), 12:33, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Хоть я и не понимаю как сетевка без кооперации со стороны ОС сможет весь трафф захватить

    Внедрить шелл через сбой в своем собственном драйвере думаешь совсем не вариант?

     
  • 3.37, vi (ok), 19:12, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/

    >> Какие нафиг подписи, вы чо?! Одноразовую, не перезаписываемую флеш и всё!
    > А потом, когда в 10 миллионах флех обнаружится фатальный баг вида "дохнет
    > через полдня работы" - производитель будет пускать под пресс 10 миллионов
    > флех? Да щаз, размечтался! :)

    Не баг, а фича ;)
    Ни через полдня, а после окончания гарантийного срока :(
    Так что мечтать не вредно!

     
  • 3.44, pavlinux (ok), 05:40, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> In The Middle между кем?
    > Между юзерскими программами и настоящим адаптером.

    То есть приходим, втыкаем сетевуху, куда-то сливаем трафик... это MITM сейчас называется?
    мож быстрее дать да отвертку, пущай диск вынут,  

    > Хоть я и не понимаю как сетевка без кооперации со стороны ОС сможет весь трафф захватить.

    Promisc mode, TAP-снифер, port mirroring - тупа дублирование сигнала на два выхода.  

     
  • 2.50, bOOster (?), 15:32, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Никто не готов к отвественности одноразовой записи. Раньше на тестирование прошивки тратили десятки месяцев, прежде чем записать в ROM, щас производитель пихает прошивки на второй месяц тестирования. Чтобы хоть как-то работала. С расчетом на то что "если что" обновит.
     

  • 1.2, arzeth (ok), 21:37, 03/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если я правильно понял, то вот решение:
    Перед тем как пользовать USB-устройство, будет каждый раз появляться окно, где будут написаны тип устройства, какой драйвер, когда и в какой порт был воткнут, «введите пароль от root».
     
     
  • 2.3, pavlinux (ok), 21:50, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  «введите пароль от root».

    Ага, пакетам на уровне шины USB


     
     
  • 3.10, Аноним (-), 22:54, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, пакетам на уровне шины USB

    Все проще, каркуша. Флешка-которая-клава будет иногда наудачу посылать тебе парочку веселых команд в надежде что там был терминал. И если так получится что там был терминал - в нем напечатается и выполнится вражеская команда, все дела :).

    Так же можно попросить браузер сходить на нужную урлу, etc. В общем флеха может фэйковой клавой делать все то же что юзер за монитором с настоящей клавы. Ну так, теоретически :).

     
     
  • 4.13, Аноним (-), 23:05, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И фейковой мышой по рекламным ссылкам тыкать.
     
     
  • 5.14, Аноним (-), 23:24, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А это уже хардварное читерство. Вроде для всяких боттеров добывающих виртуальные руды в играх и прочий шит такое бывает даже. Софт точно. Но можно и делезяку с автоматизацией сделать.
     
  • 4.32, YetAnotherOnanym (ok), 12:07, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сделают привязку сеанса к устройству, с которого был введён пароль, если этого ещё нет. Подключилась клава - пусть юзер введёт с неё пароль. Делов-то.
     
  • 4.45, pavlinux (ok), 05:49, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ага, пакетам на уровне шины USB
    > Все проще. Флешка-которая-клава будет иногда наудачу посылать тебе парочку веселых
    > команд в надежде что там был терминал. И если так получится

    Ты б хоть для приличия спеки, хотя бы USB 1.0, прочел.
    А то размечтались тут... флешки браузерами рулят, бабло с кредиток сливают,... ога.


     
  • 2.4, Аноним (-), 21:51, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нет! Все устройства в светлом настоящем и будущем должны взаимно проверять подписи прошивок друг друга. А во благо пользователей и во имя надёжности и безопасности прошивки должна подписывать только одна человеколюбивая корпорация, лидер идей свободного ПО и производитель самой распространённой ОС на ПК. Думаю, эта корпорация должна срочно запатентовать мою мысль и немедля воплотить её в жизнь.
     
     
  • 3.33, YetAnotherOnanym (ok), 12:08, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нет! Все устройства в светлом настоящем и будущем должны взаимно проверять подписи
    > прошивок друг друга.

    А у кого прошивка без подписи - линчевать.

     
  • 3.38, vi (ok), 19:18, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет! Все устройства в светлом настоящем и будущем должны взаимно проверять подписи
    > прошивок друг друга. А во благо пользователей и во имя надёжности
    > и безопасности прошивки должна подписывать только одна человеколюбивая корпорация, лидер
    > идей свободного ПО и производитель самой распространённой ОС на ПК. Думаю,
    > эта корпорация должна срочно запатентовать мою мысль и немедля воплотить её
    > в жизнь.

    А за подписями куда обращаться, в "Матрицу"?

     

  • 1.9, Phis0n (?), 22:39, 03/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Потрясающая новость. Уже собрал и накатил свой патч, добавляющий кое-какую функциональность, а именно, скрытый прокси-сервер,сливающий всю инфу,проходящую через него, на определенный сервер в tor. Пойду испытаю на одном знакомом). Неплохо бы было еще завести знакомство с кем-нибудь, кто работает в компьютерном супермаркете, чтобы как говорится сразу там и прошивать флешечки на последнюю, самую лучшую и "безопасную" прошивку)
     
     
  • 2.25, Аноним (-), 02:01, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Че Даже если твоя флешка будет работать как сетевой адаптер, то данные на него ... большой текст свёрнут, показать
     
  • 2.54, Посторонним В (?), 18:02, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Потрясающая новость. Уже собрал и накатил свой патч, добавляющий кое-какую функциональность,
    > а именно, скрытый прокси-сервер,сливающий всю инфу,проходящую через него, на определенный
    > сервер в tor. Пойду испытаю на одном знакомом). Неплохо бы было
    > еще завести знакомство с кем-нибудь, кто работает в компьютерном супермаркете, чтобы
    > как говорится сразу там и прошивать флешечки на последнюю, самую лучшую
    > и "безопасную" прошивку)

    Только есть риск. Что пожизненной выплатой компенсации всех убытков дело может не исчерпаться... Особенно, если по вероятным причинам компенсация окажется вне возможностей вас и знакомого... >:-)

     

  • 1.11, Аноним (-), 22:56, 03/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Метод позволяет при помощи смартфона эмулировать сетевой USB-адаптер, который
    > может использоваться для MITM-атак

    Я узнал что у меня
    Есть огромная семья:
    MP5, бронежилет,
    Нож, фонарь и взрывпакет,
    M-16, пистолеты -
    USP и две беретты

    В смысле, оказывается я с ARMовской платкой и модулем g_ether - крутой хакир? Ну нифига себе...

     
     
  • 2.48, commiethebeastie (ok), 11:38, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Хакер с армовской платой обрушит биржу, парализует банковскую систему и доведет до самоубийста сотню человек, а с твоими береттами тебя пристрелят при выходе из машины.
     

  • 1.15, Kodir (ok), 23:50, 03/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я бы не сказал, что всё совсем уж страшно - ОС сама должна говорить юзеру "подключаю внешний диск - ОК?".

    Насколько я слышал, сам USB стандарт - полное гуано, слишком сложный для полной реализации (и какой му***ак его придумал?), так что замена USB - вполне хорошая альтернатива. Особенно в сфере надвигающегося Lightning.

     
     
  • 2.16, Xasd (ok), 23:55, 03/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > так что замена USB - вполне хорошая альтернатива.

    USB-мышки и USB-клавиатуры -- работают хорошо. нет смысла их заменять на что-то другое.. USB-сетевые карты -- тоже норм работают (как минимум удовлетворительно).

    > Особенно в сфере надвигающегося Lightning.

    твой Лайтинг -- это не тот ли порт, который предоставляет устройствам прямой доступ к памяти -- в обход операционной системы?

    зачётное решето! :-) это ещё хлеще чем badUSB, так как не нужно пытаться имитировать клавиатуру :-) ..

    а ведь решение-то проще -- используй SD-карточки вместо USB-флешек. (ну или так "не вставляй чужие USB-флешки в свой важный комп, проси чтобы скинули тебе инфу на SD-флешку")

     
     
  • 3.18, Crazy Alex (ok), 00:50, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, мышки и клавиатуры - прекрасно работают и PS2. Клавиатуры - даже лучше, чем на USB.

     
     
  • 4.20, Аноним (-), 01:20, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, мышки и клавиатуры - прекрасно работают и PS2.

    Правда на половине мамок разъемы или выпилили или оставили 1 вместо 2.

    > Клавиатуры - даже лучше, чем на USB.

    И чем лучше?

     
     
  • 5.27, Xasd (ok), 02:32, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Клавиатуры - даже лучше, чем на USB.
    > И чем лучше?

    уж точно "лучше" не тем фактом что PS/2 (в отличии от USB) запрещается втыкать\вытыкать "на горячую".. порт может сломаться, вот веселуха-то! :-)

    а ведь такие устройства как мышка или клавиатура -- бывает что изредка требуется спонтанно отключить или включить (например мышка начала глючить, нужно заменить на другую). компьютер выключать ради этого(?) -- нонсенс!

    а ещё в один USB-порт можно разветвить USB-хабом, и подключить в итоге к компьютеру одновременно и USB-мышку и USB-клавиатуру! а в один PS/2 порт -- подключить одновременно и мышку и клавиатуру -- нельзя.

     
     
  • 6.36, Аноним (-), 14:52, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В современных матерях, кстати, с этим всё в порядке С PS 2 проблемы в другом В... большой текст свёрнут, показать
     
     
  • 7.47, pavlinux (ok), 06:43, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Во-вторых, PS/2 вешается на... шину ISA.

    Не пиши больше.

    Какая в пясту шина ISA? У PS/2 свой контроллер, - трех регистровый процык,
    со своими адресами и портами (64h обычно), дергают 1 и 12 прерывания ЦПУ.
    Припаять его можно куда хочешь, хоть к контроллеру памяти.  

    Без дела прерывания не дергают, в том время как USB выдаёт аццкий оверхед,
    даже в режиме сна.

    USB, да вообще все Serial шины - говно по определению!
    USB/SATA/SAS/PCI-E популярно, только потому, что дёшево, для чайнегов и выгодно AMD/Intel,
    так как всю нагрузку по разбору трафика берут на себя ЦПУ.
    Всё это говно Intel вместе с Microsoft и протолкнули.

     
  • 6.46, pavlinux (ok), 05:58, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > компьютер выключать ради этого(?) -- нонсенс!

    Ты явно не в IT сфере работаешь.

    В общем, там где есть что скрывать, для замены мышки нужна заявка на замену,
    за подписью нач. отдела безопасности. И на это может уйти от часа до недели.

     
  • 3.21, j3qq4 (??), 01:22, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >твой Лайтинг -- это не тот ли порт, который предоставляет устройствам прямой доступ к памяти -- в обход операционной системы?

    Не, то Fire-Wire///

     
     
  • 4.24, Аноним (-), 01:30, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не, то Fire-Wire///

    А в lightning вроде как додумались PCI-E наружу вывешивать, там тоже DMA можно.

     
     
  • 5.29, Аноним (-), 10:21, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а что вас смущает? это несколько линий pcie, выведенных как провод, а не разъём на плате. esata тоже аналогичный. кто в здравом уме будет к L мышку подключать?
     
  • 2.19, Аноним (-), 01:19, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот когда будешь разрабатывать usb девайсы - тогда и будешь свое мнение толкать ... большой текст свёрнут, показать
     

  • 1.26, Аноним (-), 02:09, 04/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Выводить сообщения в трей: подключен ums, подключена клавиатура и т д, а лучше: ша такой-то шине висит 10 таких-то устройств вместо одного. Вместе с характерным звуком "динь". Если ничего не делаешь, а система рапортует об каких-то подключениях устройств...
    Ну и надо чтоб система не путала устройства ввода, если работаешь с одной клавы и постоянно вставленя флешка с виртуальной клавой, то вторая клава активируется только по запросу.
     
     
  • 2.28, Аноним (-), 02:39, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А что делать при загрузке ОС? Зафлудить юзера сообщениями "а я тут 100500 девайсов нашел!" или же позволить многофункциональной клаве-флешке тихой сапой жить спокойно? :)
     
     
  • 3.30, Алексей (??), 11:01, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что делать при загрузке ОС? Зафлудить юзера сообщениями "а я тут
    > 100500 девайсов нашел!" или же позволить многофункциональной клаве-флешке тихой сапой
    > жить спокойно? :)

    как вариант отслеживать только многофункциональные устройства типа и модем и сд-диск и клава. Может быть ввести понятие основной клавиатуры и только с нее разрешать ввод к примеру системных команд.
    А может уже пора подключать юридические методы борьбы. На компьютерах будет завязываться все больше и больше в жизни человека. Может быть когда-нибудь взлом личного терминала будет считаться тяжким преступлением за которое будут отправлять на необитаемый остров в центре тихого океана.

     
     
  • 4.31, Аноним (-), 11:52, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, всего надо - глазок высокого разрешения над компьютером, софт от агенства и монитор личных коммуникаций (всё по договору) - и посадки пойдут.
     
  • 4.41, Аноним (-), 03:42, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > необитаемый остров в центре тихого океана.

    Да нынче по статьям типа 273 если захотят - тоже нехило припаяют. А если не захотят - спустят на тормозах.

     
  • 4.42, Аноним (-), 03:49, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А что делать если некий девайс однажды объявит себя покемоном и решит стать мног... большой текст свёрнут, показать
     

  • 1.34, Аноним (-), 12:28, 04/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подобный клас атак известен давно, в Линукс разработаны средства для защиты от любых неправильных USB!

    Лучше пользоватся провереным сертифицмрованным железом и держать свои компы в помещениях с ограниченым доступом, где люди понимают что льзя, а что нельзя.

    Там где доступ к железу ограничить нельзя, и люди суют флешки есть две опции ядра Линукс гарантирующие защиту от атак с любым плохим USB девайсом:
    GRKERNSEC_DENYUSB
    GRKERNSEC_DENYUSB_FORCE
    https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configura

    Проверить защиту вашего Линукса можно:
    ls /proc/sys/kernel/grsecurity/deny_new_usb

    если такой файл есть то для защиты всего то надо
    echo 1 > /proc/sys/kernel/grsecurity/deny_new_usb

     
     
  • 2.39, vi (ok), 19:29, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    > Там где доступ к железу ограничить нельзя, и люди суют флешки есть
    > две опции ядра Линукс гарантирующие защиту от атак с любым плохим
    > USB девайсом:
    > GRKERNSEC_DENYUSB
    > GRKERNSEC_DENYUSB_FORCE
    > https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configura
    > Проверить защиту вашего Линукса можно:
    > ls /proc/sys/kernel/grsecurity/deny_new_usb
    > если такой файл есть то для защиты всего то надо
    > echo 1 > /proc/sys/kernel/grsecurity/deny_new_usb

    Спс, Аноним!
    grsecurity - это нужная штука! (ИМХО)

     
  • 2.40, Аноним (-), 03:41, 05/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А что помешает девайсу делать пакости после ребута? :)
     
     
  • 3.51, Аноним (-), 15:38, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А что помешает девайсу делать пакости после ребута? :)

    Держать машину на UPS и перед ребутом осматривать все USB щели. не вставил ли кто несанкционированный ***. :)))

     
  • 3.52, Постороннм В (?), 17:30, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А что помешает девайсу делать пакости после ребута? :)

    Очевидно не так уж и много чего. Помешает. Особенно с учётом возможностей загрузки с флеш-накопителей, вставленных в USB...

     
     
  • 4.53, Посторонним В (?), 17:42, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ...и проблема давняя из windows. В которой вообще есть автозапуск. Вот видит windows, что флешка подключена с некоей установочной программой, оно её запускает. Автоматически и без спроса. Для удобства :-) Это поведение ещё со времён CD имеет место быть. Таким же путём там без спроса могут быть запущены программы со случайно вставленных CD, только от того, что они вставлены...
     
     
  • 5.58, yantux (??), 11:21, 07/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Автозапуск отключается антивирусом или изменением переменной в реестре.

    Однако, если к компу подключить usb устройство, которое определиться, как сетевая карта, то уже удалённо можно атаковать.

    Кроме того, если устройство определиться, как клава и флеш диск, то уже можно комбинацией клавиш сделать "пуск->выполнить->"... Тут тоже, лечиться настойкой в антивирусе запрета на запуск исполняемых файлов с флешки.

    Хотя запрет на выполнение файлов с флешки не панацея. У libtiff была уязвимость, что она откроет с флешки специально подготовленный tiff файл с вирусом, то при попытке просмотра он запуститься. Так что есть риск, что антивирус это пропустит.

     
  • 4.57, Аноним (-), 08:18, 07/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Физичиская защита и грамотный пользователь решают сию проблему.

    Считаю защиту во время работы вполне приемлемой. В этом случае комп уязвим только в момент загрузки. Перегрузки можно по логам просмотреть или от пользователя услышать чтобы заподозрить НСД.

    А при плановом включении осматривать все щели, может найдёте вирусну флешку...

     

  • 1.56, yantux (??), 19:11, 06/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Универсальность usb это одна сторона, а фигня с безопасностью - другая.

    Можно без всяких прошивок сделать железку, чтобы на ней были контроллеры клавы, мыши и дисков. Тогда железка сможет попеременно включать сразу несколько контроллеров или все сразу, как ей вздумается и вдувать к комп ту инфу, которая требуется, ну и получать соответственно.

    Потенциально эту проблему может решить шифрование данных по usb, как сделано у fabless конторы Миландр.

     
  • 1.59, Аноним (-), 11:31, 06/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На этой планете остались хоть какието положительные новости?  ))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру