Video: tptalks16: Peter Bilak (November 2024)
Ak ste v počítači nevypínali automatické prehrávanie USB, je možné, že zapojením infikovanej jednotky USB by sa do vášho systému mohol nainštalovať škodlivý softvér. Inžinieri, ktorých odstredivky na čistenie uránu vyhodila do vzduchu Stuxnet, sa to naučili tvrdo. Ukazuje sa však, že automatické prehrávanie škodlivého softvéru nie je jediný spôsob, ako sa dajú zariadenia USB vyzbrojiť. Na konferencii Black Hat 2014 dvaja vedci z berlínskej spoločnosti SRLab odhalili techniku úpravy čipu kontroléra zariadenia USB, aby mohol „spoofovať rôzne iné typy zariadení s cieľom prevziať kontrolu nad počítačom, exfiltrovať údaje alebo špehovať používateľa.. " Znie to trochu zle, ale v skutočnosti je to naozaj strašné.
Obráťte sa na temnú stránku
„Sme hackerské laboratórium, ktoré sa zvyčajne zameriava na zabudovanú bezpečnosť, “ uviedol vedecký pracovník Karsten Noll, ktorý hovoril do zabalenej miestnosti. „Toto je prvýkrát, čo sme hľadali počítačovú bezpečnosť so zabudovaným uhlom. Ako by sa mohlo USB zneužiť škodlivými spôsobmi?“
Reseacher Jakob Lell skočil priamo do dema. Pripojil jednotku USB k počítaču so systémom Windows; ukázalo sa to ako disk, tak, ako ste očakávali. O chvíľu neskôr sa však nanovo definovala ako klávesnica USB a vydala príkaz, ktorým sa stiahol trójsky počítač pre vzdialený prístup. To vyvolalo potlesk!
„Nehovoríme o vírusoch v úložisku USB, “ povedal Noll. „Naša technika funguje s prázdnym diskom. Môžete ho dokonca naformátovať. Toto nie je chyba zabezpečenia Windows, ktorú by bolo možné opraviť. Zamerali sme sa na nasadenie, nie na trójske kone.“
Ovládanie ovládača
„USB je veľmi populárne, “ povedal Noll. „Väčšina (ak nie všetky) zariadenia USB majú čip kontroléra. S čipom nikdy neinteragujete ani ho nevidí operačný systém. Tento ovládač však hovorí o USB.“ “
Čip USB identifikuje typ svojho zariadenia v počítači a tento proces môže kedykoľvek zopakovať. Noll poukázal na to, že existujú platné dôvody, aby sa jedno zariadenie prezentovalo ako viac ako jedno, napríklad webová kamera, ktorá má jeden ovládač pre video a druhý pre pripojený mikrofón. Skutočná identifikácia jednotiek USB je náročná, pretože sériové číslo je voliteľné a nemá pevný formát.
Lell prešiel presnými krokmi tímu na preprogramovanie firmvéru na konkrétny typ radiča USB. Stručne povedané, museli prerušiť proces aktualizácie firmvéru, spätne analyzovať firmvér a potom vytvoriť upravenú verziu firmvéru obsahujúcu škodlivý kód. „Neporušili sme všetko o USB, “ poznamenal Noll. „Obrátili sme sa na dva veľmi populárne kontrolné čipy. Prvý trvalo asi dva mesiace, druhý mesiac.“
Self-Replication
V prípade druhého dema vložil Lell do infikovaného počítača úplne nový disk USB od prvého dema. Infikovaný počítač preprogramoval firmvér prázdneho disku USB a tým sa sám replikoval. Och drahý.
Následne zapojil práve infikovanú jednotku do Linuxového notebooku, kde viditeľne vydal príkazy z klávesnice na načítanie škodlivého kódu. Demo opäť zasiahlo potlesk publika.
Krádeže hesiel
„Bol to druhý príklad, keď jedno USB odráža iný typ zariadenia, “ uviedla Noll, „ale toto je len špička ľadovca. Pre naše ďalšie ukážku sme jednotku USB 3 preprogramovali na typ zariadenia, ktorý je ťažšie zistiť. Pozorne sledujte, je takmer nemožné vidieť. ““
V skutočnosti som nezistil blikanie sieťovej ikony, ale po pripojení jednotky USB sa objavila nová sieť. Noll vysvetlil, že jednotka teraz emuluje ethernetové pripojenie a presmerovala vyhľadávanie DNS v počítači. Konkrétne, ak používateľ navštívi webovú stránku PayPal, bude neviditeľne presmerovaný na stránku s ukradnutým heslom. Bohužiaľ, demonštrátori si nárokovali tento; nefungovalo to.
Dôverujte v USB
„Poďme na chvíľu diskutovať o dôvere, ktorú vkladáme do USB, “ povedal Noll. „Je to populárne, pretože sa ľahko používa. Výmena súborov cez USB je lepšia ako pri použití nešifrovaného e-mailu alebo cloudového úložiska. USB si podmanil svet. Vieme, ako vírusovo skenovať jednotku USB. Ešte viac dôverujeme klávesnici USB. Tento výskum narušuje túto dôveru. “
„Nie je to len o situácii, keď vám niekto dá USB, “ pokračoval. „Iba pripojenie zariadenia k počítaču by ho mohlo infikovať. Na posledné demo použijeme najjednoduchší útočník USB, telefón s Androidom.“
„Stačí pripojiť tento štandardný telefón s Androidom k počítaču, “ povedal Lell, „a uvidíme, čo sa stane. A zrazu existuje ďalšie sieťové zariadenie. Poďme na PayPal a prihláste sa. Neexistuje žiadne chybové hlásenie, nič. používateľské meno a heslo! “ Tentoraz bol potlesk búrlivý.
„Zistíte, že sa telefón s Androidom zmenil na ethernetové zariadenie?“ spýtal sa Noll. „Zistil to softvér na riadenie vášho zariadenia alebo softvér na prevenciu straty údajov? Podľa našich skúseností väčšina z nich nie je. A väčšina sa zameriava iba na úložisko USB, nie na iné typy zariadení.“
Návrat infektora bootovacieho sektora
„Systém BIOS robí iný typ výčtu USB ako operačný systém, “ povedal Noll. „Môžeme to využiť so zariadením, ktoré emuluje dve jednotky a klávesnicu. Operačný systém uvidí iba jednu jednotku. Druhá sa objaví iba v systéme BIOS, ktorý sa z neho zavedie, ak je na to nakonfigurovaný. Ak to tak nie je, môžeme poslať ľubovoľný úhoz klávesov, napríklad F12, aby sa umožnilo zavedenie zo zariadenia. “
Noll zdôraznil, že kód rootkitu sa načíta pred operačným systémom a že môže infikovať ďalšie jednotky USB. „Je to perfektné nasadenie vírusu, “ povedal. „V počítači už beží, kým sa nenačíta antivírus. Je to návrat vírusu zavádzacieho sektora.“
Čo sa dá urobiť?
Noll poukázal na to, že odstránenie vírusu z firmvéru USB by bolo mimoriadne ťažké. Vyberte ju z jednotky USB Flash, mohla by sa znova objaviť z klávesnice USB. Infikované môžu byť aj zariadenia USB zabudované vo vašom počítači.
„Bohužiaľ, neexistuje jednoduché riešenie. Takmer všetky naše nápady na ochranu by narušili užitočnosť USB, “ povedal Noll. „Mohli by ste dôveryhodné zariadenia USB dôverne povoliť? No, mohli by ste, keby boli zariadenia USB jednoznačne identifikovateľné, ale nie sú.“
„Môžete blokovať USB úplne, ale to ovplyvňuje použiteľnosť, “ pokračoval. „Mohli by ste blokovať kritické typy zariadení, ale môžu sa zneužívať aj veľmi základné triedy. Odstráňte tieto a nie je toho príliš veľa. A čo skenovanie škodlivého softvéru? Aby ste mohli čítať firmvér, žiaľ, musíte sa spoliehať na funkcie samotného firmvéru, takže škodlivý firmvér by mohol pokaziť legitímny. ““
„V iných situáciách dodávatelia blokujú škodlivé aktualizácie firmvéru pomocou digitálnych podpisov, “ uviedol Noll. „Bezpečnú kryptografiu je však ťažké implementovať na malých kontrolóroch. V každom prípade sú miliardy existujúcich zariadení zraniteľné.“
„Jedným uskutočniteľným nápadom, s ktorým sme prišli, bolo zakázať aktualizácie firmvéru v továrni, “ povedal Noll. „Posledným krokom je, že firmvér nie je možné preprogramovať. Dalo by sa to dokonca opraviť v softvéri. Vypáliť jednu novú aktualizáciu firmvéru, ktorá blokuje všetky ďalšie aktualizácie. Mohli by sme dobiť trochu dôveryhodných zariadení USB.."
Noll sa zabalil poukázaním na niektoré pozitívne použitia tu opísanej techniky modifikácie radiča. „Je potrebné urobiť prípad, aby si ľudia s tým pohrávali, “ povedal, „ale nie v dôveryhodnom prostredí.“ Za prvé, nikdy sa nebudem pozerať na akékoľvek zariadenie USB, aké som predtým používal.