top
logo


Новый вид атак с использованием перепрограммированных USB-устройств PDF Печать E-mail
31.07.14 20:44

На следующей неделе на конференции Black Hat запланирована демонстрация новой атаки BadUSB, для совершения которой используются USB-устройства со специально модифицированной прошивкой. В результате внесённых изменений USB-устройство может сэмулировать работу совершенно другого типа USB-устройств и вклиниться в работу системы.

Например, USB-накопитель или web-камера с интерфейсом USB в определённый момент могут сэмулировать работу USB-клавиатуры и осуществить подстановку ввода. Источником проблем также может оказаться штатная USB-клавиатура с изменённой прошивкой или штатный USB-накопитель (организация скрытого ввода или подмены записываемых данных). USB-устройства в системе пользуются изначально слишком высоким уровнем доверия, не подразумевающим, что они могут выполнить не только штатные действия. Современными методами обнаружения вредоносного ПО практически невозможно выявить факт модификации прошивки, что затрудняет обнаружение и предотвращение атаки до момента её совершения.

Вредоносные изменения можно выявить зачастую только через очень трудоёмкие методы анализа, такие как физическое дизасcемблирование и обратный инжиниринг устройства. Получить код прошивки с внешнего USB-устройства можно только при участии самой прошивки, которая в случае наличия вредоносных вставок успешно сможет исключить их из дампа. Большие трудности также предоставляет чистка вредоносных вставок, которые можно удалить только через восстановление оригинальной прошивки, что без специализированного оборудования также невозможно сделать без участия поражённой прошивки. При этом нет особых трудностей с начальной модификацией прошивки USB-устройств традиционным вредоносным ПО.

Возможные варианты атаки могут меняться в достаточно широком диапазоне, например, вместо клавиатуры может быть симулирован сетевой адаптер, который может применяться для подмены запрашиваемого контента. Вместо специализированных USB-устройств в качестве звена для проведения атаки могут применяться и смартфоны. Например, на Black Hat будет продемонстрирована атака с использованием смартфона под управлением платформы Android.

Атаку продемонстрирует Карстен Нол (Karsten Nohl), известный созданием метода вскрытия алгоритма шифрования A5/1, разработкой техники воссоздания алгоритма шифрования смарт-карт по их снимкам и созданием успешных методов атак на сети GSM. Будет сделано четыре демонстрации, три из которых будут проведены на устройствах с чипами контроллеров компании Phison Electronics.

Кроме вышеупомянутых демонстраций с превращением USB-накопителя в клавиатуру и сетевую карту, будет показана атака с применением скрытого внесения изменений в сохраняемые на USB-накопителе данные. В частности, USB-накопитель с изменённой прошивкой осуществит подстановку вредоносного кода в скопированный на накопитель инсталляционный файл с Ubuntu Linux. При этом модификация проявится только при попытке установки Ubuntu на другом компьютере, проверка контрольной суммы после копирования файла не выявит проблем.

  1. Главная ссылка к новости (http://arstechnica.com/security/2014/07/...)
  2. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
  3. OpenNews: Офисная техника может стать причиной утечки информации
  4. OpenNews: Атака на Linux-системы через запуск кода при вставке USB-накопителя
  5. OpenNews: Техника атаки, позволяющей продолжить запись с микрофона после закрытия сайта
  6. OpenNews: Атака по превращению IP-телефонов Avaya в прослушивающие радиопередатчики
Тип: Проблемы безопасности
Ключевые слова: usb, attack, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Crazy Alex, 23:58, 31/07/2014 [ответить] [смотреть все]    [к модератору] +3 +/
Не понял, что в такой атаке нового? Даже здесь на опеннете с год назад подобное пробегало
 
  2.2, EuPhobos, 00:03, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору] +3 +/
Ну это же конференция, решили поднять проблему на обсуждение. Видать были прецеденты..
 
  3.32, ford15focus, 09:24, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору] +/
ну, емнип, PS3 так и ломали
 
2.3, vitalif, 00:14, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору] +/ Не то что на опеннете - чуть ли не на АВТОВАЗе по-моему это было))
 
  3.4, Аноним, 00:32, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору] +1 +/
Вы путайте, раньше эксплуатировались конкретные уязвимости в конкретных ОС и про... весь текст скрыт [показать]
 
  4.21, Аноним, 04:52, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
Такая неожиданность, пля контроллер клавиатуры может самодурничать, контроллер ... весь текст скрыт [показать]
 
  5.24, Ordu, 05:44, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +11 +/
> Такая неожиданность, пля: контроллер клавиатуры может самодурничать, контроллер флехи,
> винча и прочих сидиромов может сектор подменить, etc. Эта тема Б-А-Я-Н,
> известный с еще досовых времен.

Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.

 
  6.31, Xaionaro, 09:23, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.

Ну, справидливости ради, такие идеи действительно высказывались уже много лет назад. Скорее всего на конфенерции будет предостаточно интересной и новой информации, однако в тексте новости ни о чём новом не поведали.

image
 
  7.34, YetAnotherOnanym, 10:48, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +2 +/
Высказать идею и продемонстрировать атаку - это не одно и тоже.
 
2.5, Ordu, 00:41, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/ Технический прогресс не стоит на месте. Там же написано: новая атака необнаружима современными средствами. Не удастся просто выгрузить фирмварь с флешки и проверить её на наличие инфекции. Точнее проверить то удастся, но отрицательный результат проверки не будет значит ничего.
 
  3.7, Аноним, 00:47, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору]  –3 +/
Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть... весь текст скрыт [показать]
 
  4.9, Гость, 01:55, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> элементарная сверка хешей файлов прочитанных с флехи может запалить напасть

И как часто надо проводить элементарную сверку хешей?

> силно крутую логику применять он напряжется

Эмуляция клавиатурного ввода из правильно скомпонованных команд nohup, while, wget, sh и 2>>/dev/null снимает напряг на раз.

> не такой уж и умный
> осмысленно поразить "вот этот ELF с arm-hf ABI"
> прощелкает клювом
> грохнется
> кексы

С этими проблемами лучше на ксакеп.

 
  5.16, Аноним, 04:47, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
После записи и перед использованием, например Только клавиатура не знает куда с... весь текст скрыт [показать]
 
4.10, Аноним, 02:23, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
в новости написано как раз о том, что проявится измененный код только на другом ... весь текст скрыт [показать]
 4.12, Ordu, 03:06, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ > Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть. Хотя
> если код подставляется только иногда - может и не прокатить.

А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура, которая запускает терминал, затем, изображая нажатия на клавиши, "набирает" код программы, после чего отправляет её на выполнение.

> С другой стороны - у флехи мелкий контроллер, не такой уж и
> умный.

Да, это серьёзный ограничитель.

 
  5.17, Аноним, 04:47, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору]  –3 +/
Ну если вас не смущает бубнеж ядра про HID device при втыкании флехи - ну извини... весь текст скрыт [показать]
 
  6.23, Ordu, 05:40, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
>> А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура,
> Ну если вас не смущает бубнеж ядра про HID device при втыкании
> флехи - ну извините :).

Вот к чему вы это сказали? К тому, что на конференции они будут заниматься туфтой и, как британские учёные, бессмысленно тратить своё время? Думаю нет, думаю вы имели в виду какую-то иную цель, когда говорили это. Но какую именно? Может вы хотели продемонстрировать окружающим свои невероятные познания и умение отслеживать в реалтайме все изменения в подключённых девайсах? Допустим, но мне кажется вы ошиблись адресом, такими знаниями лучше хвастаться в офисе перед планктонинами. М-м-м... Мне не придумать никаких других объяснений вашим словам. Может вы сами расскажете, чтобы мне не гадать?

 
5.22, Классический Анонимус, 05:29, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ "у флехи мелкий контроллер"

Вы ошибаетесь. Есть флэшки с операционкой внутри. Пройдет год-два и флэшки станут ещё мощнее. Хотя софтовый USB делается на микроконтроллере атмега с 8кб памяти и несколько кб ОЗУ.

Как страшно жить! :(((((((((

   5.18, Аноним, 04:48, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
Бывает 8051 разогнанный, как один из вариантов ... весь текст скрыт [показать]
 4.38, Аноним, 11:58, 01/08/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
А ты не подумал, что умный злой контроллер может легко эмулировать функции мелко... весь текст скрыт [показать]
 
1.8, Аноним, 01:40, 01/08/2014 [ответить] [смотреть все]     [к модератору]  +/
Примерно так в общем-то ломали PS3 ... весь текст скрыт [показать]
 
  2.11, Lui, 03:03, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/
Согласен. есть к примеру кейлогеры которых вообще не заметишь, которые в далекие времена подключались к ps2 , а какой нибудь usb который могет почти все (при правильных настроек рук - усе ))) ) не только снифить но и активно влиять на "жертву" - это может просто перерасти в разновидность вируса который передается через флэху,3g-модем,... , но аппаратно-софтварный. в принципе ничего не мешает сделать и программно-аппаратный вирус ) -- к примеру как я перепрогил usb-3g-модем )
 
1.13, pavlinux, 03:29, 01/08/2014 [ответить] [смотреть все]    [к модератору]  –1 +/ У ФСБ могли бы быть такие девайсы - в 2006 году сам делал.
Они сказали - нах... нам такие, при себестоимости 3$, с них откаты маленькие.
Но зато есть спец-USB-хаб от таких атак, так что - галактико в безопасности,
ну а хомяки пускай страдают. :-P

Кстате, [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы,
с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь.  

Собственно я это к чему?! А к тому, что OpenSource без OpenHardware - ИБД  

Новый вид атак с использованием перепрограммированных USB-устройств  
  2.19, Аноним, 04:49, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Да елки, такое кто только не делал Так надо было представлять это как убер-хайт... весь текст скрыт [показать] [показать ветку]
 
  3.26, pavlinux, 06:04, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> Так надо было представлять это как убер-хайтеч-достижение.

... они даже по 500$ связываться не стали бы.
Если в госзаказе меньше 10 лямов никто шевелится не будет.  
Как НИОКР прокатило, на полгода себя з/п обеспечили.  

image
 
1.15, pavlinux, 04:13, 01/08/2014 [ответить] [смотреть все]    [к модератору]  +/ > При этом модификация проявится только при попытке установки Ubuntu
> на другом компьютере, проверка контрольной суммы после копирования
> файла не выявит проблем.

А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности системы.

image  
  2.20, Аноним, 04:50, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  –1 +/
Как атакующий не может предусмотреть всех комбинаций систем, так и дистропитеки ... весь текст скрыт [показать] [показать ветку]
 
  3.25, pavlinux, 06:01, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  –1 +/
Лечить никого не собираюсь, и от меня хрен дождётесь полезной инфы.
Чем больше дебилов, тем больше у меня зарплата.

Ладно, так уж и быть, немного полезного: все твои утверждения  - детская xyета.  

image
 
  4.29, commiethebeastie, 09:08, 01/08/2014 [^] [ответить] [смотреть все]    [к модератору]  +2 +/
ЧСВ OVER 9000.
 
2.30, Аноним, 09:22, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
они уже есть, только если ты включишь думающее устройство, то поймешь, что они в... весь текст скрыт [показать] [показать ветку]
 2.39, Аноним, 12:13, 01/08/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/ 
1.27, A.Stahl, 08:38, 01/08/2014 [ответить] [смотреть все]    [к модератору]  +/ >Вредоносные изменения можно выявить зачастую только через очень трудоёмкие методы анализа, такие как физическое дизасcемблирование и обратный инжиниринг устройства.

Ну да. А может просто у оператора спросить а чего это он только что присобачил к системе? А для тех устройств которые редко отключаются\подключаются просто прописать их назначение где-то в конфигах? Это, наверное, слишком сложно. Ну пусть тогда пишут ИИ по слежению за поведением устройств. Точно.

  1.33, например, 10:04, 01/08/2014 [ответить] [смотреть все]    [к модератору]  +/ как страшно жить
  1.35, YetAnotherOnanym, 11:11, 01/08/2014 [ответить] [смотреть все]    [к модератору]  +2 +/ Ну чо, зяпилят в ядро файрвол для USB - чо ещё делать...
  1.37, Аноним, 11:52, 01/08/2014 [ответить] [смотреть все]     [к модератору]  +/
Коллеги, посмотрите материал о выполнении контроллером клавиатуры несвойственных... весь текст скрыт [показать]
  1.40, Аноним, 12:24, 01/08/2014 [ответить] [смотреть все]     [к модератору]  +/
https hakshop myshopify com products usb-rubber-ducky-deluxe ... весь текст скрыт [показать]
  1.41, odity, 12:39, 01/08/2014 [ответить] [смотреть все]    [к модератору]  +/ Хахаха, сертифицировали кабинет шефа..значит ФСБ не так глубоко копает,когда делает осмотр каждого устройства,раз надо подходить индивидуально к каждому устройству. каждую клавиатуру не только просвечивать,но и проверять код прошивки??не думаю,что они это делают.))) рдал дого..поставил клаву шефу, а она со встроеным глазом и следит за ним, а через адаптер отправляет видео шпиону))) смешно в том, что такое мне снилось уже)))Моя фантазия впереди инноваций)
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40309

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика