Вход на сайт

МЕДИАМЕТРИКА

Облако тегов

Чума на ваши USB

Аватар пользователя Викшен

   Давал матерьяльчик  про уязвимость USB http://aftershock.news/?q=node/248253  , но никто не отреагировал на угрозы.

   Попытаюсь повторно, более подробно напугать аудиторию АШ.

  Ау, компьютерные гении, откликнитесь! Неужели проблема не стоит выжранного иичка? А может это компЭбол?

  http://www.3dnews.ru/825348

По давней хакерской традиции на месяц август приходится один из главных ежегодных форумов этого сообщества — конференция Black Hat / Def Con в Лас-Вегасе, США. Среди множества докладов, как это повелось, непременно находятся и такие, о которых СМИ шумят особенно сильно — причем в данном случае практически всегда шум идет по делу, а не ради дешевой сенсационности. В этом году еще за неделю до начала Black Hat USA особый резонанс в Интернете и компьютерной прессе получил анонс доклада под названием «BadUSB — об аксессуарах, обратившихся во зло». Авторами исследования являются германские хакеры Карстен Ноль и Якоб Лелль (Karsten Nohl, Jakob Lell) из берлинской фирмы инфобезопасности Security Research Labs.

Если в двух словах, то авторы работы тотально скомпрометировали повсеместно распространенную технологию USB — продемонстрировав такой самовоспроизводящийся вирус, который распространяется по каналам USB, невидим для стандартных средств антивирусной защиты, а самое главное, для которого сегодня в принципе нет эффективных средств борьбы и уничтожения. Дабы всем читателям сразу стало ясно, насколько актуальной является выявленная угроза и насколько серьезным опытом обладают обнаружившие ее исследователи, всю эту историю полезно хотя бы вкратце осветить в соответствующем историческом контексте. То есть рассказать, что за дела происходили вокруг темы BadUSB в течение последнего года.

#Предыстория вопроса

Ровно год тому назад, на Black Hat USA 2013, Карстен Ноль и его компания SR Labs сделали мощно прозвучавший доклад о серьезнейших слабостях инфозащиты, которые были выявлены в чипах-микрокомпьютерах SIM-карт, обеспечивающих безопасность в системах сотовой связи GSM (подробности см. в «Сим-сим открылся»).

Спустя несколько месяцев, осенью 2013-го, коллега Ноля, известный канадский хакер Драгош Руйу (Dragos Ruiu), опубликовал в Сети материалы о выявленном им комплексе новых компьютерных угроз, получивших от исследователя обобщенное название BadBIOS. Главной особенностью этих угроз было то, что неискоренимая основа вредоносных программ скрывается в микрокодах аппаратной части компьютера: в прошивках микросхем BIOS, в видео- и сетевых платах расширения PCI, в контроллерах жестких дисков, в USB-флешках памяти и так далее (подробности см. в «BadBIOS, или Большие проблемы»).

Сразу следует отметить, что невероятно звучавшие открытия Драгоша Руйу опирались исключительно на многолетние аналитические наблюдения исследователя и не подкреплялись какими-либо убедительными демонстрациями, которые могли бы подтвердить концепцию. Иначе говоря, изначально скептически настроенная (и мало сведущая в подобных делах) компьютерная общественность в массе своей хакеру не поверила. Ну а компетентные коллеги Руйу, напротив, теперь уже всерьез занялись исследованием давно известной проблемы, с которой антивирусная индустрия не только не борется, но даже и не пытается бороться.

В конце декабря 2013-го, в рамках юбилейного, тридцатого форума германских хакеров 30C3, или Chaos Computer Congress, сообществу был представлен неясно откуда просочившийся топ-секретеный документ АНБ США в стиле компромата от Эдварда Сноудена. Подобно каталогам коммерческой электроники, этот (вне всяких сомнений подлинный, но не свежий, за 2008 год) документ методично перечисляет и описывает великое множество аппаратных и программных закладок, имеющихся в арсенале шпионов и заточенных под разнообразные условия «компьютерной среды». Среди прочего немало там закладок для внедрения и в BIOS, и в микрокоды других цифровых устройств...

Весной года нынешнего, в марте, хакерская конференция CanSecWest в канадском городе Ванкувере с подачи Руйу уделила особое внимание проблемам BadBIOS. Точнее, в рамках этого форума уже не эпизодические доклады, а целая сессия плюс практическая школа-семинар были целиком посвящены компьютерным угрозам, исходящим от BIOS и UEFI, новой и куда более опасной для злоупотреблений кросс-платформенной версии этой же системы. Авторами ключевых докладов и ведущими школы по вредоносам в прошивках BIOS/UEFI были аналитики-хакеры корпорации Intel и весьма известной исследовательской фирмы MITRE. Ну вот, а теперь, в августе 2014-го, очередь дошла и до угроз от вредоносных программ в микрокодах контроллеров USB, о чем и будет основной рассказ.

#Ахиллесова пята USB

Нынче на редкость разнообразные устройства с коннекторами USB подсоединяются практически ко всем современным компьютерам. За два последних десятилетия этот стандарт интерфейса успешно завоевал мир именно благодаря своей гибкости. Почти любую, без преувеличения, компьютерную периферию — начиная с устройств хранения информации и всяческих гаджетов ввода и заканчивая сложными медицинскими устройствами — можно подсоединять через повсеместно распространенную технологию (не говоря уже о том, что гигантское количество самых разных классов устройств ныне имеют в себе USB-коннектор просто для подзарядки своих батарей).

Редкостная универсальность и гибкость технологии USB закладывалась в конструкцию интерфейса изначально. Стандарт USB может быть использован для подсоединения практически любого периферийного устройства к хост-машине благодаря тому, что в спецификациях заданы и реализованы так называемые классы USB и драйверы для этих классов. Соответственно, каждое появляющееся в индустрии USB-устройство относится к некоторому заранее определенному классу — согласно классификации, определяющей функциональность устройств. Наиболее известными и распространенными среди этих классов являются, к примеру, HID, или «устройства человеческого интерфейса» (клавиатуры, мышки, джойстики), контроллеры беспроводной связи (типа Bluetooth- или Wi-Fi-модулей), внешние устройства памяти (флешки, цифровые фотоаппараты), ну и так далее.

На хост-машине (настольный ПК, ноутбук, смартфон) в составе ОС имеются драйверы классов, каждый из которых управляет функциями своего конкретного класса устройств. Именно по этой причине и оказывается возможным вставлять, скажем, произвольную USB-клавиатуру чуть ли не в любой компьютер с USB-коннектором, и она сразу начинает там работать без каких-либо проблем.

Вся эта восхитительная гибкость технологии одновременно, увы, оказывается и ахиллесовой пятой USB с точки зрения безопасности. Поскольку разные классы устройств — универсальности ради — можно вставлять в одни и те же разъемы, то один тип устройства оказывается возможным превращать в другой. Такой тип, который имеет не только более широкую функциональность, но и куда более широкий простор для злоупотреблений. Причем делать подобные вещи вполне можно тайно — не только без разрешения администратора, но и вообще никак не привлекая внимание владельцев или пользователей устройств.

Строго говоря, взлом USB-устройств с модификацией их функциональности (типа превращения USB-клавиатуры в шпионскую закладку-кейлоггер для похищения всех нажатий кнопок жертвой) давно уже новостью не является. Однако ныне исследователями SR Labs впервые столь разносторонне продемонстрировано, что для атак через USB на самом деле вовсе не требуется навешивания на схему никаких дополнительных чипов и печатных плат.

В действительности все, что нужно злодею, можно реализовать просто перепрограммированием прошивки контроллера USB. В результате такого «обновления» микрокода USB-устройство объявляет себя принадлежащим к другому классу — и в целом делает угрозу технологии намного более опасной.

Масштабы этой, и без того серьезной, угрозы дополнительно возрастают во много крат еще и по той причине, что очень широко распространенные на рынке чипы контроллеров USB — включая и те, что положены в основу флешек памяти, — в массе своей не имеют никакой встроенной защиты от подобного перепрограммирования. То есть единственной защитой тут предполагается, как это часто принято, то, что об этом не пишут в общей документации и технической литературе. Иначе говоря, перед нами очередной образец общеизвестного и давно скомпрометированного принципа «безопасность через неясность».

Для тех же специалистов, которые обладают знаниями и умением самостоятельно разбираться в подобных мутных вопросах, общая картина так или иначе все равно становится ясной. И ясность эта, как правило, открывает не только никудышную или вообще никакую защиту, но и широчайшее поле для злоупотреблений.

#Многоликая угроза

С точки зрения безопасности большой бедой технологии является то, что каждое USB-устройство имеет в себе чип контроллера, то есть собственный управляющий микрокомпьютер. И микрокоды этого чипа легко перепрограммировать, если знать, что и как тут делается.

Затратив несколько месяцев на обратную инженерную разработку (реверс-инжиниринг) USB-микроконтроллеров одной из наиболее широко представленных на рынке фирм, исследователи SR Labs установили, что вполне нормальное изначально USB-устройство может быть быстро превращено во вредоносное и очень опасное — BadUSB. Причем опасное множеством разнообразных способов. В качестве наиболее типичных примеров Ноль и Лелль в своем докладе на конференции Black Hat USA анонсировали три следующие демонстрации.

  1. Подсоединенное к компьютеру BadUSB-устройство (в типичной ситуации — модуль флеш-памяти) может эмулировать клавиатуру и отдавать команды от лица человека, управляющего в данный момент операционной системой. Например, могут подаваться команды на отправку файлов в Интернет или, наоборот, на установку вредоносного ПО в компьютер. Такая подсаженная вредоносная программа, в свою очередь, уже сама может заражать чипы контроллеров других USB-устройств, подсоединяемых к тому же компьютеру впоследствии.
  2. Иначе перепрограммированное BadUSB-устройство также может выдавать себя за сетевую карту и подменять прописанные в компьютере настройки сетевых адресов DNS, из-за чего интернет-трафик жертвы перенаправляется по нужному злоумышленникам маршруту. Предоставляя, к примеру, широкие возможности для известных атак типа «человек посередине».
  3. Модифицированная методами BadUSB флешка или внешний жесткий диск, используемые для внешней загрузки или установки «чистой» операционной системы на компьютер, могут в определенный момент — когда определяют, что компьютер начинает работу, — загружать в систему небольшой вирус, который заражает память компьютера еще до начала загрузки ОС.

Поскольку все эти вещи работают на низком уровне программно-аппаратных микрокодов, то ясно, наверное, что угроза BadUSB имеет универсальный характер и по большому счету совместима с операционными системами всех типов — так же как, собственно, и породивший ее стандарт USB.

#«Ужасный тип паранойи»

Едва только весть о новой напасти под названием BadUSB начала распространяться в Сети, компьютерная пресса тут же стала осаждать USB Implementers Forum, то есть соответствующий орган стандартизации USB, требуя там разъяснений и комментариев. Хотя, казалось бы, что содержательного может поведать подобный орган, когда главная его цель — это вовсе не безопасность коммуникаций, а обеспечение максимальной гибкости и универсальности технологии? Благодаря которым, собственно и удалось добиться триумфально успешного, фактически тотального распространения стандарта в мире.

По этой причине и комментарии от USB IF оказались не то чтобы совсем бесполезными, а так, в общем-то, ни о чем. Во-первых, в органе стандартизации не решились — и на том спасибо — отрицать серьезность собственно угрозы. Но во-вторых, ничего содержательного относительно защиты от подобной напасти, увы, не сказали. Ну нельзя же всерьез относиться к их заявлению о том, что единственной защитой против BadUSB-атак является использование только тех USB-устройств, которым пользователи доверяют на 100 процентов... Как можно доверять или не доверять устройству в условиях, когда в природе вообще не существует средств, позволяющих осуществлять проверку?

Куда более компетентные в подобных вопросах исследователи фирмы SR Labs вполне ответственно сообщают, что на данный момент не известно ни о каких эффективных средствах защиты от атак через контроллер USB — ни в индустрии, ни в сообществе инфобезопасности. Антивирусные сканеры вредоносного ПО в принципе не способны получать доступ к кодам прошивок, работающих на USB-устройствах (так же как, впрочем, и к прошивкам всех прочих плат и микросхем). USB-фаерволы, которые могли бы блокировать определенные классы устройств, пока что тоже не существуют (хотя концептуально такие вещи уже задуманы). Что же касается поведенческого выявления подобных вредоносов, то это дело крайне сложное, поскольку поведение устройства типа BadUSB — когда оно меняет свою «компьютерную личность» — внешне выглядит так, как если бы пользователь просто вставил в машину новое устройство.

Наконец, чтобы сделать ситуацию еще хуже, даже зачистка системы после выявления подобного заражения — тоже дело чрезвычайно сложное. Манипуляции вроде сноса и переустановки операционной системы — являющиеся стандартным ответом на невыводимое иными путями вредоносное ПО — не способны воздействовать на инфекции типа BadUSB в самой их основе.

Во-первых, сама USB-флешка, с которой переустанавливается ОС, может быть давно уже заражена. Во-вторых, в том же компьютере вполне может быть заражена аппаратно встроенная веб-камера (подключенная через внутренний порт USB). В-третьих, через такой же порт могут быть подключены какие-то еще USB-компоненты внутри компьютера. В-четвертых, как показывают исследования, при умелом подходе устройство BadUSB может даже подменять собой систему BIOS — опять-таки через эмулирование клавиатуры и извлечение спрятанных в укромном месте файлов...

Короче говоря, единожды зараженные такой инфекцией компьютеры и их USB-периферия уже никогда не могут быть возвращены обратно к доверительному состоянию. Подобный вирус невозможно выявить до тех пор, пока вы точно не знаете, где именно его следует искать. Как прокомментировал ситуацию Карстен Ноль в одном из недавних интервью, «это означает, что вы вообще больше не можете доверять вашему компьютеру. Это угроза на таком уровне, который невидим. Это ужасный тип паранойи»...

#Надежда остается всегда

Хотя ситуация с BadUSB сегодня и выглядит довольно мрачно (примерно столь же беспросветно, как и с отсутствием защиты от шпионов-бэкдоров в микрокодах BIOS/UEFI), никто не утверждает, что дело тут совсем уж безнадежное.

Определенные пути к усилению защиты USB, несомненно, имеются. Так, в обозримом будущем атаки через BadUSB можно было бы если и не исключить, то по крайней мере ослабить, если бы изготовитель каждого USB-устройства подписывал свою прошивку цифровой подписью. А компьютер, соответственно, проверял бы эту сигнатуру всякий раз, когда устройство втыкается в компьютер. Такого рода защита, вообще говоря, давным-давно имеется среди опций стандарта USB, но она удорожает технологию и понижает уровень совместимости устройств, а потому сейчас практически не применяется.

Другая возможность — делать в компьютере специально предназначенные и несовместимые по разъемам USB-порты для тех или иных классов периферии. Чтобы имелась возможность использовать, скажем, для носителей памяти такой порт, который совершенно неспособен работать с другими классами USB-устройств.

Третья возможность, о которой вскользь уже упоминалось, — применять специальную программу-фаервол, позволяющую контролировать классы устройств, подсоединяемых к тем или иным портам, и соответствие их функций заявленным.

Конкретные меры противодействия BadUSB-атакам предлагаются и исследователями фирмы SR Labs, но подробности на данный счет станут известны, скорее всего, уже после их доклада на Black Hat. Следить за развитием ситуации вокруг данной темы предлагается непосредственно на сайте компании.

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя Старый Кот
Старый Кот(3 года 5 месяцев)(13:25:29 / 06-08-2014)

А нас рать!

Аватар пользователя Викшен
Викшен(3 года 9 месяцев)(13:59:38 / 06-08-2014)

   Самый крутой камэнт! )))

Аватар пользователя Замполит
Замполит(3 года 8 месяцев)(13:26:56 / 06-08-2014)

как страшно жить...

Аватар пользователя Kawa
Kawa(3 года 7 месяцев)(14:17:23 / 06-08-2014)

Вангую именно через заражение юсб флешкой произойдет обвал на биржах, так всегда в фильмах показывают

Аватар пользователя Замполит
Замполит(3 года 8 месяцев)(14:22:21 / 06-08-2014)

вангую - это будет личная флеха Путина с его портретом и надписью: 

"США должны быть разрушены"

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 9 месяцев)(13:29:02 / 06-08-2014)

Не всё так страшно, как хакеры малюют, если РФ будет выпускать своё железо с иной инфраструктурой управления, своими процессорами и прочими контроллерами, памятью и прочим...

Вот честно - ни разу мне такой вирусняк не попадался, чтобы  так озоровал через USB, хотя я свою сеть снифаю через центральный маршрутизатор, чтобы выявлять вирусную активность и устранять таких из сети.

Аватар пользователя Inkvizitor
Inkvizitor(5 лет 9 месяцев)(14:12:16 / 06-08-2014)

А сам центральный маршрутизатор не зараженный? Нет закладок в прошивке?

Аватар пользователя elfwired
elfwired(5 лет 2 месяца)(14:17:23 / 06-08-2014)

> если РФ будет выпускать своё железо с иной инфраструктурой управления, своими процессорами и прочими контроллерами, памятью и прочим...


Потом оно будет стандартизовано, проникнет на потребительский рынок и подвергнется таким же атакам.


Причина-то в том, что потребитель хочет удобно и дёшево.

Требование удобства неминуемо приведёт к стандартизации разъёма, а требование дешевизны - к тому, что рынок захватят производители, не тратящие слишком много на безопасность.

Аватар пользователя tiriet
tiriet(4 года 8 месяцев)(16:37:26 / 06-08-2014)

С большой долей вероятности твоя операционка на твоем же компе на самом деле- крутится внутри виртуальной машины, причем, диагностировать ты это технически почти никак не можешь :-). Материнка собрана в Китае, процессор поддерживает виртуализацию аппаратно, в биосе производителем зашит гипервизор, который при старте материнки виртуализирует всю остальную работу- и старенький мастдай прям с винта стартует уже в виртуальной машине, но узнать об этом никак не может :-) ибо ресурсы разделяются аппаратно, и виртуальная машина не имеет доступа ни к гипервизору, ни к соседним виртуальным машинам. И получает полную иллюзию того, что она- единственная на всем этом железе. Способ диагностики такой ситуации- да почти никак. Гипервизор лежит в биосе зашифрованным, распаковывается биосом "на лету", и без реверсинжиниринга биоса- его вообще никак не вычислить. на работе- гипервизор никак не сказывается. Заметить можно только по необъяснимым скачкам задержки обращения к диску или сети, причем, эти скачки не обнаруживаются системным таймером, так как он, о чудо, тоже виртуализирован, и потому по тикам процессора ничего не видно. Видно, если ты прикрутишь внешний таймер, и будешь например, задержки на обращение к диску или сетевой определять по внешнему таймеру. Есть желающие покурить мануалы, собрать свой собственный аппаратный таймер, прикрутить его к своему любимому ноуту, и покрутить несколько часов далеко не тривиальные тесты на машине? и в результате узнать, что все плохо?

А теперь фишка- несколько раз сталкивался с ситуацией, когда при вставленной флешке процесс загрузки винды необъяснимым образом перывается. причем, старые флешки- нормально, новая- загрузка останавливается, и все. биосом флешка определяется нормально, после загрузки- тоже все ок, никаких особенностей. обычная усб-2.0 флешка, обычная винда ХР или семерка.

Что до "снифания сети"- а ты исходящий трафик тоже снифаешь? НЯЗ, гипервизоры, котрые китайцы лепят в биос- перехватывают сетевые пакеты (сетевая встроенная, чего бы не перехватывать) и делают беглый анализ трафика, и иногда гипервизор что-то отправляется куда-то наружу. но такого трафика очень мало раз, и он не вирусный, два.

Аватар пользователя romx
romx(4 года 5 месяцев)(17:06:49 / 06-08-2014)

Похоже, что подобными страшилками про УСБ (что-то не шумели про СОМ, хотя на любом профоборудовании через него можно войти в терминал) как раз отвлекается внимание от возможности прямого удаленного контроля компьютера с помощью средств виртуализации. Здесь сильно акцентируется вминание на простоте (мнимой, кстати) и массовости возможных атак с помощью БэдУСБ, а ведь нужен физический доступ к компу, в отличие от. Слишком напоминает действия фокусника - чтоб не обратили внимание на его ниточки для манипуляций подсовывается "левый" объект внимания.

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(13:29:41 / 06-08-2014)

Ужос! А рутовый пароль эта флешка тоже у меня из головы выковырнет? :-/

Аватар пользователя jerry
jerry(4 года 10 месяцев)(13:39:58 / 06-08-2014)

Ну, справедливости ради, ваш файл, типа почтовой базы, можно отправить в сеть и без рута. Ну или агента ботнета скачать и запустить. 

Вариантов масса, если статья верна. Только как организовать массовую атаку - это ведь надо "заряженные" флешки изготовить в товарных количествах и раздавать, как сувениры.

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 9 месяцев)(13:46:33 / 06-08-2014)

Не обязательно. Достаточно на этапе тестирования компьютера в фирме - сунуть в него флешку с сюрпризом...

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(14:07:55 / 06-08-2014)

Вы много магазинным "знахарям" доверяете? Я нет, поэтому покупку перешиваю/формачу всю с начиная с биоса/уефи, так на всяк случай. Ну и виндекапец меняю на морально стойкую систему. ;-)

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 9 месяцев)(14:13:49 / 06-08-2014)

Аналогично. Но Вы и я - это далеко не все... да и фанатов поперепрошивать биос и покопаться в железе - не так много.

Вспомните компьютеры с предустановленной ОС...в основном с Виндой...

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(14:22:34 / 06-08-2014)

То-то и печально... ;-(

Аватар пользователя Dvorkin
Dvorkin(5 лет 9 месяцев)(18:28:48 / 06-08-2014)

посоны, это херня. не обр внимания. вот уефи - это вирь, гыгыгы.

эти гомосеки предлагают всё подписать. ага, щаззз.

предлог нашли. я, кстати ща как раз юсб ковыряю.

и да, когда я был студаком, у наших уже был файер против этих устройств. лет 12 назад. вот так. устройств не было, а файер был. под венду, правда

Аватар пользователя Maximus
Maximus(5 лет 3 недели)(18:09:29 / 06-08-2014)
И все контроллеры (сеть, звук, IO, ...) тоже? Жуть!
Аватар пользователя ВладимирХ
ВладимирХ(4 года 10 месяцев)(13:48:52 / 06-08-2014)

А рутовый пароль эта флешка тоже у меня из головы выковырнет?

Ты ж его на клавиатуре набираешь.

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(14:01:49 / 06-08-2014)

Ну да, только отловить его можно если в системе уже сидит какой-нибудь руткит, что уже глупо ибо зачем ловить пароль и так уже взломанной системы, или должен быть физический посредник между клавой и системой если она не взломана, где тут место этой сидящей в соседнем порте чЮдо-флешке? Ну так... Чисто логически? ;-)

Аватар пользователя ВладимирХ
ВладимирХ(4 года 10 месяцев)(15:17:30 / 06-08-2014)

Ну да, только отловить его можно если в системе уже сидит какой-нибудь руткит

Во время предыдущего запуска некий вирус (троян), не имевший рутового доступа, перепрограммировал микроконтроллер клавы и при следующем запуске микроконтроллер уже сливает все нажатия, в т.ч. при вводе паролей

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(16:32:32 / 06-08-2014)

Вы это серьёзно? В никсах вы имеете по умолчанию возможность смотреть (и то - далеко не всё), а не писать. Единственная возможность обойти правильно настроенную систему - лох. В отличие от маздайных поделок в никсах большинство проблем находятся по эту сторону экрана, поэтому и сломать их гора-аздо сложнее.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 10 месяцев)(17:11:45 / 06-08-2014)

Все это в предположении, что все возможности интерфейса документированы. USB не самый прозрачный интефейс

Аватар пользователя Dvorkin
Dvorkin(5 лет 9 месяцев)(18:40:35 / 06-08-2014)

можыд для начала они покажут кусок кода гаджета для линукс, который прошьёт юсб-клиента?

Аватар пользователя Inkvizitor
Inkvizitor(5 лет 9 месяцев)(14:13:09 / 06-08-2014)

Юзаем клавы ps\2)

Аватар пользователя ExMuser
ExMuser(4 года 5 месяцев)(15:53:18 / 06-08-2014)

Ога. BadBIOS.

Аватар пользователя tiriet
tiriet(4 года 8 месяцев)(16:45:45 / 06-08-2014)

я выше отписался. это не смешно. у тебя 4 метра флеша под биос отдано. у меня на 4 метра флеша под ддвтр крутилось с десяток сервисов, и еще место оставалось под логи. а что в новой материнке в этом биосе лежит-неизвестно, тем более, что оно может быть зашифровано, ключ лежит на этой же материнке в другой микросхеме и выдается только по особенной команде, а при трех неудачных попытках- перегорает фьюз и ключ исчезает совсем. виртуализация, блин.

Зачем в десктопных процессорах виртуализация? а вот есть. ей кто-то пользуется? да, бородатые админы, 1%. а пихают- всем.

Аватар пользователя ExMuser
ExMuser(4 года 5 месяцев)(16:51:04 / 06-08-2014)

http://m.aftershock.news/?q=comment/1129933#comment-1129933

Аватар пользователя Barmalley
Barmalley(5 лет 9 месяцев)(13:31:44 / 06-08-2014)

Блин, любой вирус это программа, которую нужно запустить на исполнение в операционной системе. По моему кто то хочет бабла подзаработать, на производителях, а значит и на потребителях USB устройств.

Аватар пользователя jerry
jerry(4 года 10 месяцев)(13:41:45 / 06-08-2014)

Если наша флешка эмулирует клавиатуру, то система способна принимать от нее команды, будто ее ввел сам хозяин. Следовательно, исполнить серию команд в теории можно.

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(13:51:34 / 06-08-2014)

...т.е. вы хотите сказать, что если я воткнул флешку не войдя в учётку на консоли, да хрен с ним даже пусть и уже в учётке, она нафигачит команд, которые сделают мне плохо? Да няхай попробует... ;-)

Аватар пользователя Barmalley
Barmalley(5 лет 9 месяцев)(13:53:39 / 06-08-2014)

Да не, в теории конечно можно, но уж слишком много если. Это как вслепую за чужим компом работать.

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(14:04:11 / 06-08-2014)

format c: /f  :)))

Аватар пользователя Barmalley
Barmalley(5 лет 9 месяцев)(14:06:17 / 06-08-2014)

Накдо от администратора запускать, и потом еще подтверждение нажимать.

З.Ы. надо чтоб ктонить проверил ;-)

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(14:10:00 / 06-08-2014)

Ага, ну пусть мне в джинтушку с таким приветом постучится! ;-)))

Аватар пользователя Barmalley
Barmalley(5 лет 9 месяцев)(14:12:19 / 06-08-2014)

Да достаточно в любой системе не под правами админа работать, о чем я всем настоятельно рекомендую, и вся эта вирусня и прочая хрень обламывается моментом.

Аватар пользователя joho
joho(4 года 1 месяц)(19:33:45 / 06-08-2014)

http://avrdevices.ru/malenykaya-usb-pakosty/

и таких вариантов - море.

Вплоть до загрузки операционки с флэшки, спрятанной в клавиатуру или мышку.

http://aftershock.news/?q=node/204066

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(07:55:15 / 07-08-2014)

Так или иначе это специализированные устройства, выпускаемые не массово ибо палево, а бабло терять производители мейнстрима не захотят. Большинство этих устройств - посредники, замаскированные под стандартные устройства. Тщательный подбор + тщательная настройка системы и вероятность вреда для вас станет исчезающе мала. Ну и не играть на рабочей машине и наоборот... ;-)

Аватар пользователя tiriet
tiriet(4 года 8 месяцев)(16:49:33 / 06-08-2014)

и вам повторю- при тотальном распространении аппаратной виртуализации- вирусу не обязательно быть программой на исполнение в ОС, он сам может быть ОС, и запускать твою родную со скучными обоями как свою гостевую. а ты об этом не узнаешь в силу отсутствия у тебя аппаратуры для выявления подобных вторжений. и твой антивирус тоже ничего не узнает, потому что он сам крутится внутри ос, и выше нее- не вылезет, он даже не предполагает, что выше ОС может что-то быть. а если бы и предполагал- то все равно бы не вылез, ибо сидит в песочнице, и вылезти технически не может. как-то так.

Аватар пользователя Barmalley
Barmalley(5 лет 9 месяцев)(17:24:45 / 06-08-2014)

Повторитесь конечно, виртуализация это конечно замечательно, но тут про пакость с USB лезущую в компьютер, а код заложенный на этапе производства устройст, вы конечно не обнаружите.

Аватар пользователя mentat
mentat(5 лет 11 месяцев)(13:40:19 / 06-08-2014)
Проблема высосана из пальца
Аватар пользователя greygr
greygr(5 лет 9 месяцев)(13:42:54 / 06-08-2014)

вон тот педераст с фото и отсасывал.

Аватар пользователя Викшен
Викшен(3 года 9 месяцев)(14:02:01 / 06-08-2014)

   Тихо-тихо, не нада ТАК возбуждаться! )

Аватар пользователя jamaze
jamaze(5 лет 10 месяцев)(13:50:10 / 06-08-2014)

Немного преувеличено. Перепрограммировать контроллер USB в общем случае - невозможно. В лучшем случае (и то далеко не всегда) - можно действительно изменить ТИП устройства (идентификатор), но запрограммировать корректное поведение контроллера для данного ТИПа - нельзя.

С клавиатурой - да, красиво. Но это - специальное устройство. И вероятность ее срабатывания (без обратной связи от ПК) - не высока.

С сетевой картой - тоже выглядит красиво. Но это тоже - специальное устройство.

В общем это - шпионские штучки, которые используются давно. Например, в мышку встраивают накопитель и сливают потом с защищенного ПК информацию.

Но сделать вирус на этой основе - хрен вам, существующее оборудование нельзя перепрограммировать под новые функции.

Чтобы окончательно закрыть вопрос, достаточно обязать всех производителей жестко прошивать в устройство его ТИП без возможности подмены. И все.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 10 месяцев)(13:51:44 / 06-08-2014)

Немного преувеличено. Перепрограммировать контроллер USB в общем случае - невозможно

Вы уверены, что знаете все недокументированные возможности микроконтроллеров для USB?

Аватар пользователя jamaze
jamaze(5 лет 10 месяцев)(13:57:42 / 06-08-2014)

Нет, конечно. Но пока не вижу фактов, говорящих об обратном.

В статье, в частности, речь идет о СОЗДАНИИ "неправильной" флешки, а не превращении существующей в такого вирусного монстра.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 10 месяцев)(15:13:50 / 06-08-2014)

Но пока не вижу фактов, говорящих об обратном

А некоторые говорят, что видят факты. Вы то утверждаете, мол, "невозможно".

Чувствуете назницу между "я не вижу способов сделать нечто" и "нечто сделать невозможно"?

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(14:02:22 / 06-08-2014)

поддерживаю! Что такое микросхема контроллера флэшки? Это программируемый посредник между портом и микросхемой памяти. У него выхды на память железные, и если прошивка рабочая - флэшка работает, а если не очень - то глючит. Прикинуться usb-модемом он может, но качать куда-то данные при этом... Да и человек может заподозрить неладное, если вставляя флэшку увидит надпись "обнаружено новое устройство USB модем"...

Аватар пользователя tiriet
tiriet(4 года 8 месяцев)(16:55:15 / 06-08-2014)

не знаю, с чего вы взяли, что это невозможно, но я для себя A-DATA флешки с микроновскими контроллерами превращал в УСБ-сидиром с УСБ-флешкой. в системе определялись как два устройства- одно- флешка, а второе- сидюк. очень было удобно ставить винду- образ закинул, и никаких запар с вирусней- сидюк ридонли, голова не болит, куда я его там засунул- очень удобная реанимашка получалась.

2. ну обяжешь ты. и че? на твое "обязать" можно положить толстый прибор, а тебе- выдать бумажку- "мы жестко зашили, отвали". иди докажи потом, что это не так.

Аватар пользователя jamaze
jamaze(5 лет 10 месяцев)(17:18:38 / 06-08-2014)

А чего ж в клавиатуру не превратил? Или в сетевое устройство?

Подсказка: диалект USB-протокола разный, там надо не тип (типы) устройства в прошивке поменять, а всю прошивку. А сидюк и флешка по одному диалекту протокола работают - mass storage или как там его.

Аватар пользователя _GOLREDNAB
_GOLREDNAB(3 года 7 месяцев)(13:55:41 / 06-08-2014)

Аватар пользователя Poison981
Poison981(3 года 8 месяцев)(13:57:47 / 06-08-2014)
Будем юзать громоболт.
Аватар пользователя alx_me
alx_me(3 года 5 месяцев)(14:03:24 / 06-08-2014)
Я вам сейчас сказку расскажу. Вот вы покупаете gsm-модем для своего ноута. Когда вы его суёте в комп. У вас появляется виртуальный cdrom. После активации модема. Либо после установки программы, если у вас, не дай бог, винда, либо после пинка через спец устройство в posix системам контроллер gsm-модема обявляет устройство модема, и может даже удалить устроство cd-rom! Вот это ужос!!! Вирус! Что касается статьи, то я так и не нашёл там описание протокола по которому можно перепрошить усб контроллер моей флешки не выпаивая его.
Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(14:10:10 / 06-08-2014)

я тоже с таким сталкивался :) Дело в том, что модем - это не одно устройство, а целая пачка. В том числе: cdrom начальной установки, собственно модем, microSD-ридер... И многие из этих устройств можно отключить программно, просто подправив строку инициализации.

А еще телефон купил прикольный. При подключении к компу тоже определяется как накопитель, на котором драйвера, а после их установки - определяется как пяток устройств, содержащихся в телефоне.

Аватар пользователя alx_me
alx_me(3 года 5 месяцев)(14:21:33 / 06-08-2014)
Я вам больше скажу. Каждый может написать прошивку для атмеги или арму и буги вуги станцевать этими утсройствами. усб это просто протокол и аппаратная его реализация для обмена информацией. В нём могут быть закладки, безусловно, Но их должны поддерживать обе стороны. Например. Если я три раза подряд объявлю cdrom и флешку - винда форматирует диск ц. Нет проблем. Тут дуже протокол усб абсолютно невинен. Это m$ и я договорились о такой вот подлянке. А вот чтобы в протокол запихнуть универсальную процедуру перепрошивки! Это уровень бога. Бога юмора, естественно. Это означает что я в своей программе должен предусмотреть подержку этого "универсального" протокола. Ну или в каждом контроллере должна быть теневая поддержка. То есть обязательно память программ. То есть удорожание производства. То есть покупайте китайские контроллеры - они экономят на всём :-).
Аватар пользователя S
S(3 года 3 месяца)(14:40:36 / 06-08-2014)

не очень понятно, каким образом производится первоначальное занесение кода вируса в память контроллера.

дальше - все логично, но первоначально перепрограммировать контроллер _незаметно_ для пользователя и антивируса.. ИМХО это фантастика (с)

более того, AFAIK, чипы на USB устройствах вообще read only 

а вот в случае целенаправленных закладок на производстве - попадос. И их 100% делают.

Аватар пользователя tiriet
tiriet(4 года 8 месяцев)(17:03:50 / 06-08-2014)

официально - "ридонли". а фактически- кто ж их тогда программировал-то? ну и да, целенаправленные закладки на производстве делают. и не в УСБ, а сразу в биос. это на порядки проще, надежнее, мощнее и гибче. и это дает доступ не только к флешкам, но вообще- ко всей периферии, любой. полный, неконтролируемый, необнаруживаемый доступ.

Аватар пользователя Huch
Huch(5 лет 1 месяц)(14:44:16 / 06-08-2014)

Матрица захавает ваш компьютер и сделает из вас батарейку!

Да, возможна ситуация, когда биос и контроллер усб-устройства будут делать что-то непредусмотренное вами. Контроллер диска договорится о чем-то без вашего участия с конроллером сетевой платы и та отправит что-то в маршрутизатор. А маршрутизатор выплюнет это в интернет через секретный IP адрес.

Но на бытовом уровне от этого защититься нельзя принципиально. Ибо матрица. И никакой антивирус вам не поможет в этом. Ибо тот антивирус конролирует только операционную систему и находится внутри матрицы. И никаким сниффером вы это не увидите. Ибо надо иметь гарантированный от закладок сниффер, а таких в природе нету.

Разрабатывайте свои чипы (даже не прошивки, а именно железо) для всей инфраструктуры - материнские платы, системы хранения и передачи информации и т.д. Только тогда наступит счастье.

Статья ни о чем.

Аватар пользователя bron147
bron147(5 лет 10 месяцев)(14:47:22 / 06-08-2014)

"самовоспроизводящийся вирус, который распространяется по каналам USB"

..

Угу. А компьютерные вирусы распространяются по кабелям S-ATA (или IDE - у кого они еще остались :) , которыми подключены жесткие диски к материнке. Не, ну че - формально то так и есть.

Статья - галимый бред. Вирусы, распространяемые через флешки появились с момента появления самих флэшек.

Эмуляция каких-то вирусно-шпионских устройств на флэшках выглядит вообще как шизофрения из серии анекдотов про Неуловимого Джо.

Потому как гораздо проще, дешевле и быстрее завирусовать комп через локальную сеть/Интернет, учитывая практически поголовную компьютерную неграмотность большинства современных пользователей.

Аватар пользователя alx_me
alx_me(3 года 5 месяцев)(14:48:48 / 06-08-2014)
Немного подумав я отношу статью к разряду замыливающих тему UEFI. Отвлекают людей от реальной опасности. Опасность некотроллируемых аппаратных закладок весьма высока. Но самое главное, как обычно, административный ресурс. Кто может себе позволить разрабытвать долгие года надёжный, я подчёркиваю, надёжный способ фильтрации мощного потока пользовательских данных? У кого закрытая архитектура? Кто владеет спаркой UEFI-CPU? Я думаю что ответ всем известен и усб тут не при чём. Открытые системы и в аппаратуре и в ПО это не блажь, а насущная необходимость. Но везде нагадили эти попы Гапоны. Эти псевдоразоблачители усб и псевдоальтруисты бсд-шники.
Аватар пользователя mo3art
mo3art(3 года 4 месяца)(15:43:28 / 06-08-2014)

+

Аватар пользователя Великий Кукурузо

Не серьёзно, по сути можно так рассуждать о любом порте и о любой железке, везде могут быть закладки и недокументируемые возможности.

Аватар пользователя mo3art
mo3art(3 года 4 месяца)(15:42:20 / 06-08-2014)

Много фигни не имеющей к реальной жизни никакого отношения.

1. USB микроконтроллер не может управлять компьютером напрямую. Пример с автоклавиатурой бредовый, потому как все действия в этом случае высвечиваются на экране.

2. Загрузить вредоносный код в систему скорее всего можно, но для этого надо знать что за система и какой она подставит драйвер, для обслуживания устройства. Ну и затем этот код будет доступен для анализа антивирусам.

3. по поводу заражения других микроконтроллеров это вообще бред, для перепрограммирования этого типа микросхем как правило нужно специальное оборудование.

Гораздо легче:

1.положить обычный вирусняк на саму флэшку

2.хакнуть систему через один из черных входов, которых полно в каждой ОС (может за исключением систем с открытым кодом)

3.в конце концов написать заразный драйвер для своего девайса.

Гораздо чаще:

1.компы заражают открыв ссылку в броузере или открыв обычное электро-письмо

2.компы валят дистанционно, для этого вообще ничего не нужно делать, просто включить его и присоединит интернет-кабель

3.любители бесплатного софта как правило сами добровольно устанавливают себе на компы всякого рода вирусы, трояны и прочее гавно добро

В реальной жизни скорее всего всё железо изначально обладает закладками и разнообразными черными входами. Что-то служит для диагностики, что-то вставляется по требованию "свыше". Были случаи когда например жесткие диски продавались с вирусняком в бут секторе, так же ходили сплетни про заражённые BIOS в китайских компах. Майкрософт висту писал в сотрудничестве с АНБ, так что думаю там все утыкано разными снифферами и логерами. То же самое касается и Айоса с Андроидом. Злые языки говорят что Гугл вообще развивался на деньги разведчиков. Так что бояться какого-то там BadUSB пользуясь современными девайсами, практически то-же самое что боятся аллергии идя по минному полю.

Аватар пользователя ExMuser
ExMuser(4 года 5 месяцев)(16:01:07 / 06-08-2014)

Хм. Никто из коментящих почему-то ни разу не вспомнил про такую штуку, как OTP. В том числе и BIOS/UEFI. Да и вообще везде, кроме рамы. Хер с ним, пусть спят в кроватках, чтобы, если железо устарело только морально, можно было прошиву проапгрейдить физической заменой чипа. Но это, конечно, не для ширпотреба. Для ОБСОСов, инет-провайдеров и прочая. Спецура, няз, сама о себе заботится.

Аватар пользователя gerstall
gerstall(5 лет 9 месяцев)(21:12:26 / 06-08-2014)

Вы абсолютно правы. На 90% дешевых USB устройств в контроллере нет ни flash, ни eeprom, т.к. удорожание чипа даже на десятые доли центы может выкинуть контору с рынка. Как правило, "прошивка" всех этих контроллеров изначально оптимизированна по содержанию и размеру при постановке на производство и прибита гвоздями в техпроцессе. Это не совсем контроллер - это т.н. ASIC.

Аватар пользователя ExMuser
ExMuser(4 года 5 месяцев)(21:52:20 / 06-08-2014)

Да. SoC, Всё-в-одном etc. Всё упирается в десятые доли цента для рентабельности. Поэтому про более-менее защищённых и особых я спел отдельную песню.

Аватар пользователя gerstall
gerstall(5 лет 9 месяцев)(21:05:48 / 06-08-2014)

Чтобы перепрошить USB устройство нужно как минимум изъять его у хозяина или подготовить заранее. Это, конечно, существенно для государственных и некоторых коммерческих секретов, но массового применения не найдет. Современные дыры в защите от несанкционированного доступа через Интернет настолько велики, что позволяют просто не заморачиваться этой мелочью.

Аватар пользователя segerist
segerist(5 лет 10 месяцев)(01:57:07 / 07-08-2014)

Опубликована первая фотография убыйцы USB

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год

СМИ

Загрузка...