BadUSB - luka w przenośnych napędach zagrażająca wszystkim
#1
Niemal wszędzie już na branżowych portalach i serwisach anonsowano ostatnie wiadomości na temat upublicznienia kodu infekcji o nazwie BadUSB, wykorzystującej istniejącą od wielu lat podatność we firmware przenośnych pamięci podłączanych do komputera przez porty USB. Wiadomo, że nie do dotyczy to tylko popularnych pamięci na "pendrakach", ale także innych urządzeń posiadających pamięć do przechowywania danych użytkownika (telefony, smartfony, aparaty fotograficzne, odtwarzacze multimediów) oraz najprawdopodobniej wszelkich peryferiów podłączanych do komputerów i dysponujących własnym wewnętrznym oprogramowaniem jak choćby myszki czy drukarki nawet.
Jak widać skala zagrożenia może być ogromna, bo dotyczy właściwie wszystkich użytkowników indywidualnych oraz firmowych, a pierwsza niedobra wiadomość jest taka, że podstawy tej podatności opisano...podobnie jak obecne rewelacje o BadUSB...na konferencji Black Hat

[Aby zobaczyć linki, zarejestruj się tutaj]



tyle, że było to w roku 2005 w prezentacji pod tytułem

[Aby zobaczyć linki, zarejestruj się tutaj]

...dalsze niedobre wiadomości wynikną z prezentowanych poniżej cytatów. Znalazłem 3 przykładowe, dość obszerne i merytoryczne opracowania na ten temat, więc po kolei
Cytat:Dwa miesiące temu na kon­feren­cji Black Hat ujaw­niono nowy rodzaj ataku wymierzonego w wymienne nośniki danych, który ochrzczono nazwą BadUSB. Pozwala on infekować nie­mal każde urządzenie USB, służące do prze­chowywania danych, nie­wy­krywal­nym wirusem. Teraz kody przy­kładowego „szkod­nika” ujrzały światło dzienne.

Autorem demon­stracyj­nego szkodliwego kodu jest Kar­sten Nohl, który zauważa, że nie ist­nieje łatwy spo­sób ochrony przed infek­cją. Nad nie­bez­piecz­nym wirusem współ­pracowało z nim jesz­cze kilku badaczy, którzy postanowili złamać tabu i udostęp­nili szczegóły tech­niczne ataku, nie czekając na wprowadzenie odpowied­nich mechanizmów ochron­nych przez producen­tów sprzętu i oprogramowania. W świecie IT security takie zachowanie określa się mianem nieod­powiedzial­nego ujaw­niania (ang. irrespon­sible disc­losure). Teraz miliony urządzeń i sys­temów na całym świecie mogą stać się poten­cjal­nymi celami ataków!

Na jed­nej z kon­feren­cji poświęconych bez­pieczeń­stwu specjali­ści zaj­mujący się bez­pieczeń­stwem, Adam Caudill i Bran­don Wil­son, pokaszali, że udało im się z użyciem inżynierii odwrot­nej (ang. reverse engineering) zbadać spo­sób, w jaki zaprezen­towane przez Nohla szkodliwe oprogramowanie prze­nikało do urządzeń. Opublikowali także kod źródłowy w ser­wisie Github.

Zdaniem upublicz­niającego kod, należało to zrobić, ponie­waż ludzie zasługują na szczegółowe infor­macje o uster­kach, aby mogli się przed nimi bronić. Wykorzystywane słabo­ści USB były znane w kręgach specjalistów już od dawna, ist­nieje więc ryzyko, że są wykorzystywane przez służby specjalne czy firmy trud­niące się wywiadem gospodar­czym. Uwol­nienie kodów źródłowych narzędzi demon­strujących atak jest ukłonem specjalisty w stronę publicz­no­ści, która wcześniej nie zdawała sobie sprawy, że może być inwigilowana.

Problem
Przy­czyną problemu są słabo­ści architek­toniczne stan­dardu USB, a w szczegól­no­ści oprogramowania układowego mikrokon­trolerów. Badacze zaj­mowali się jed­nym z naj­popular­niej­szych, sprzedawanym przez taj­wań­ską spółkę Phison, który znaleźć można w wielu urządzeniach. Okazuje się, że układy można tak zaprogramować, aby zamiast lub poza swą wła­ściwą funk­cją, prowadziły ataki wymierzone w sys­tem, do którego zostały podłączone.

Czym różni się to od kon­wen­cjonal­nego wirusa? Umiej­scowieniem „szkod­nika”. Wirusy kom­puterowe rezydują zwykle w sek­torach roz­ruchowych dys­ków, dołączają kod do obrazów programów czy zapisują się w skryp­tach roz­ruchowych sys­temu lub innych plikach odpowiadających za automatyczne uruchamianie. W przy­padku BadUSB nisz­czyciel­ski kod znaj­duje się w oprogramowaniu układowym urządzenia, do którego sys­tem kom­puterowy nie ma łatwego dostępu, szczegól­nie, że to ono może zdecydować w jaki spo­sób kon­tro­lowane prze­zeń urządzenie będzie widziane przez komputer.

USB to w zasadzie nowoczesny inter­fejs trans­misji szeregowej, ale urządzenia USB to osobne mikrokom­putery. Problemem jest poziom zaufania udzielanego tym ostat­nim przez sys­temy operacyjne.

Zagrożenie
O moż­liwe następ­stwa opublikowanej luki zapytaliśmy chcącego zachować anonimowość specjalistę ds. bez­pieczeń­stwa (i sen­tymen­tal­nego użyt­kow­nika mikrokom­putera ZX­‑Spectrum), którego na potrzeby wypowiedzi określać będziemy pseudonimem Likier. Przez wiele lat zaj­mował się badaniem podat­no­ści na zagrożenia w oprogramowaniu i ma na swoim kon­cie kilka poważ­nych odkryć usterek w popular­nych usługach sieciowych oraz sys­temach operacyjnych.

Likier zauważył, że z powodu braku należytej kon­troli na linii sys­tem kom­puterowy – urządzenie USB, występuje nad­mierne zaufanie względem tego ostat­niego, co prowadzić może do:

- ukrywania szkodliwego kodu w układach USB,
- emulowania dowol­nych urządzeń przez zarażone układy,
- pod­słuchiwania danych wymienianych w obrębie tej samej szyny (tego samego HUB­‑a USB),
- prób ataków wymierzonych w sterow­niki lub w oprogramowanie układowe innych urządzeń.

Podany przez Likiera przy­kład wykorzystania zarażonego firmware’u to sytuacja, gdy pod­łączany do USB dysk prze­nośny może „przed­stawić się” sys­temowi jako klawiatura, która będzie zamiast użyt­kow­nika wprowadzała tekst, np. po otrzymaniu odpowied­niego sygnału od wirusa działającego na kom­puterze lub samodziel­nie. Pod­słuchiwanie infor­macji wysyłanych do sys­temu przez rzeczywistą klawiaturę rów­nież nie jest problemem dla odpowied­nio zaprogramowanego układu.

Zain­fekowany dysk prze­nośny czy odtwarzacz MP3 może rów­nież prze­łamywać zabez­pieczenia sys­temu, wykorzystując usterki w sterow­nikach czy oprogramowaniu, do których będzie wysyłał znie­kształ­cone dane. Łatwo też wyobrazić sobie scenariusz, w którym pod­łączając urządzenie USB sprawiamy, że pojawia się ono jako dysk twardy, na którego par­tycji zaczynają „znikąd” pojawiać się pliki, a litera napędu jest taka sama jak jeden z często używanych, zaufanych nośników.

Inny przy­kład do modyfikowanie zawar­to­ści plików prze­chowywanych na dysku USB w czasie ich odczytywania, które może polegać na wstrzykiwaniu w ich zawar­tość szkodliwego kodu, jed­nak nie od razu, lecz przy którymś z kolei odczycie, aby oszukać skanery antywirusowe.

[Aby zobaczyć linki, zarejestruj się tutaj]


Cytat:Obecnie nie jest znany żaden sposób ochrony przed takim atakiem. Oprogramowanie antywirusowe nie ma dostępu do firmware''u USB, nie istnieją firewalle USB, które np. blokowałyby urządzeniom konkretnej klasy dostęp do portu. Wykrywanie behawioralne, czyli bazujące na podejrzanym zachowaniu, także nie sprawdzi się w tym przypadku, gdyż przeprogramowane USB wygląda tak, jakby użytkownik podłączył doń inne urządzenie.

Specjaliści ostrzegają, że usunięcie błędu BadUSB po infekcji jest niezwykle trudne. Nawet przeinstalowanie systemu operacyjnego może być nieskuteczne, gdyż infekcji mogło ulec całe oprogramowanie USB na maszynie, w tym oprogramowanie odpowiedzialne za kamerę internetową i inne wbudowane komponenty. Urządzenie BadUSB może być nawet w stanie zastąpić BIOS własną, zarażoną wersją. Innymi słowy, jak mówią odkrywcy luki, jeśli nasz sprzęt został zainfekowany, już nigdy nie będziemy mieli pewności czy jest bezpieczny.

[Aby zobaczyć linki, zarejestruj się tutaj]


Cytat:Programy antywirusowe można sobie… zainstalować. Na tym ich przydatność w obliczu badUSB się kończyła. Dostępne na rynku skanery malware nie są w stanie sprawdzić firmware kontrolerów USB. W praktyce jedynym zabezpieczeniem byłoby wyłączenie wszystkich portów USB i korzystanie wyłącznie z urządzeń komunikujących się po innych interfejsach, np. Firewire, Thunderbolt czy stare dobre PS/2 dla klawiatur i myszek. Noehl sugerował, że można by było przygotować kontrolery USB, które akceptowałyby wyłącznie określoną klasę urządzeń, np. tylko pamięci masowe – ale nie jest jasne, jak można byłoby to zrealizować z istniejącym dziś sprzętem.

Szczegółowe informacje trafiły do USB Implementers Forum, ale nie wydaje się, by mogły one w czymś pomóc. Konieczność zachowania wstecznej kompatybilności jest dla producentów sprzętu sprawą większej wagi, niż zabezpieczenie się przed wyrafinowanym cyberatakiem, znanym tylko hakerskiej elicie. Być może gdyby był on powszechnie znany, sytuacja wyglądałaby inaczej…

Cauldill i Wilson pokazują nam, jak można przeprogramować firmware popularnego kontrolera Phison, tak by po podłączeniu udawał on klawiaturę wprowadzającą ciągi znaków zgodne z programem przygotowanym przez napastnika – w praktyce pozwalając na wykonanie dowolnego kodu z uprawnieniami zalogowanego użytkownika. Taki przeprogramowany kontroler może znaleźć się w drukarce, myszce, pendrive, smartfonie – w praktyce dowolnym urządzeniu, które korzysta z popularnego czipu Phisona. Amerykańscy odkrywcy podkreślają, że też nie wiedzą, co z tym zrobić. Komputer musiałby sprawdzać poprawność firmware podłączonego do niego urządzenia, co w praktyce oznacza, że musiałaby powstać globalna baza sygnatur oprogramowania, do której każdy producent urządzeń z interfejsem USB zgłaszałby swoje produkty. Mało to realistyczne w sytuacji, gdy producenci niezliczonych urządzeń z Chin i innych azjatyckich krajów do dziś zupełnie nie przejmują się kwestiami oficjalnych identyfikatorów VID i PID, wymaganych przez USB Implementers Forum. W końcu kupujący to co najtańsze użytkownicy też się nie przejmują kwestią certyfikatów zgodności.

[Aby zobaczyć linki, zarejestruj się tutaj]


Pod tym ostatnim artykułem (na DP) napisałem również swój krótki komentarz, który przytoczę i tutaj, bo jakoś w miarę dobrze podsumowuje moje wnioski i wątpliwości
Cytat:"Tak długi okres (ukrywania luki - moje przypomn.) świadczy o 2 rzeczach na pewno:
- luka jest...OK, była do tej pory...jedynie teoretyczna i nie spotykało się jej rzeczywistych "praktycznych rozwiązań"
- firmy związane z bezpieczeństwem czy sprzętem skutecznie ukrywały ten fakt, ponieważ nie ma łatwych i praktycznych sposobów, by skutecznie się bronić, a opisanie zagrożenia jako jakiegoś typu sygnatury jest niemożliwe
Dodać można tylko, że ilość producentów i tym samym potrzebnych firmware jest tak duża, że niezwykle trudno byłoby na tej bazie wyprodukować jakieś powszechne malware.
Znane mi jest na pewno jedno rozwiązanie i to od uznanego dostawcy, które ma z założenia zabezpieczać przed ta luką - to USB KEYBOARD GUARD od G Data...i jest darmowe

[Aby zobaczyć linki, zarejestruj się tutaj]

Inne metody to po na razie na pewno zdrowy rozsądek i kilka nawyków:
- nie ufaj nie swoim napędom USB
- twoje zaufane USB jest zaufane, póki nie podłączysz go do cudzego komputera
- zaufane USB nie oznacza, że jest przeskanowane "milionem" skanerów AV...one nie wykryją tej luki
- USB nie jest zaufane nawet po formacie i wymazaniu danych z napędu
- właściwie żadne USB nie jest zaufane
- nie dopuszczaj do podłączenie przez kogokolwiek USB do twojego komputera
To dotyczyło napędów...poza tym atak BadUSB jest możliwy , gdy użytkownik pracuje na koncie administratora...wniosek - praca na koncie z ograniczonymi uprawnieniami daje już jakieś zabezpieczenie. Przypuszczam, że wykonywanie plików na maszynie powinno być wykryte przez program typu HIPS - infekcja wymaga załadowania do pamięci, uruchomienia pliku, tworzy nową klawiaturę, tworzy nowe sterowniki, zmienia ustawienia systemu i łączy się z siecią...przynajmniej część z tych akcji powinna być wykryta przez taki program."
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2

[Aby zobaczyć linki, zarejestruj się tutaj]


Czyli trzeba zmienić architekturę komponentów co najmniej płyty głównej oraz wszystkich komponentów USB.
Co do ochrony przez program G data guard może to i jest rozwiązanie ale gdy system jest uruchomiony, ale firmware może zostać odczytane przez komputer przed startem systemu i chyba jest to jedna z infekcji która działa na najniższym poziomie.
Dodatkowy problem stoi w tym że wiekowość firmware kontrolerów jest wielokrotnego zapisu(więc nawet nośnik zaufanego producenta może zostać zainfekowany)

Po za nieuchronną infekcją przez usb dochodzi kolejny problem brak możliwości wykrycia tego przez powszechne oprogramowanie zabezpieczające. zresztą czytając źródło sami specjaliście mieliz tym spory problem.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
A gdyby tak założyć hasło na BIOS we wszystkich płytach można. Zawsze to jest utrudnienie i mniejsze pole do popisu tego rodzaju szkodnika. Wtedy chyba przed podmieniem bios by pytał o hasło Smile
Odpowiedz
#4
W czym to miałoby pomóc? Hasło na bios to żadne zabezpieczenie. Wystarczy żeby Microsoft wypuścił łatkę do Windowsa w której dodaliby opcje informowania użytkownika o tym, jakie urządzenie jest aktualnie podpinane oraz możliwość wyboru, czy chcesz je zainstalować w systemie. Teraz jest tylko monit o tym, że jakieś urządzenie jest wpięte i tyle. Jeśli dobrze zrozumiałem to ten "wirus" podaje sie za klawiatury, kamerki, mikrofon itp, tak wiec gdybyś podpiał pendrive, a system poinformowałby ze wykrył klawiature, możnaby w pore zareagować.
Odpowiedz
#5
Na BadUSB podatne jest około 50% urządzeń. Co gorsze, nie wiadomo jak je rozpoznać

[Aby zobaczyć linki, zarejestruj się tutaj]


Złych informacji ciąg dalszy, a pomysłów jak się przed tym zabezpieczyć brak...
Bitdefender Free + HitmanPro.Alert 3 (CTP4) | ADP + Ghostery | Malwarebytes Anti-Malware + HitmanPro
Odpowiedz
#6
Przypadkiem znalezione. Trochę bieda, ale to 'jakieś' zabezpieczenie przed jednym z wariantów ataków wykorzystujących BadUSB.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości