SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
19 Ноя 2014

Новое исследование, старая проблема с USB

Ситуация с BadUSB пока не изменилась в худшую сторону, но и эксперты, и рядовые пользователи снова столкнулись с очередными неприятностями.

Исследователь Карстен Ноль (Karsten Nohl), предупредивший всех еще летом о том, что контроллеры на большинстве USB-устройств можно перепрограммировать в соответствии с потребностями злоумышленников, смог еще глубже исследовать проблему. 

Результаты, представленные на конференции Black Hat, касались только контроллеров на устройствах производства Phison Electronics Corp. – компании из Тайваня, которая является обладателем самой большой доли рынка. За основу нового исследования Ноля были взяты восемь самых популярных чипов, которые используются не только в USB-накопителях,  но почти во всем, что подключается к компьютеру по USB.

Исследователь пришел к выводу, что некоторые из них можно перепрограммировать, некоторые – нет, а некоторые подвергаются программным изменениям только в определенных условиях. Задачу сильно усложнял тот факт, что производители конечных устройств все время меняют поставщика чипов, не руководствуясь никакими критериями отбора, кроме цены и складских запасов. То есть оказалось, что все USB-устройства разные, даже те, которые принадлежат к одной продуктовой линейке. А чтобы определить, какие из чипов подвержены риску, придется физически разобрать каждый чип и рассмотреть компоновку.

«Протестировав в ходе исследования около 60 семейств процессоров от восьми разных производителей, мы выяснили, что ни в одном из них возможность перепрограммирования не была отключена осознанно», – сказал Ноль. Кроме того, даже в тех случаях, когда модификация чипа была физически невозможна, это объяснялось конструктивными требованиями, а не безопасностью.

На Black Hat Ноль продемонстрировал код атаки (который так и не был опубликован), позволяющий перепрограммировать прошивку USB и изменить тип устройства на программном уровне. Флэшка, подключенная к ПК, станет, к примеру, эмулировать работу клавиатуры и использоваться для ввода команд, помогающих похитить данные с компьютера; подменять сетевой интерфейс и перенаправлять трафик, меняя настройки DNS-сервера, или выгружать вредоносное ПО со скрытого логического диска.

Такую атаку практически невозможно обнаружить; эксплойт уязвимости –при этом не применяется, атакующий, скорее, просто использует несовершенство «поведения» USB-устройств.

Новое исследование Ноля, в котором он задействовал продукты Phison, Alcor, Renesas, ASmedia, GenesysLogic, FTDI, Cypress и Microchip, проводилось в два этапа. Вначале было произведено сравнение технических спецификаций с целью подтвердить или опровергнуть подозрения, что BadUSB– баг, имеющийся в продукции одного вендора и не характерный для всего интерфейса.

Затем исследователи рассмотрели 30 USB-устройств, составляющих репрезентативную выборку по рынку микроконтроллеров, и попытались их перепрограммировать. На этом этапе Нолю и его коллегам из SRLabs, Якобу Леллю (Jakob Lell) и Саше Криблеру (Sascha Kribler), пришлось разбирать USB-клавиатуры, компьютерные мыши, вебкамеры, накопители, USB-концентраторы и даже зарядные устройства.

В обоих случаях Ноль отметил, что примерно половину из них можно перепрограммировать (даже зарядные устройства!), и это обусловило вывод: данный баг свойственен всем USB-чипам, а не продуктам конкретного производителя.

«В большинстве случаев чип скрыт для компьютера, то есть все чипы компьютер воспринимает как одинаковые, – поясняет эксперт. – Значит, необходим визуальный анализ: нужно вскрывать устройства и смотреть маркировки на чипе». Ноль уже опубликовал результаты, обработав USB-концентраторы, адаптеры SD-карт,  SATA-адаптеры, устройства ввода, вебкамеры и USB-накопители.

«Я думаю, что BadUSB– это скорее способ получить контроль над ПК, а не внедрить  зловреда, – утверждает эксперт, добавляя, что процесс восстановления будет невероятно сложным. – Это технология инфицирования, причем инфицирования персистентного. Сказать точно, где вирус, невозможно. Нельзя просто посмотреть на устройство и прийти к заключению, что оно безопасно, а потом уже бывает слишком поздно».

Определить наиболее вероятные векторы атаки при использовании BadUSB в большинстве случае невозможно, а рекомендации по противодействию немногочисленны и в основном сводятся к полному отключению USB, что вряд ли имеет смысл.

«Мы обсуждаем проблему уже три месяца, но все так же далеки от ее решения, – сетует Ноль. – Хорошим выходом был бы способ, который одновременно эффективен и доступен в краткосрочной перспективе, а также применим к существующим устройствам».

Некоторые исследователи, включая Адама Кодилла (Adam Caudill) и Брендона Уилсона (Brandon Wilson), опубликовавших похожий код атаки, пришли к выводу, что производители могли бы использовать для защиты цифровую подпись. Пока это единственное решение, и годится оно только для новых устройств: производители не собираются с этой целью выпускать обновления прошивки. Но у Ноля вознкла другая идея.

«Есть и решение, альтернативное использованию цифровой подписи, такое же эффективное и совершенно бесплатное: просто не обновлять прошивку, – предлагает исследователь. – Зачем вообще все эти обновления? Когда вообще вы обновляли прошивку периферийных устройств? Я уверен, большинство людей ответит «Никогда»».

Ноль заверил, что примерно половина проанализированных чипов не позволяют обновлять прошивку, хотя так сделано отнюдь не из соображений безопасности. «Обычно обновление USB-устройства наводит на мысль о злом умысле», – заключает эксперт.

Теги:
USB хакеры утечка информации BadUSB
Источник:
Threatpost
1567
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015