Nå kan hvem som helst angripe deg gjennom USB-porten

[G]

 

Nå synes jeg tittelen på artikkelen (og også innhold) ble vel overfladisk og "tabloid".

Er dette Se og Hør eller Tek.no?

Hvem som helst som har tilgang til en device (USB) som inneholder "custom" firmware som en PC tillater å kjøre på ("Autoplay anyone?") kan jo selvsagt "infisere" den PC den blir installert/montert/koblet til.

Problemet her er at Autoplay har ingenting å si. Man kan slå av alt man kan og forstatt være sårbar.

Om minnepinnen din plutselig later som den også er et keyboard, eller et nettverkskort (som overstyrer DNS konfigurasjon) så hjelper det ikke at Autoplay er slått av. Det er ingen måte å beskytte seg mot dette på.

Firmware på en usb stoles på av alle OS i dag. Ingen signering, ingen kontroll, ingen brukerinterasksjon kreves.

Og når man først har infisert OS kan man så infisere firmware på interne USB enheter som webcam og minnekortlesere. Så har man plutselig et persistent virus som man aldri får bort.

 

 

Men, hadde det ikke gått an å få et antimalware-program til å legge en sikker database utenfor "windows"-partisjonen på la oss si harddisken, hvor databasen inneholder fingerprint av samtlige USB-enheter? Så når endringen skjer, så vet antiviruset om det, og kan varsle, evt. stenge ned PC'en din inntil du er på plass bak tastaturet igjen.. Slik at du på best mulig måte skal bli klar over det kritiske og farefulle som er i ferd med å skje utstyret ditt.

[Xprez]

TL;DR

 

USB AIDS.

 

Er bra vi får usb kondomer da: http://int3.cc/products/usbcondoms

[mrdalesen]

En kompis av meg hadde nettopp bygd ferdig PCen sin... Alt gikk etterhvert bra, han startet den opp og brukte den, koblet til tastatur og alt var stas. Når han koblet corsair headsett sitt til PCen så kom det til en liten gnist.. Så gikk det noen sekunder så ble hele PCen fryet. En connection her kanskje? Haha...

[tHz]

Men, hadde det ikke gått an å få et antimalware-program til å legge en sikker database utenfor "windows"-partisjonen på la oss si harddisken, hvor databasen inneholder fingerprint av samtlige USB-enheter? Så når endringen skjer, så vet antiviruset om det, og kan varsle, evt. stenge ned PC'en din inntil du er på plass bak tastaturet igjen.. Slik at du på best mulig måte skal bli klar over det kritiske og farefulle som er i ferd med å skje utstyret ditt.

 

Det finnes ikke noe unikt serienr per usb-enhet. Så et slikt system kan aldri bli godt nok.

Dessuten kan en exploit kjøres før OS lastes. Man kan emulere tastetrykk for å tvinge boot via USB. Så kan man eksponere en bootpartisjon med hva man vil. Alt fra infeksjon av disk til flashing av BIOS.

Bootpartisjonen kan igjen gjemmes før OS lastes.

Dette kan bli utført av intregerte USB enheter som for eksempel kamera eller minnekortleser.

 

Det er få som egentlig skjønner hvor ille dette er. Det er nesten ubegrenset med angrepsvektorer og bortimot umulig å forhindre.

[efikkan]

 

Men, hadde det ikke gått an å få et antimalware-program til å legge en sikker database utenfor "windows"-partisjonen på la oss si harddisken, hvor databasen inneholder fingerprint av samtlige USB-enheter? Så når endringen skjer, så vet antiviruset om det, og kan varsle, evt. stenge ned PC'en din inntil du er på plass bak tastaturet igjen.. Slik at du på best mulig måte skal bli klar over det kritiske og farefulle som er i ferd med å skje utstyret ditt.

Det finnes ikke noe unikt serienr per usb-enhet. Så et slikt system kan aldri bli godt nok.

Dessuten kan en exploit kjøres før OS lastes. Man kan emulere tastetrykk for å tvinge boot via USB. Så kan man eksponere en bootpartisjon med hva man vil. Alt fra infeksjon av disk til flashing av BIOS.

Bootpartisjonen kan igjen gjemmes før OS lastes.

Dette kan bli utført av intregerte USB enheter som for eksempel kamera eller minnekortleser.

 

Det er få som egentlig skjønner hvor ille dette er. Det er nesten ubegrenset med angrepsvektorer og bortimot umulig å forhindre.

 

Nå har ikke du tenkt helt gjennom scenariet. Det du beskrives er riktig nok teoretisk mulig, men må tilpasses målmaskinen og tastetrykk må times riktig for at det skal fungere. Få maskiner har boot fra USB-enheter aktivert, og å lage en enhet som navigerer BIOS for å aktivere det blir svært vanskelig. USB-enheten har ingen mulighet for å detektere PCens tilstand, så den vet heller ikke om tastetrykk ble registrert, så den kan ikke verifisere hvor den er i menyer osv. Den bør ikke pøse løs med mengder av tastetrykk for å komme inn i BIOS, mange maskiner begynner å pipe om input-bufferen på 16-tegn fylles opp for raskt under boot(i real mode).

 

Det er faktisk mye enklere å få til dette med en CD-plate, siden langt flere maskiner har boot fra CD aktivert.

[tHz]

 

Det finnes ikke noe unikt serienr per usb-enhet. Så et slikt system kan aldri bli godt nok.

Dessuten kan en exploit kjøres før OS lastes. Man kan emulere tastetrykk for å tvinge boot via USB. Så kan man eksponere en bootpartisjon med hva man vil. Alt fra infeksjon av disk til flashing av BIOS.

Bootpartisjonen kan igjen gjemmes før OS lastes.

Dette kan bli utført av intregerte USB enheter som for eksempel kamera eller minnekortleser.

 

Det er få som egentlig skjønner hvor ille dette er. Det er nesten ubegrenset med angrepsvektorer og bortimot umulig å forhindre.

 

Nå har ikke du tenkt helt gjennom scenariet. Det du beskrives er riktig nok teoretisk mulig, men må tilpasses målmaskinen og tastetrykk må times riktig for at det skal fungere. Få maskiner har boot fra USB-enheter aktivert, og å lage en enhet som navigerer BIOS for å aktivere det blir svært vanskelig. USB-enheten har ingen mulighet for å detektere PCens tilstand, så den vet heller ikke om tastetrykk ble registrert, så den kan ikke verifisere hvor den er i menyer osv. Den bør ikke pøse løs med mengder av tastetrykk for å komme inn i BIOS, mange maskiner begynner å pipe om input-bufferen på 16-tegn fylles opp for raskt under boot(i real mode).

 

Det er faktisk mye enklere å få til dette med en CD-plate, siden langt flere maskiner har boot fra CD aktivert.

Jeg er enig i at det ikke er enkelt, men det finnes mange flinke folk der ute.

Dessuten er det ikke fult så mange varianter av BIOS som du kanskje tror. Stort sett samtlige bruker AMI, Award eller Phoenix. De fleste leverandører har en rebrandet versjon av disse.

Alle nyere maskiner har en hurtigtast for å velge boot-enhet (oftest F12), om USB firmware da later som den er en extern CDROM vil man enkelt kunne boote på denne.

USB enheter kan også få ut endel informasjon fra USB kontrolleren i maskinen. Så helt i blinde er den ikke.

 

Men det er ikke de scenarioene jeg tenker på som skremmer meg. Det er de utallige andre som jeg ikke har tenkt på som er skremmende. Angrepsoverflaten for dette er helt enorm.

 

Det blir ikke helt det samme med en vanlig CD. Den kan ikke styre keyboard før boot. Den kan heller ikke late som den er en annen enhet. Ei heller endre oppførsel slik som USB har mulighet til.

[efikkan]

Jeg er enig i at det ikke er enkelt, men det finnes mange flinke folk der ute.

Dessuten er det ikke fult så mange varianter av BIOS som du kanskje tror. Stort sett samtlige bruker AMI, Award eller Phoenix. De fleste leverandører har en rebrandet versjon av disse.

Alle nyere maskiner har en hurtigtast for å velge boot-enhet (oftest F12), om USB firmware da later som den er en extern CDROM vil man enkelt kunne boote på denne.

USB enheter kan også få ut endel informasjon fra USB kontrolleren i maskinen. Så helt i blinde er den ikke.

En USB-enhet har fremdeles ingen mulighet til å vite hvor maskinen er i boot-prosessen, hvor den er i en meny og om den har registrert et tastetrykk. Alt den vet er hvor lenge siden den ble slått på. Vinduet for å starte hurtig-boot-menyen er oftest bare et par sekunder under POST, så dette må times veldig bra. Så er neste problem at den ikke vet hvor enheten ligger i listen, den kan anta at den er nederst, men det er det absolutt ingen garanti for.

 

Men det er ikke de scenarioene jeg tenker på som skremmer meg. Det er de utallige andre som jeg ikke har tenkt på som er skremmende. Angrepsoverflaten for dette er helt enorm.

Som hva da?

 

Det blir ikke helt det samme med en vanlig CD. Den kan ikke styre keyboard før boot. Den kan heller ikke late som den er en annen enhet. Ei heller endre oppførsel slik som USB har mulighet til.

Jeg har aldri sagt at en CD kan oppføre seg som USB. Det jeg refererte til er at det er lett å få en maskin til å boote fra en CD, og i det tilfellet er det lett for en USB-enhet å trigge det om det ikke skjer automatisk.