Ερευνητές εντοπίζουν θεμελιώδες κενό ασφαλείας στην λειτουργία του USB

[Artemius]

σιγα μη το ψυλλιαστουμε επειδη θα μπει στα HID.ουτε χαμπαρι δε θα παρουμε με τοσα αλλα HID devices που εχουμε πολλοι.

να δεις που αν αυτο το exploit γινει γνωστο και κυκλοφορησει,θα περαστει σε διαφορα wormotrojania,και μετα θα "patchαριζει" τα usb. προσθεσε σε αυτο,οτι οι περισσοτεροι εχουν πληρη αγνοια των βασικων πρακτικων ασφαλειας. και καπου εκει τον ηπιαμε πανυγηρικα.

τελος,απο δω και περα,μονο e-sata,και ας σημαινει να κουβαλαω ολοκληρο εξωτερικο με ξεχωριστη τροφοδοσια. και πολυ απλα όποιος δεν εχει e-sata και ενημερωμενο και ενεργο A/V,δεν παιρνει τιποτα ουτε και εγω απο αυτον.

υ.γ. : παμε ολοταχως για το usb 3.2 ή 4.0 ,call it however you like.

[biggeo65]

Θα συνδέσεις USB στικ , θα σου συνδεθει σαν συσκευή HID και δεν θα το πάρεις χαμπάρι;
Ειδικά όταν ξερεις ότι αυτό που σύνδεσες είναι USB αποθήκευσης; Ε, τότε είσαι άξιος της μοίρας σου.
Πόσο μάλλον αν αυτό γίνει σε εταιρείες με υψηλά επίπεδα ασφαλείας.
Πρέπει να απολυθεί όλο το τμήμα IT για παραδειγματισμό

[Unreal]

Θα συνδέσεις USB στικ , θα σου συνδεθει σαν συσκευή HID και δεν θα το πάρεις χαμπάρι;
Ειδικά όταν ξερεις ότι αυτό που σύνδεσες είναι USB αποθήκευσης; Ε, τότε είσαι άξιος της μοίρας σου.
Πόσο μάλλον αν αυτό γίνει σε εταιρείες με υψηλά επίπεδα ασφαλείας.
Πρέπει να απολυθεί όλο το τμήμα IT για παραδειγματισμό

Και πες ότι συνδέεις πληκρολογιο USB με τροποποιημένο firmware, οπότε στο εμφανίζει σαν πληκτρολογιο, κάνεις install τους drivers κανονικά και απο κει και πέρα αναλαμβάνει το μολυσμένο firmware , τι μπορείς να κάνεις τότε?

[biggeo65]

Και πες ότι συνδέεις πληκρολογιο USB με τροποποιημένο firmware, οπότε στο εμφανίζει σαν πληκτρολογιο, κάνεις install τους drivers κανονικά και απο κει και πέρα αναλαμβάνει το μολυσμένο firmware , τι μπορείς να κάνεις τότε?

Επώνυμο π[ληκτρολόγιο με τροποποιημένο Firmware; Δύσκολο αν όχι αδύνατο.
Αν πάρει πληκτρολόγιο άγνωστης μάρκας Made in China των 5€, μπορεί.

Αλλά και πάλι για να έχει πρόβλημα όπως λέγεται,
"κάποιος να αναλάβει την χρήση του PC" ή να στείλει στοιχεία σε τρίτους
θα πρέπει να περάσει από Firewall \ Antivirus κλπ.

Αν προσπαθήσει να τροποποιήσει αρχεία ή την Registry,πάλι θα έχει ειδοποίηση.
Αν την αγνοήσει ή πατήσει OK χωρίς να δει τι γράφει, δεν φταίει το μολυσμένο FW.

[Unreal]

Επώνυμο π[ληκτρολόγιο με τροποποιημένο Firmware; Δύσκολο αν όχι αδύνατο.
Αν πάρει πληκτρολόγιο άγνωστης μάρκας Made in China των 5€, μπορεί.

Αλλά και πάλι για να έχει πρόβλημα όπως λέγεται,
"κάποιος να αναλάβει την χρήση του PC" ή να στείλει στοιχεία σε τρίτους
θα πρέπει να περάσει από Firewall \ Antivirus κλπ.

Αν προσπαθήσει να τροποποιήσει αρχεία ή την Registry,πάλι θα έχει ειδοποίηση.
Αν την αγνοήσει ή πατήσει OK χωρίς να δει τι γράφει, δεν φταίει το μολυσμένο FW.

Τα windows δεν θα μπορούν να καταλάβουν αν οι κρυφές εντολές που δίνει προέρχονται απο εσένα ή απο το μολυσμένο firmware. Θα είναι σαν να έχει δικαιώματα administrator οπότε πιθανότα να μπορεί να παρακάμψει όλα τα confirmation dialog boxes, να απενεργοποιήσει UAC , διάφορες επιλογές στα Firewall/AV κ.τ.λ και να κάνει ότι θέλει στα κρυφά.

Ακόμα και αν δεν ισχύουν τμήμα ή όλα απο τα παραπάνω πιστεύω ένα σημαντικό ποσοστό των χρηστών (θα έλεγα ο ένας στους 3) αν π.χ εκεί που σερφάρουν πάρουν ένα μύνημα σχετικό με τροποποίηση registry ή μπλοκάρισμα δεδομένων απο Firewall, θα πατήσουν OK χωρίς να το πολυσκεφτούν.

[biggeo65]

Aυτό το ποσοστό των χρηστών που θα πατήσουν ΟΚ χωρίς σκέψη, ας πρόσεχαν.
Κι αν το κάνουν αυτό ,δεν χρειάζεται μολυσμένο firmware., για να την πατήσουν.

Και μια άλλη δικλείδα ασφαλείας, η αγορά επώνυμου υλικού.
Δεν νομίζω εταιρείες όπως,Kingston,Logitech, MS κλπ. να πουλαν συσκευές με μολυσμένο FW.

[Unreal]

Ε κοίτα δε μπορείς τώρα από τον μέσο χρήστη που μπορεί να είναι και ένα παιδί 10-12 χρονών να είναι κέρβερος στην ασφάλεια και στο τι συμβαίνει. Από την στιγμή που από ότι όλα δείχνουν θα έχεις μέσα στο μηχάνημα ένα δεύτερο εικονικό administrator κάτι θα σου ξεφύγει δε μπορεί.

Ναι μεν η αγορά επώνυμου υλικού βοηθάει αλλά το άρθρο λέει ότι μπορεί να μολυνθεί το firmware οποιασδήποτε USB συσκευής (υποθέτω με το να το εγκατέστησεις σε ένα ήδη μολυσμένο PC που θα έχει κάποιον ιό ή άλλη μολυσμένη USB συσκευή).

[konig]

Aυτό το ποσοστό των χρηστών που θα πατήσουν ΟΚ χωρίς σκέψη, ας πρόσεχαν.
Κι αν το κάνουν αυτό ,δεν χρειάζεται μολυσμένο firmware., για να την πατήσουν.

Και μια άλλη δικλείδα ασφαλείας, η αγορά επώνυμου υλικού.
Δεν νομίζω εταιρείες όπως,Kingston,Logitech, MS κλπ. να πουλαν συσκευές με μολυσμένο FW.

γιατι περιμενεις κατι τετοιο απο usb? εσυ κοιτας τα drivers sigs με το που βαζεις ενα usb stick?

[malakudi]

Θα συνδέσεις USB στικ , θα σου συνδεθει σαν συσκευή HID και δεν θα το πάρεις χαμπάρι;
Ειδικά όταν ξερεις ότι αυτό που σύνδεσες είναι USB αποθήκευσης; Ε, τότε είσαι άξιος της μοίρας σου.
Πόσο μάλλον αν αυτό γίνει σε εταιρείες με υψηλά επίπεδα ασφαλείας.
Πρέπει να απολυθεί όλο το τμήμα IT για παραδειγματισμό

Σε εταιρείες με υψηλά επίπεδα ασφαλείας οι θύρες USB είναι απενεργοποιημένες. Και ναι, αν το στικάκι εκτός από Storage device σου βάλει και ένα hid device, δε θα το καταλάβει σχεδόν κανείς. Ούτε χρειάζεται να πατήσεις κάποιο "OK". Δε ζητάνε τα windows επιβεβαίωση όταν εισάγεται κάποιο hid device.

[Artemius]

Θα συνδέσεις USB στικ , θα σου συνδεθει σαν συσκευή HID και δεν θα το πάρεις χαμπάρι;
Ειδικά όταν ξερεις ότι αυτό που σύνδεσες είναι USB αποθήκευσης; Ε, τότε είσαι άξιος της μοίρας σου.
Πόσο μάλλον αν αυτό γίνει σε εταιρείες με υψηλά επίπεδα ασφαλείας.
Πρέπει να απολυθεί όλο το τμήμα IT για παραδειγματισμό

κατσε ρε geo,απο ποτε τα windows δινουν ξεχωριστη pop-up ειδοποιηση,οτι συνδεθηκε HID device?

το μονο που λενε ειναι οτι το usb device συνδεθηκε σωστα/device driver has been succesfully installed, κ.α. τετοια.

ποιος με το που συνδεει ενα usb περιφερειακο,ανοιγει τον Device Manager,για να δει τι και πως και που? και ποιος θα θυμαται ποσα HID Devices ειχε πριν,και ποσα τωρα? πλακα με κανεις?

ασε που οι περισσοτεροι,ακομα και εμεις (εγω for sure) αν βλεπανε μια ειδοποιηση τυπου οτι "HID Device has been connected",θα θεωρουσαν πως ειτε δεν εκανε καλη επαφη το usb του kbrd/mouse,οταν ψαχουλευαμε,ή bug-αρε ο driver τους (καθολου ασυνηθες).

και ποιο antivirus,αφου εδω λεμε το προβλημα ειναι σε ποιο χαμηλο layer απο αυτο που δουλευουν τα a/v. το μονο που μπορει να κανει το a/v,ειναι να πιασει τπτ wormotrojania που μπορει να χρησιμοποιηθουν ως Δουρειοι Ιπποι και θα εχουν περασμενα μεσα αυτον τον κωδικα.

finito λεμε. το USB το ξεπατωσανε σε h/w lvl. πλεον τα σουρτα-φερτα μονο με e-sata και αυτο σε pc που ξερουμε οτι εχουν ενημερωμενα-ενεργα a/v.

[biggeo65]

γιατι περιμενεις κατι τετοιο απο usb? εσυ κοιτας τα drivers sigs με το που βαζεις ενα usb stick?

Πάντα. Καταρχήν δεν βάζω USB για το οποίο δεν είμαι σίγουρος.
Και δεν μπορεί να πάρει κάποιος π.χ. πληκτρολόγιο Logitech με μοιλυσμένοFW.

- - - Updated - - -

κατσε ρε geo,απο ποτε τα windows δινουν ξεχωριστη pop-up ειδοποιηση,οτι συνδεθηκε HID device?

το μονο που λενε ειναι οτι το usb device συνδεθηκε σωστα/device driver has been succesfully installed, κ.α. τετοια.

ποιος με το που συνδεει ενα usb περιφερειακο,ανοιγει τον Device Manager,για να δει τι και πως και που? και ποιος θα θυμαται ποσα HID Devices ειχε πριν,και ποσα τωρα? πλακα με κανεις?

ασε που οι περισσοτεροι,ακομα και εμεις (εγω for sure) αν βλεπανε μια ειδοποιηση τυπου οτι "HID Device has been connected",θα θεωρουσαν πως ειτε δεν εκανε καλη επαφη το usb του kbrd/mouse,οταν ψαχουλευαμε,ή bug-αρε ο driver τους (καθολου ασυνηθες).

και ποιο antivirus,αφου εδω λεμε το προβλημα ειναι σε ποιο χαμηλο layer απο αυτο που δουλευουν τα a/v. το μονο που μπορει να κανει το a/v,ειναι να πιασει τπτ wormotrojania που μπορει να χρησιμοποιηθουν ως Δουρειοι Ιπποι και θα εχουν περασμενα μεσα αυτον τον κωδικα.

finito λεμε. το USB το ξεπατωσανε σε h/w lvl. πλεον τα σουρτα-φερτα μονο με e-sata και αυτο σε pc που ξερουμε οτι εχουν ενημερωμενα-ενεργα a/v.

Καλά θα δεις ότι συνδέθηκε νέα HID συσκευή και δεν θα το ψάξεις;
Δεν είπα ότι δεν είναι πρόβλημα για πολλούς που δεν ξέρουν,
αλλά έμπειροι χρήστες και εταιρείες που πληρώνουν IT
δεν πρέπει να έχουν πρόβλημα. Αν έχουν κι αυτές, τζάμπα πληρώνουν IT.

[mrsaccess]

Είναι υπερβολικός ο τίτλος. Το USB έχει σχεδιαστεί για να μπορεί να φορτώσει ο χρήστης custom firmware, επομένως όποιος δεν φανταζόταν από την πρώτη μέρα κυκλοφορίας του USB πως το firmware θα μπορούσε να αντικατασταθεί είναι άξιος της μοίρας του.

Σε αυτή την δυνατότητα οφείλουμε τις πολύ φθηνές συσκευές USB (webcams, scanners, usb tv sticks κλπ). Αφενός γιατί οι συσκευές ενίοτε χρειάζονται λιγότερο hardware (πχ απουσία EPROM), αφετέρου γιατί με αυτό τον τρόπο οι συσκευές δέχονται updates, επομένως δεν χρειάζεται να είναι τέλειες από την γραμμή παραγωγής.

Το πρωτόκολλο για να φορτώσεις firmware σε μια USB συσκευή όπως φαντάζεστε λοιπόν, δεν είναι κάτι κρυφό, είναι μέρος του πρότυπου.

Το να σταματήσουμε να χρησιμοποιούμε τις θύρες USB είναι ανέφικτο. Πιθανώς μια λύση είναι το λειτουργικό σύστημα να ενημερώνει με διάλογο μόλις ανιχνεύει μια νέα συσκευή όπου θα αναφέρεται καθαρά η κλάση της. Δυστυχώς βέβαια εκεί βασιζόμαστε στην κρίση του χρήστη. Επίσης θα έχουμε αρκετά false positives αφού πχ δεν είναι περίεργο ένα 3G stick να μεταβάλλει την κλάση του από mass storage σε GSM modem κατά την διάρκεια χρήσης του.

Θα κάνω μια υπόθεση για το κενό που θα παρουσιαστεί. Πιθανώς να υπάρχει ένας vendor που φτιάχνει μικροελεγκτές για flash drives από τον οποίο προμηθεύονται πολλές εταιρείες του χώρου και οι ερευνητές έσπασαν το δικό του firmware και κατ'επέκταση πολλά flash drives διαφόρων εταιρειών.

Τέλος μην ξεχνάτε, δεν είναι μόνο οι συσκευές USB που υποστηρίζουν upgrades στο firmware. Είναι το BIOS/UEFI του PC σας, ο SSD σας, ο μηχανικός σκληρός σας, η κάρτα δικτύου σας, η κάρτα γραφικών σας, ο ασύρματος εκτυπωτής σας, η SD κάρτα της φωτογραφικής μηχανής σας, η φωτογραφική μηχανή σας, το κινητό σας, το modem του κινητού σας, το wifi του κινητού σας, η παιχνιδομηχανή σας, η τηλεόρασή σας, το... καταλαβαίνετε που το πάω.

[konig]

οτιδηποτε με usb μπορει να παρει μολυσμενο fw αλλα σιγουρα δεν θα ειναι στοχοποιημενο στους απλους χρηστες..αυτο ειναι το προφανες..

[tpsalonika]

Αν δεν κάνω λάθος κυκλοφορεί και πωλείται εδώ και καιρό:

https://hakshop.myshopify.com/collec...b-rubber-ducky

[aiolos.01]

Σύμφωνα με το Snowden η NSA το ήξερε ήδη και το χρησιμοποιεί. Και ποιός ξέρει τι άλλα έχει βρεί και χρησιμοποιεί.
Άντε τώρα να προστατευτείς απο μολυσμένο firmware.