BadUSB - luka w przenośnych napędach zagrażająca wszystkim - ichito - 07.10.2014
Niemal wszędzie już na branżowych portalach i serwisach anonsowano ostatnie wiadomości na temat upublicznienia kodu infekcji o nazwie BadUSB, wykorzystującej istniejącą od wielu lat podatność we firmware przenośnych pamięci podłączanych do komputera przez porty USB. Wiadomo, że nie do dotyczy to tylko popularnych pamięci na "pendrakach", ale także innych urządzeń posiadających pamięć do przechowywania danych użytkownika (telefony, smartfony, aparaty fotograficzne, odtwarzacze multimediów) oraz najprawdopodobniej wszelkich peryferiów podłączanych do komputerów i dysponujących własnym wewnętrznym oprogramowaniem jak choćby myszki czy drukarki nawet.
Jak widać skala zagrożenia może być ogromna, bo dotyczy właściwie wszystkich użytkowników indywidualnych oraz firmowych, a pierwsza niedobra wiadomość jest taka, że podstawy tej podatności opisano...podobnie jak obecne rewelacje o BadUSB...na konferencji Black Hat
[Aby zobaczyć linki, zarejestruj się tutaj]
tyle, że było to w roku 2005 w prezentacji pod tytułem [Aby zobaczyć linki, zarejestruj się tutaj] ...dalsze niedobre wiadomości wynikną z prezentowanych poniżej cytatów. Znalazłem 3 przykładowe, dość obszerne i merytoryczne opracowania na ten temat, więc po kolei
Cytat:Dwa miesiące temu na konferencji Black Hat ujawniono nowy rodzaj ataku wymierzonego w wymienne nośniki danych, który ochrzczono nazwą BadUSB. Pozwala on infekować niemal każde urządzenie USB, służące do przechowywania danych, niewykrywalnym wirusem. Teraz kody przykładowego „szkodnika” ujrzały światło dzienne.
Autorem demonstracyjnego szkodliwego kodu jest Karsten Nohl, który zauważa, że nie istnieje łatwy sposób ochrony przed infekcją. Nad niebezpiecznym wirusem współpracowało z nim jeszcze kilku badaczy, którzy postanowili złamać tabu i udostępnili szczegóły techniczne ataku, nie czekając na wprowadzenie odpowiednich mechanizmów ochronnych przez producentów sprzętu i oprogramowania. W świecie IT security takie zachowanie określa się mianem nieodpowiedzialnego ujawniania (ang. irresponsible disclosure). Teraz miliony urządzeń i systemów na całym świecie mogą stać się potencjalnymi celami ataków!
Na jednej z konferencji poświęconych bezpieczeństwu specjaliści zajmujący się bezpieczeństwem, Adam Caudill i Brandon Wilson, pokaszali, że udało im się z użyciem inżynierii odwrotnej (ang. reverse engineering) zbadać sposób, w jaki zaprezentowane przez Nohla szkodliwe oprogramowanie przenikało do urządzeń. Opublikowali także kod źródłowy w serwisie Github.
Zdaniem upubliczniającego kod, należało to zrobić, ponieważ ludzie zasługują na szczegółowe informacje o usterkach, aby mogli się przed nimi bronić. Wykorzystywane słabości USB były znane w kręgach specjalistów już od dawna, istnieje więc ryzyko, że są wykorzystywane przez służby specjalne czy firmy trudniące się wywiadem gospodarczym. Uwolnienie kodów źródłowych narzędzi demonstrujących atak jest ukłonem specjalisty w stronę publiczności, która wcześniej nie zdawała sobie sprawy, że może być inwigilowana.
Problem
Przyczyną problemu są słabości architektoniczne standardu USB, a w szczególności oprogramowania układowego mikrokontrolerów. Badacze zajmowali się jednym z najpopularniejszych, sprzedawanym przez tajwańską spółkę Phison, który znaleźć można w wielu urządzeniach. Okazuje się, że układy można tak zaprogramować, aby zamiast lub poza swą właściwą funkcją, prowadziły ataki wymierzone w system, do którego zostały podłączone.
Czym różni się to od konwencjonalnego wirusa? Umiejscowieniem „szkodnika”. Wirusy komputerowe rezydują zwykle w sektorach rozruchowych dysków, dołączają kod do obrazów programów czy zapisują się w skryptach rozruchowych systemu lub innych plikach odpowiadających za automatyczne uruchamianie. W przypadku BadUSB niszczycielski kod znajduje się w oprogramowaniu układowym urządzenia, do którego system komputerowy nie ma łatwego dostępu, szczególnie, że to ono może zdecydować w jaki sposób kontrolowane przezeń urządzenie będzie widziane przez komputer.
USB to w zasadzie nowoczesny interfejs transmisji szeregowej, ale urządzenia USB to osobne mikrokomputery. Problemem jest poziom zaufania udzielanego tym ostatnim przez systemy operacyjne.
Zagrożenie
O możliwe następstwa opublikowanej luki zapytaliśmy chcącego zachować anonimowość specjalistę ds. bezpieczeństwa (i sentymentalnego użytkownika mikrokomputera ZX‑Spectrum), którego na potrzeby wypowiedzi określać będziemy pseudonimem Likier. Przez wiele lat zajmował się badaniem podatności na zagrożenia w oprogramowaniu i ma na swoim koncie kilka poważnych odkryć usterek w popularnych usługach sieciowych oraz systemach operacyjnych.
Likier zauważył, że z powodu braku należytej kontroli na linii system komputerowy – urządzenie USB, występuje nadmierne zaufanie względem tego ostatniego, co prowadzić może do:
- ukrywania szkodliwego kodu w układach USB,
- emulowania dowolnych urządzeń przez zarażone układy,
- podsłuchiwania danych wymienianych w obrębie tej samej szyny (tego samego HUB‑a USB),
- prób ataków wymierzonych w sterowniki lub w oprogramowanie układowe innych urządzeń.
Podany przez Likiera przykład wykorzystania zarażonego firmware’u to sytuacja, gdy podłączany do USB dysk przenośny może „przedstawić się” systemowi jako klawiatura, która będzie zamiast użytkownika wprowadzała tekst, np. po otrzymaniu odpowiedniego sygnału od wirusa działającego na komputerze lub samodzielnie. Podsłuchiwanie informacji wysyłanych do systemu przez rzeczywistą klawiaturę również nie jest problemem dla odpowiednio zaprogramowanego układu.
Zainfekowany dysk przenośny czy odtwarzacz MP3 może również przełamywać zabezpieczenia systemu, wykorzystując usterki w sterownikach czy oprogramowaniu, do których będzie wysyłał zniekształcone dane. Łatwo też wyobrazić sobie scenariusz, w którym podłączając urządzenie USB sprawiamy, że pojawia się ono jako dysk twardy, na którego partycji zaczynają „znikąd” pojawiać się pliki, a litera napędu jest taka sama jak jeden z często używanych, zaufanych nośników.
Inny przykład do modyfikowanie zawartości plików przechowywanych na dysku USB w czasie ich odczytywania, które może polegać na wstrzykiwaniu w ich zawartość szkodliwego kodu, jednak nie od razu, lecz przy którymś z kolei odczycie, aby oszukać skanery antywirusowe.
[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat:Obecnie nie jest znany żaden sposób ochrony przed takim atakiem. Oprogramowanie antywirusowe nie ma dostępu do firmware''u USB, nie istnieją firewalle USB, które np. blokowałyby urządzeniom konkretnej klasy dostęp do portu. Wykrywanie behawioralne, czyli bazujące na podejrzanym zachowaniu, także nie sprawdzi się w tym przypadku, gdyż przeprogramowane USB wygląda tak, jakby użytkownik podłączył doń inne urządzenie.
Specjaliści ostrzegają, że usunięcie błędu BadUSB po infekcji jest niezwykle trudne. Nawet przeinstalowanie systemu operacyjnego może być nieskuteczne, gdyż infekcji mogło ulec całe oprogramowanie USB na maszynie, w tym oprogramowanie odpowiedzialne za kamerę internetową i inne wbudowane komponenty. Urządzenie BadUSB może być nawet w stanie zastąpić BIOS własną, zarażoną wersją. Innymi słowy, jak mówią odkrywcy luki, jeśli nasz sprzęt został zainfekowany, już nigdy nie będziemy mieli pewności czy jest bezpieczny.
[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat:Programy antywirusowe można sobie… zainstalować. Na tym ich przydatność w obliczu badUSB się kończyła. Dostępne na rynku skanery malware nie są w stanie sprawdzić firmware kontrolerów USB. W praktyce jedynym zabezpieczeniem byłoby wyłączenie wszystkich portów USB i korzystanie wyłącznie z urządzeń komunikujących się po innych interfejsach, np. Firewire, Thunderbolt czy stare dobre PS/2 dla klawiatur i myszek. Noehl sugerował, że można by było przygotować kontrolery USB, które akceptowałyby wyłącznie określoną klasę urządzeń, np. tylko pamięci masowe – ale nie jest jasne, jak można byłoby to zrealizować z istniejącym dziś sprzętem.
Szczegółowe informacje trafiły do USB Implementers Forum, ale nie wydaje się, by mogły one w czymś pomóc. Konieczność zachowania wstecznej kompatybilności jest dla producentów sprzętu sprawą większej wagi, niż zabezpieczenie się przed wyrafinowanym cyberatakiem, znanym tylko hakerskiej elicie. Być może gdyby był on powszechnie znany, sytuacja wyglądałaby inaczej…
Cauldill i Wilson pokazują nam, jak można przeprogramować firmware popularnego kontrolera Phison, tak by po podłączeniu udawał on klawiaturę wprowadzającą ciągi znaków zgodne z programem przygotowanym przez napastnika – w praktyce pozwalając na wykonanie dowolnego kodu z uprawnieniami zalogowanego użytkownika. Taki przeprogramowany kontroler może znaleźć się w drukarce, myszce, pendrive, smartfonie – w praktyce dowolnym urządzeniu, które korzysta z popularnego czipu Phisona. Amerykańscy odkrywcy podkreślają, że też nie wiedzą, co z tym zrobić. Komputer musiałby sprawdzać poprawność firmware podłączonego do niego urządzenia, co w praktyce oznacza, że musiałaby powstać globalna baza sygnatur oprogramowania, do której każdy producent urządzeń z interfejsem USB zgłaszałby swoje produkty. Mało to realistyczne w sytuacji, gdy producenci niezliczonych urządzeń z Chin i innych azjatyckich krajów do dziś zupełnie nie przejmują się kwestiami oficjalnych identyfikatorów VID i PID, wymaganych przez USB Implementers Forum. W końcu kupujący to co najtańsze użytkownicy też się nie przejmują kwestią certyfikatów zgodności.
[Aby zobaczyć linki, zarejestruj się tutaj]
Pod tym ostatnim artykułem (na DP) napisałem również swój krótki komentarz, który przytoczę i tutaj, bo jakoś w miarę dobrze podsumowuje moje wnioski i wątpliwości
Cytat:"Tak długi okres (ukrywania luki - moje przypomn.) świadczy o 2 rzeczach na pewno:
- luka jest...OK, była do tej pory...jedynie teoretyczna i nie spotykało się jej rzeczywistych "praktycznych rozwiązań"
- firmy związane z bezpieczeństwem czy sprzętem skutecznie ukrywały ten fakt, ponieważ nie ma łatwych i praktycznych sposobów, by skutecznie się bronić, a opisanie zagrożenia jako jakiegoś typu sygnatury jest niemożliwe
Dodać można tylko, że ilość producentów i tym samym potrzebnych firmware jest tak duża, że niezwykle trudno byłoby na tej bazie wyprodukować jakieś powszechne malware.
Znane mi jest na pewno jedno rozwiązanie i to od uznanego dostawcy, które ma z założenia zabezpieczać przed ta luką - to USB KEYBOARD GUARD od G Data...i jest darmowe
[Aby zobaczyć linki, zarejestruj się tutaj]
Inne metody to po na razie na pewno zdrowy rozsądek i kilka nawyków:
- nie ufaj nie swoim napędom USB
- twoje zaufane USB jest zaufane, póki nie podłączysz go do cudzego komputera
- zaufane USB nie oznacza, że jest przeskanowane "milionem" skanerów AV...one nie wykryją tej luki
- USB nie jest zaufane nawet po formacie i wymazaniu danych z napędu
- właściwie żadne USB nie jest zaufane
- nie dopuszczaj do podłączenie przez kogokolwiek USB do twojego komputera
To dotyczyło napędów...poza tym atak BadUSB jest możliwy , gdy użytkownik pracuje na koncie administratora...wniosek - praca na koncie z ograniczonymi uprawnieniami daje już jakieś zabezpieczenie. Przypuszczam, że wykonywanie plików na maszynie powinno być wykryte przez program typu HIPS - infekcja wymaga załadowania do pamięci, uruchomienia pliku, tworzy nową klawiaturę, tworzy nowe sterowniki, zmienia ustawienia systemu i łączy się z siecią...przynajmniej część z tych akcji powinna być wykryta przez taki program."
Re: BadUSB - luka w przenośnych napędach zagrażająca wszystkim - Quassar - 07.10.2014
[Aby zobaczyć linki, zarejestruj się tutaj]
Czyli trzeba zmienić architekturę komponentów co najmniej płyty głównej oraz wszystkich komponentów USB.
Co do ochrony przez program G data guard może to i jest rozwiązanie ale gdy system jest uruchomiony, ale firmware może zostać odczytane przez komputer przed startem systemu i chyba jest to jedna z infekcji która działa na najniższym poziomie.
Dodatkowy problem stoi w tym że wiekowość firmware kontrolerów jest wielokrotnego zapisu(więc nawet nośnik zaufanego producenta może zostać zainfekowany)
Po za nieuchronną infekcją przez usb dochodzi kolejny problem brak możliwości wykrycia tego przez powszechne oprogramowanie zabezpieczające. zresztą czytając źródło sami specjaliście mieliz tym spory problem.
Re: BadUSB - luka w przenośnych napędach zagrażająca wszystkim - heros1303 - 07.10.2014
A gdyby tak założyć hasło na BIOS we wszystkich płytach można. Zawsze to jest utrudnienie i mniejsze pole do popisu tego rodzaju szkodnika. Wtedy chyba przed podmieniem bios by pytał o hasło
Re: BadUSB - luka w przenośnych napędach zagrażająca wszystkim - hivonzooo - 09.10.2014
W czym to miałoby pomóc? Hasło na bios to żadne zabezpieczenie. Wystarczy żeby Microsoft wypuścił łatkę do Windowsa w której dodaliby opcje informowania użytkownika o tym, jakie urządzenie jest aktualnie podpinane oraz możliwość wyboru, czy chcesz je zainstalować w systemie. Teraz jest tylko monit o tym, że jakieś urządzenie jest wpięte i tyle. Jeśli dobrze zrozumiałem to ten "wirus" podaje sie za klawiatury, kamerki, mikrofon itp, tak wiec gdybyś podpiał pendrive, a system poinformowałby ze wykrył klawiature, możnaby w pore zareagować.
Re: BadUSB - luka w przenośnych napędach zagrażająca wszystkim - Patrick Bateman - 13.11.2014
Na BadUSB podatne jest około 50% urządzeń. Co gorsze, nie wiadomo jak je rozpoznać
[Aby zobaczyć linki, zarejestruj się tutaj]
Złych informacji ciąg dalszy, a pomysłów jak się przed tym zabezpieczyć brak...
RE: BadUSB - luka w przenośnych napędach zagrażająca wszystkim - M'cin - 02.12.2017
Przypadkiem znalezione. Trochę bieda, ale to 'jakieś' zabezpieczenie przed jednym z wariantów ataków wykorzystujących BadUSB.
|