Чума на ваши USB

Аватар пользователя Викшен

   Давал матерьяльчик  про уязвимость USB http://aftershock.news/?q=node/248253  , но никто не отреагировал на угрозы.

   Попытаюсь повторно, более подробно напугать аудиторию АШ.

  Ау, компьютерные гении, откликнитесь! Неужели проблема не стоит выжранного иичка? А может это компЭбол?

  http://www.3dnews.ru/825348

По давней хакерской традиции на месяц август приходится один из главных ежегодных форумов этого сообщества — конференция Black Hat / Def Con в Лас-Вегасе, США. Среди множества докладов, как это повелось, непременно находятся и такие, о которых СМИ шумят особенно сильно — причем в данном случае практически всегда шум идет по делу, а не ради дешевой сенсационности. В этом году еще за неделю до начала Black Hat USA особый резонанс в Интернете и компьютерной прессе получил анонс доклада под названием «BadUSB — об аксессуарах, обратившихся во зло». Авторами исследования являются германские хакеры Карстен Ноль и Якоб Лелль (Karsten Nohl, Jakob Lell) из берлинской фирмы инфобезопасности Security Research Labs.

Если в двух словах, то авторы работы тотально скомпрометировали повсеместно распространенную технологию USB — продемонстрировав такой самовоспроизводящийся вирус, который распространяется по каналам USB, невидим для стандартных средств антивирусной защиты, а самое главное, для которого сегодня в принципе нет эффективных средств борьбы и уничтожения. Дабы всем читателям сразу стало ясно, насколько актуальной является выявленная угроза и насколько серьезным опытом обладают обнаружившие ее исследователи, всю эту историю полезно хотя бы вкратце осветить в соответствующем историческом контексте. То есть рассказать, что за дела происходили вокруг темы BadUSB в течение последнего года.

#Предыстория вопроса

Ровно год тому назад, на Black Hat USA 2013, Карстен Ноль и его компания SR Labs сделали мощно прозвучавший доклад о серьезнейших слабостях инфозащиты, которые были выявлены в чипах-микрокомпьютерах SIM-карт, обеспечивающих безопасность в системах сотовой связи GSM (подробности см. в «Сим-сим открылся»).

Спустя несколько месяцев, осенью 2013-го, коллега Ноля, известный канадский хакер Драгош Руйу (Dragos Ruiu), опубликовал в Сети материалы о выявленном им комплексе новых компьютерных угроз, получивших от исследователя обобщенное название BadBIOS. Главной особенностью этих угроз было то, что неискоренимая основа вредоносных программ скрывается в микрокодах аппаратной части компьютера: в прошивках микросхем BIOS, в видео- и сетевых платах расширения PCI, в контроллерах жестких дисков, в USB-флешках памяти и так далее (подробности см. в «BadBIOS, или Большие проблемы»).

Сразу следует отметить, что невероятно звучавшие открытия Драгоша Руйу опирались исключительно на многолетние аналитические наблюдения исследователя и не подкреплялись какими-либо убедительными демонстрациями, которые могли бы подтвердить концепцию. Иначе говоря, изначально скептически настроенная (и мало сведущая в подобных делах) компьютерная общественность в массе своей хакеру не поверила. Ну а компетентные коллеги Руйу, напротив, теперь уже всерьез занялись исследованием давно известной проблемы, с которой антивирусная индустрия не только не борется, но даже и не пытается бороться.

В конце декабря 2013-го, в рамках юбилейного, тридцатого форума германских хакеров 30C3, или Chaos Computer Congress, сообществу был представлен неясно откуда просочившийся топ-секретеный документ АНБ США в стиле компромата от Эдварда Сноудена. Подобно каталогам коммерческой электроники, этот (вне всяких сомнений подлинный, но не свежий, за 2008 год) документ методично перечисляет и описывает великое множество аппаратных и программных закладок, имеющихся в арсенале шпионов и заточенных под разнообразные условия «компьютерной среды». Среди прочего немало там закладок для внедрения и в BIOS, и в микрокоды других цифровых устройств...

Весной года нынешнего, в марте, хакерская конференция CanSecWest в канадском городе Ванкувере с подачи Руйу уделила особое внимание проблемам BadBIOS. Точнее, в рамках этого форума уже не эпизодические доклады, а целая сессия плюс практическая школа-семинар были целиком посвящены компьютерным угрозам, исходящим от BIOS и UEFI, новой и куда более опасной для злоупотреблений кросс-платформенной версии этой же системы. Авторами ключевых докладов и ведущими школы по вредоносам в прошивках BIOS/UEFI были аналитики-хакеры корпорации Intel и весьма известной исследовательской фирмы MITRE. Ну вот, а теперь, в августе 2014-го, очередь дошла и до угроз от вредоносных программ в микрокодах контроллеров USB, о чем и будет основной рассказ.

#Ахиллесова пята USB

Нынче на редкость разнообразные устройства с коннекторами USB подсоединяются практически ко всем современным компьютерам. За два последних десятилетия этот стандарт интерфейса успешно завоевал мир именно благодаря своей гибкости. Почти любую, без преувеличения, компьютерную периферию — начиная с устройств хранения информации и всяческих гаджетов ввода и заканчивая сложными медицинскими устройствами — можно подсоединять через повсеместно распространенную технологию (не говоря уже о том, что гигантское количество самых разных классов устройств ныне имеют в себе USB-коннектор просто для подзарядки своих батарей).

Редкостная универсальность и гибкость технологии USB закладывалась в конструкцию интерфейса изначально. Стандарт USB может быть использован для подсоединения практически любого периферийного устройства к хост-машине благодаря тому, что в спецификациях заданы и реализованы так называемые классы USB и драйверы для этих классов. Соответственно, каждое появляющееся в индустрии USB-устройство относится к некоторому заранее определенному классу — согласно классификации, определяющей функциональность устройств. Наиболее известными и распространенными среди этих классов являются, к примеру, HID, или «устройства человеческого интерфейса» (клавиатуры, мышки, джойстики), контроллеры беспроводной связи (типа Bluetooth- или Wi-Fi-модулей), внешние устройства памяти (флешки, цифровые фотоаппараты), ну и так далее.

На хост-машине (настольный ПК, ноутбук, смартфон) в составе ОС имеются драйверы классов, каждый из которых управляет функциями своего конкретного класса устройств. Именно по этой причине и оказывается возможным вставлять, скажем, произвольную USB-клавиатуру чуть ли не в любой компьютер с USB-коннектором, и она сразу начинает там работать без каких-либо проблем.

Вся эта восхитительная гибкость технологии одновременно, увы, оказывается и ахиллесовой пятой USB с точки зрения безопасности. Поскольку разные классы устройств — универсальности ради — можно вставлять в одни и те же разъемы, то один тип устройства оказывается возможным превращать в другой. Такой тип, который имеет не только более широкую функциональность, но и куда более широкий простор для злоупотреблений. Причем делать подобные вещи вполне можно тайно — не только без разрешения администратора, но и вообще никак не привлекая внимание владельцев или пользователей устройств.

Строго говоря, взлом USB-устройств с модификацией их функциональности (типа превращения USB-клавиатуры в шпионскую закладку-кейлоггер для похищения всех нажатий кнопок жертвой) давно уже новостью не является. Однако ныне исследователями SR Labs впервые столь разносторонне продемонстрировано, что для атак через USB на самом деле вовсе не требуется навешивания на схему никаких дополнительных чипов и печатных плат.

В действительности все, что нужно злодею, можно реализовать просто перепрограммированием прошивки контроллера USB. В результате такого «обновления» микрокода USB-устройство объявляет себя принадлежащим к другому классу — и в целом делает угрозу технологии намного более опасной.

Масштабы этой, и без того серьезной, угрозы дополнительно возрастают во много крат еще и по той причине, что очень широко распространенные на рынке чипы контроллеров USB — включая и те, что положены в основу флешек памяти, — в массе своей не имеют никакой встроенной защиты от подобного перепрограммирования. То есть единственной защитой тут предполагается, как это часто принято, то, что об этом не пишут в общей документации и технической литературе. Иначе говоря, перед нами очередной образец общеизвестного и давно скомпрометированного принципа «безопасность через неясность».

Для тех же специалистов, которые обладают знаниями и умением самостоятельно разбираться в подобных мутных вопросах, общая картина так или иначе все равно становится ясной. И ясность эта, как правило, открывает не только никудышную или вообще никакую защиту, но и широчайшее поле для злоупотреблений.

#Многоликая угроза

С точки зрения безопасности большой бедой технологии является то, что каждое USB-устройство имеет в себе чип контроллера, то есть собственный управляющий микрокомпьютер. И микрокоды этого чипа легко перепрограммировать, если знать, что и как тут делается.

Затратив несколько месяцев на обратную инженерную разработку (реверс-инжиниринг) USB-микроконтроллеров одной из наиболее широко представленных на рынке фирм, исследователи SR Labs установили, что вполне нормальное изначально USB-устройство может быть быстро превращено во вредоносное и очень опасное — BadUSB. Причем опасное множеством разнообразных способов. В качестве наиболее типичных примеров Ноль и Лелль в своем докладе на конференции Black Hat USA анонсировали три следующие демонстрации.

  1. Подсоединенное к компьютеру BadUSB-устройство (в типичной ситуации — модуль флеш-памяти) может эмулировать клавиатуру и отдавать команды от лица человека, управляющего в данный момент операционной системой. Например, могут подаваться команды на отправку файлов в Интернет или, наоборот, на установку вредоносного ПО в компьютер. Такая подсаженная вредоносная программа, в свою очередь, уже сама может заражать чипы контроллеров других USB-устройств, подсоединяемых к тому же компьютеру впоследствии.
  2. Иначе перепрограммированное BadUSB-устройство также может выдавать себя за сетевую карту и подменять прописанные в компьютере настройки сетевых адресов DNS, из-за чего интернет-трафик жертвы перенаправляется по нужному злоумышленникам маршруту. Предоставляя, к примеру, широкие возможности для известных атак типа «человек посередине».
  3. Модифицированная методами BadUSB флешка или внешний жесткий диск, используемые для внешней загрузки или установки «чистой» операционной системы на компьютер, могут в определенный момент — когда определяют, что компьютер начинает работу, — загружать в систему небольшой вирус, который заражает память компьютера еще до начала загрузки ОС.

Поскольку все эти вещи работают на низком уровне программно-аппаратных микрокодов, то ясно, наверное, что угроза BadUSB имеет универсальный характер и по большому счету совместима с операционными системами всех типов — так же как, собственно, и породивший ее стандарт USB.

#«Ужасный тип паранойи»

Едва только весть о новой напасти под названием BadUSB начала распространяться в Сети, компьютерная пресса тут же стала осаждать USB Implementers Forum, то есть соответствующий орган стандартизации USB, требуя там разъяснений и комментариев. Хотя, казалось бы, что содержательного может поведать подобный орган, когда главная его цель — это вовсе не безопасность коммуникаций, а обеспечение максимальной гибкости и универсальности технологии? Благодаря которым, собственно и удалось добиться триумфально успешного, фактически тотального распространения стандарта в мире.

По этой причине и комментарии от USB IF оказались не то чтобы совсем бесполезными, а так, в общем-то, ни о чем. Во-первых, в органе стандартизации не решились — и на том спасибо — отрицать серьезность собственно угрозы. Но во-вторых, ничего содержательного относительно защиты от подобной напасти, увы, не сказали. Ну нельзя же всерьез относиться к их заявлению о том, что единственной защитой против BadUSB-атак является использование только тех USB-устройств, которым пользователи доверяют на 100 процентов... Как можно доверять или не доверять устройству в условиях, когда в природе вообще не существует средств, позволяющих осуществлять проверку?

Куда более компетентные в подобных вопросах исследователи фирмы SR Labs вполне ответственно сообщают, что на данный момент не известно ни о каких эффективных средствах защиты от атак через контроллер USB — ни в индустрии, ни в сообществе инфобезопасности. Антивирусные сканеры вредоносного ПО в принципе не способны получать доступ к кодам прошивок, работающих на USB-устройствах (так же как, впрочем, и к прошивкам всех прочих плат и микросхем). USB-фаерволы, которые могли бы блокировать определенные классы устройств, пока что тоже не существуют (хотя концептуально такие вещи уже задуманы). Что же касается поведенческого выявления подобных вредоносов, то это дело крайне сложное, поскольку поведение устройства типа BadUSB — когда оно меняет свою «компьютерную личность» — внешне выглядит так, как если бы пользователь просто вставил в машину новое устройство.

Наконец, чтобы сделать ситуацию еще хуже, даже зачистка системы после выявления подобного заражения — тоже дело чрезвычайно сложное. Манипуляции вроде сноса и переустановки операционной системы — являющиеся стандартным ответом на невыводимое иными путями вредоносное ПО — не способны воздействовать на инфекции типа BadUSB в самой их основе.

Во-первых, сама USB-флешка, с которой переустанавливается ОС, может быть давно уже заражена. Во-вторых, в том же компьютере вполне может быть заражена аппаратно встроенная веб-камера (подключенная через внутренний порт USB). В-третьих, через такой же порт могут быть подключены какие-то еще USB-компоненты внутри компьютера. В-четвертых, как показывают исследования, при умелом подходе устройство BadUSB может даже подменять собой систему BIOS — опять-таки через эмулирование клавиатуры и извлечение спрятанных в укромном месте файлов...

Короче говоря, единожды зараженные такой инфекцией компьютеры и их USB-периферия уже никогда не могут быть возвращены обратно к доверительному состоянию. Подобный вирус невозможно выявить до тех пор, пока вы точно не знаете, где именно его следует искать. Как прокомментировал ситуацию Карстен Ноль в одном из недавних интервью, «это означает, что вы вообще больше не можете доверять вашему компьютеру. Это угроза на таком уровне, который невидим. Это ужасный тип паранойи»...

#Надежда остается всегда

Хотя ситуация с BadUSB сегодня и выглядит довольно мрачно (примерно столь же беспросветно, как и с отсутствием защиты от шпионов-бэкдоров в микрокодах BIOS/UEFI), никто не утверждает, что дело тут совсем уж безнадежное.

Определенные пути к усилению защиты USB, несомненно, имеются. Так, в обозримом будущем атаки через BadUSB можно было бы если и не исключить, то по крайней мере ослабить, если бы изготовитель каждого USB-устройства подписывал свою прошивку цифровой подписью. А компьютер, соответственно, проверял бы эту сигнатуру всякий раз, когда устройство втыкается в компьютер. Такого рода защита, вообще говоря, давным-давно имеется среди опций стандарта USB, но она удорожает технологию и понижает уровень совместимости устройств, а потому сейчас практически не применяется.

Другая возможность — делать в компьютере специально предназначенные и несовместимые по разъемам USB-порты для тех или иных классов периферии. Чтобы имелась возможность использовать, скажем, для носителей памяти такой порт, который совершенно неспособен работать с другими классами USB-устройств.

Третья возможность, о которой вскользь уже упоминалось, — применять специальную программу-фаервол, позволяющую контролировать классы устройств, подсоединяемых к тем или иным портам, и соответствие их функций заявленным.

Конкретные меры противодействия BadUSB-атакам предлагаются и исследователями фирмы SR Labs, но подробности на данный счет станут известны, скорее всего, уже после их доклада на Black Hat. Следить за развитием ситуации вокруг данной темы предлагается непосредственно на сайте компании.

Комментарии

Аватар пользователя Старый Кот
Старый Кот(9 лет 10 месяцев)

А нас рать!

Аватар пользователя Викшен
Викшен(10 лет 1 месяц)

   Самый крутой камэнт! )))

Аватар пользователя Замполит
Замполит(10 лет 2 недели)

как страшно жить...

Аватар пользователя Kawa
Kawa(9 лет 12 месяцев)

Вангую именно через заражение юсб флешкой произойдет обвал на биржах, так всегда в фильмах показывают

Комментарий администрации:  
*** Отключен (розжиг, срач) ***
Аватар пользователя Замполит
Замполит(10 лет 2 недели)

вангую - это будет личная флеха Путина с его портретом и надписью: 

"США должны быть разрушены"

Аватар пользователя Rashad_rus
Rashad_rus(12 лет 1 месяц)

Не всё так страшно, как хакеры малюют, если РФ будет выпускать своё железо с иной инфраструктурой управления, своими процессорами и прочими контроллерами, памятью и прочим...

Вот честно - ни разу мне такой вирусняк не попадался, чтобы  так озоровал через USB, хотя я свою сеть снифаю через центральный маршрутизатор, чтобы выявлять вирусную активность и устранять таких из сети.

Аватар пользователя Inkvizitor
Inkvizitor(12 лет 1 месяц)

А сам центральный маршрутизатор не зараженный? Нет закладок в прошивке?

Аватар пользователя elfwired
elfwired(11 лет 6 месяцев)

> если РФ будет выпускать своё железо с иной инфраструктурой управления, своими процессорами и прочими контроллерами, памятью и прочим...


Потом оно будет стандартизовано, проникнет на потребительский рынок и подвергнется таким же атакам.


Причина-то в том, что потребитель хочет удобно и дёшево.

Требование удобства неминуемо приведёт к стандартизации разъёма, а требование дешевизны - к тому, что рынок захватят производители, не тратящие слишком много на безопасность.

Аватар пользователя tiriet
tiriet(11 лет 3 недели)

С большой долей вероятности твоя операционка на твоем же компе на самом деле- крутится внутри виртуальной машины, причем, диагностировать ты это технически почти никак не можешь :-). Материнка собрана в Китае, процессор поддерживает виртуализацию аппаратно, в биосе производителем зашит гипервизор, который при старте материнки виртуализирует всю остальную работу- и старенький мастдай прям с винта стартует уже в виртуальной машине, но узнать об этом никак не может :-) ибо ресурсы разделяются аппаратно, и виртуальная машина не имеет доступа ни к гипервизору, ни к соседним виртуальным машинам. И получает полную иллюзию того, что она- единственная на всем этом железе. Способ диагностики такой ситуации- да почти никак. Гипервизор лежит в биосе зашифрованным, распаковывается биосом "на лету", и без реверсинжиниринга биоса- его вообще никак не вычислить. на работе- гипервизор никак не сказывается. Заметить можно только по необъяснимым скачкам задержки обращения к диску или сети, причем, эти скачки не обнаруживаются системным таймером, так как он, о чудо, тоже виртуализирован, и потому по тикам процессора ничего не видно. Видно, если ты прикрутишь внешний таймер, и будешь например, задержки на обращение к диску или сетевой определять по внешнему таймеру. Есть желающие покурить мануалы, собрать свой собственный аппаратный таймер, прикрутить его к своему любимому ноуту, и покрутить несколько часов далеко не тривиальные тесты на машине? и в результате узнать, что все плохо?

А теперь фишка- несколько раз сталкивался с ситуацией, когда при вставленной флешке процесс загрузки винды необъяснимым образом перывается. причем, старые флешки- нормально, новая- загрузка останавливается, и все. биосом флешка определяется нормально, после загрузки- тоже все ок, никаких особенностей. обычная усб-2.0 флешка, обычная винда ХР или семерка.

Что до "снифания сети"- а ты исходящий трафик тоже снифаешь? НЯЗ, гипервизоры, котрые китайцы лепят в биос- перехватывают сетевые пакеты (сетевая встроенная, чего бы не перехватывать) и делают беглый анализ трафика, и иногда гипервизор что-то отправляется куда-то наружу. но такого трафика очень мало раз, и он не вирусный, два.

Аватар пользователя romx
romx(10 лет 9 месяцев)

Похоже, что подобными страшилками про УСБ (что-то не шумели про СОМ, хотя на любом профоборудовании через него можно войти в терминал) как раз отвлекается внимание от возможности прямого удаленного контроля компьютера с помощью средств виртуализации. Здесь сильно акцентируется вминание на простоте (мнимой, кстати) и массовости возможных атак с помощью БэдУСБ, а ведь нужен физический доступ к компу, в отличие от. Слишком напоминает действия фокусника - чтоб не обратили внимание на его ниточки для манипуляций подсовывается "левый" объект внимания.

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

Ужос! А рутовый пароль эта флешка тоже у меня из головы выковырнет? :-/

Аватар пользователя jerry
jerry(11 лет 2 месяца)

Ну, справедливости ради, ваш файл, типа почтовой базы, можно отправить в сеть и без рута. Ну или агента ботнета скачать и запустить. 

Вариантов масса, если статья верна. Только как организовать массовую атаку - это ведь надо "заряженные" флешки изготовить в товарных количествах и раздавать, как сувениры.

Аватар пользователя Rashad_rus
Rashad_rus(12 лет 1 месяц)

Не обязательно. Достаточно на этапе тестирования компьютера в фирме - сунуть в него флешку с сюрпризом...

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

Вы много магазинным "знахарям" доверяете? Я нет, поэтому покупку перешиваю/формачу всю с начиная с биоса/уефи, так на всяк случай. Ну и виндекапец меняю на морально стойкую систему. ;-)

Аватар пользователя Rashad_rus
Rashad_rus(12 лет 1 месяц)

Аналогично. Но Вы и я - это далеко не все... да и фанатов поперепрошивать биос и покопаться в железе - не так много.

Вспомните компьютеры с предустановленной ОС...в основном с Виндой...

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

То-то и печально... ;-(

Аватар пользователя Dvorkin
Dvorkin(12 лет 1 месяц)

посоны, это херня. не обр внимания. вот уефи - это вирь, гыгыгы.

эти гомосеки предлагают всё подписать. ага, щаззз.

предлог нашли. я, кстати ща как раз юсб ковыряю.

и да, когда я был студаком, у наших уже был файер против этих устройств. лет 12 назад. вот так. устройств не было, а файер был. под венду, правда

Аватар пользователя Maximus
Maximus(11 лет 5 месяцев)
И все контроллеры (сеть, звук, IO, ...) тоже? Жуть!
Аватар пользователя ВладимирХ
ВладимирХ(11 лет 2 месяца)

А рутовый пароль эта флешка тоже у меня из головы выковырнет?

Ты ж его на клавиатуре набираешь.

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

Ну да, только отловить его можно если в системе уже сидит какой-нибудь руткит, что уже глупо ибо зачем ловить пароль и так уже взломанной системы, или должен быть физический посредник между клавой и системой если она не взломана, где тут место этой сидящей в соседнем порте чЮдо-флешке? Ну так... Чисто логически? ;-)

Аватар пользователя ВладимирХ
ВладимирХ(11 лет 2 месяца)

Ну да, только отловить его можно если в системе уже сидит какой-нибудь руткит

Во время предыдущего запуска некий вирус (троян), не имевший рутового доступа, перепрограммировал микроконтроллер клавы и при следующем запуске микроконтроллер уже сливает все нажатия, в т.ч. при вводе паролей

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

Вы это серьёзно? В никсах вы имеете по умолчанию возможность смотреть (и то - далеко не всё), а не писать. Единственная возможность обойти правильно настроенную систему - лох. В отличие от маздайных поделок в никсах большинство проблем находятся по эту сторону экрана, поэтому и сломать их гора-аздо сложнее.

Аватар пользователя ВладимирХ
ВладимирХ(11 лет 2 месяца)

Все это в предположении, что все возможности интерфейса документированы. USB не самый прозрачный интефейс

Аватар пользователя Dvorkin
Dvorkin(12 лет 1 месяц)

можыд для начала они покажут кусок кода гаджета для линукс, который прошьёт юсб-клиента?

Аватар пользователя Inkvizitor
Inkvizitor(12 лет 1 месяц)

Юзаем клавы ps\2)

Аватар пользователя ExMuser
ExMuser(10 лет 10 месяцев)

Ога. BadBIOS.

Аватар пользователя tiriet
tiriet(11 лет 3 недели)

я выше отписался. это не смешно. у тебя 4 метра флеша под биос отдано. у меня на 4 метра флеша под ддвтр крутилось с десяток сервисов, и еще место оставалось под логи. а что в новой материнке в этом биосе лежит-неизвестно, тем более, что оно может быть зашифровано, ключ лежит на этой же материнке в другой микросхеме и выдается только по особенной команде, а при трех неудачных попытках- перегорает фьюз и ключ исчезает совсем. виртуализация, блин.

Зачем в десктопных процессорах виртуализация? а вот есть. ей кто-то пользуется? да, бородатые админы, 1%. а пихают- всем.

Аватар пользователя ExMuser
ExMuser(10 лет 10 месяцев)

http://m.aftershock.news/?q=comment/1129933#comment-1129933

Аватар пользователя Barmalley
Barmalley(12 лет 1 месяц)

Блин, любой вирус это программа, которую нужно запустить на исполнение в операционной системе. По моему кто то хочет бабла подзаработать, на производителях, а значит и на потребителях USB устройств.

Аватар пользователя jerry
jerry(11 лет 2 месяца)

Если наша флешка эмулирует клавиатуру, то система способна принимать от нее команды, будто ее ввел сам хозяин. Следовательно, исполнить серию команд в теории можно.

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

...т.е. вы хотите сказать, что если я воткнул флешку не войдя в учётку на консоли, да хрен с ним даже пусть и уже в учётке, она нафигачит команд, которые сделают мне плохо? Да няхай попробует... ;-)

Аватар пользователя Barmalley
Barmalley(12 лет 1 месяц)

Да не, в теории конечно можно, но уж слишком много если. Это как вслепую за чужим компом работать.

Аватар пользователя nictrace
nictrace(12 лет 1 месяц)

format c: /f  :)))

Аватар пользователя Barmalley
Barmalley(12 лет 1 месяц)

Накдо от администратора запускать, и потом еще подтверждение нажимать.

З.Ы. надо чтоб ктонить проверил ;-)

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

Ага, ну пусть мне в джинтушку с таким приветом постучится! ;-)))

Аватар пользователя Barmalley
Barmalley(12 лет 1 месяц)

Да достаточно в любой системе не под правами админа работать, о чем я всем настоятельно рекомендую, и вся эта вирусня и прочая хрень обламывается моментом.

Аватар пользователя joho
joho(10 лет 5 месяцев)

http://avrdevices.ru/malenykaya-usb-pakosty/

и таких вариантов - море.

Вплоть до загрузки операционки с флэшки, спрятанной в клавиатуру или мышку.

http://aftershock.news/?q=node/204066

Аватар пользователя nehnah
nehnah(11 лет 6 месяцев)

Так или иначе это специализированные устройства, выпускаемые не массово ибо палево, а бабло терять производители мейнстрима не захотят. Большинство этих устройств - посредники, замаскированные под стандартные устройства. Тщательный подбор + тщательная настройка системы и вероятность вреда для вас станет исчезающе мала. Ну и не играть на рабочей машине и наоборот... ;-)

Аватар пользователя tiriet
tiriet(11 лет 3 недели)

и вам повторю- при тотальном распространении аппаратной виртуализации- вирусу не обязательно быть программой на исполнение в ОС, он сам может быть ОС, и запускать твою родную со скучными обоями как свою гостевую. а ты об этом не узнаешь в силу отсутствия у тебя аппаратуры для выявления подобных вторжений. и твой антивирус тоже ничего не узнает, потому что он сам крутится внутри ос, и выше нее- не вылезет, он даже не предполагает, что выше ОС может что-то быть. а если бы и предполагал- то все равно бы не вылез, ибо сидит в песочнице, и вылезти технически не может. как-то так.

Аватар пользователя Barmalley
Barmalley(12 лет 1 месяц)

Повторитесь конечно, виртуализация это конечно замечательно, но тут про пакость с USB лезущую в компьютер, а код заложенный на этапе производства устройст, вы конечно не обнаружите.

Аватар пользователя mentat
mentat(12 лет 3 месяца)
Проблема высосана из пальца
Аватар пользователя greygr
greygr(12 лет 1 месяц)

вон тот педераст с фото и отсасывал.

Аватар пользователя Викшен
Викшен(10 лет 1 месяц)

   Тихо-тихо, не нада ТАК возбуждаться! )

Аватар пользователя jamaze
jamaze(12 лет 2 месяца)

Немного преувеличено. Перепрограммировать контроллер USB в общем случае - невозможно. В лучшем случае (и то далеко не всегда) - можно действительно изменить ТИП устройства (идентификатор), но запрограммировать корректное поведение контроллера для данного ТИПа - нельзя.

С клавиатурой - да, красиво. Но это - специальное устройство. И вероятность ее срабатывания (без обратной связи от ПК) - не высока.

С сетевой картой - тоже выглядит красиво. Но это тоже - специальное устройство.

В общем это - шпионские штучки, которые используются давно. Например, в мышку встраивают накопитель и сливают потом с защищенного ПК информацию.

Но сделать вирус на этой основе - хрен вам, существующее оборудование нельзя перепрограммировать под новые функции.

Чтобы окончательно закрыть вопрос, достаточно обязать всех производителей жестко прошивать в устройство его ТИП без возможности подмены. И все.

Аватар пользователя ВладимирХ
ВладимирХ(11 лет 2 месяца)

Немного преувеличено. Перепрограммировать контроллер USB в общем случае - невозможно

Вы уверены, что знаете все недокументированные возможности микроконтроллеров для USB?

Аватар пользователя jamaze
jamaze(12 лет 2 месяца)

Нет, конечно. Но пока не вижу фактов, говорящих об обратном.

В статье, в частности, речь идет о СОЗДАНИИ "неправильной" флешки, а не превращении существующей в такого вирусного монстра.

Аватар пользователя ВладимирХ
ВладимирХ(11 лет 2 месяца)

Но пока не вижу фактов, говорящих об обратном

А некоторые говорят, что видят факты. Вы то утверждаете, мол, "невозможно".

Чувствуете назницу между "я не вижу способов сделать нечто" и "нечто сделать невозможно"?

Аватар пользователя nictrace
nictrace(12 лет 1 месяц)

поддерживаю! Что такое микросхема контроллера флэшки? Это программируемый посредник между портом и микросхемой памяти. У него выхды на память железные, и если прошивка рабочая - флэшка работает, а если не очень - то глючит. Прикинуться usb-модемом он может, но качать куда-то данные при этом... Да и человек может заподозрить неладное, если вставляя флэшку увидит надпись "обнаружено новое устройство USB модем"...

Аватар пользователя tiriet
tiriet(11 лет 3 недели)

не знаю, с чего вы взяли, что это невозможно, но я для себя A-DATA флешки с микроновскими контроллерами превращал в УСБ-сидиром с УСБ-флешкой. в системе определялись как два устройства- одно- флешка, а второе- сидюк. очень было удобно ставить винду- образ закинул, и никаких запар с вирусней- сидюк ридонли, голова не болит, куда я его там засунул- очень удобная реанимашка получалась.

2. ну обяжешь ты. и че? на твое "обязать" можно положить толстый прибор, а тебе- выдать бумажку- "мы жестко зашили, отвали". иди докажи потом, что это не так.

Аватар пользователя jamaze
jamaze(12 лет 2 месяца)

А чего ж в клавиатуру не превратил? Или в сетевое устройство?

Подсказка: диалект USB-протокола разный, там надо не тип (типы) устройства в прошивке поменять, а всю прошивку. А сидюк и флешка по одному диалекту протокола работают - mass storage или как там его.

Страницы