Ситуация с BadUSB пока не изменилась в худшую сторону, но и эксперты, и рядовые пользователи снова столкнулись с очередными неприятностями.
Исследователь Карстен Ноль (Karsten Nohl), предупредивший всех еще летом о том, что контроллеры на большинстве USB-устройств можно перепрограммировать в соответствии с потребностями злоумышленников, смог еще глубже исследовать проблему.
Результаты, представленные на конференции Black Hat, касались только контроллеров на устройствах производства Phison Electronics Corp. – компании из Тайваня, которая является обладателем самой большой доли рынка. За основу нового исследования Ноля были взяты восемь самых популярных чипов, которые используются не только в USB-накопителях, но почти во всем, что подключается к компьютеру по USB.
Исследователь пришел к выводу, что некоторые из них можно перепрограммировать, некоторые – нет, а некоторые подвергаются программным изменениям только в определенных условиях. Задачу сильно усложнял тот факт, что производители конечных устройств все время меняют поставщика чипов, не руководствуясь никакими критериями отбора, кроме цены и складских запасов. То есть оказалось, что все USB-устройства разные, даже те, которые принадлежат к одной продуктовой линейке. А чтобы определить, какие из чипов подвержены риску, придется физически разобрать каждый чип и рассмотреть компоновку.
На Black Hat Ноль продемонстрировал код атаки (который так и не был опубликован), позволяющий перепрограммировать прошивку USB и изменить тип устройства на программном уровне. Флэшка, подключенная к ПК, станет, к примеру, эмулировать работу клавиатуры и использоваться для ввода команд, помогающих похитить данные с компьютера; подменять сетевой интерфейс и перенаправлять трафик, меняя настройки DNS-сервера, или выгружать вредоносное ПО со скрытого логического диска.
Новое исследование Ноля, в котором он задействовал продукты Phison, Alcor, Renesas, ASmedia, GenesysLogic, FTDI, Cypress и Microchip, проводилось в два этапа. Вначале было произведено сравнение технических спецификаций с целью подтвердить или опровергнуть подозрения, что BadUSB– баг, имеющийся в продукции одного вендора и не характерный для всего интерфейса.
Затем исследователи рассмотрели 30 USB-устройств, составляющих репрезентативную выборку по рынку микроконтроллеров, и попытались их перепрограммировать. На этом этапе Нолю и его коллегам из SRLabs, Якобу Леллю (Jakob Lell) и Саше Криблеру (Sascha Kribler), пришлось разбирать USB-клавиатуры, компьютерные мыши, вебкамеры, накопители, USB-концентраторы и даже зарядные устройства.
«В большинстве случаев чип скрыт для компьютера, то есть все чипы компьютер воспринимает как одинаковые, – поясняет эксперт. – Значит, необходим визуальный анализ: нужно вскрывать устройства и смотреть маркировки на чипе». Ноль уже опубликовал результаты, обработав USB-концентраторы, адаптеры SD-карт, SATA-адаптеры, устройства ввода, вебкамеры и USB-накопители.
Определить наиболее вероятные векторы атаки при использовании BadUSB в большинстве случае невозможно, а рекомендации по противодействию немногочисленны и в основном сводятся к полному отключению USB, что вряд ли имеет смысл.
Некоторые исследователи, включая Адама Кодилла (Adam Caudill) и Брендона Уилсона (Brandon Wilson), опубликовавших похожий код атаки, пришли к выводу, что производители могли бы использовать для защиты цифровую подпись. Пока это единственное решение, и годится оно только для новых устройств: производители не собираются с этой целью выпускать обновления прошивки. Но у Ноля вознкла другая идея.
Ноль заверил, что примерно половина проанализированных чипов не позволяют обновлять прошивку, хотя так сделано отнюдь не из соображений безопасности. «Обычно обновление USB-устройства наводит на мысль о злом умысле», – заключает эксперт.
Axarhöfði 14,
110 Reykjavik, Iceland