Немецкие исследователи из компании Security Research Labs Карстен Нол (Karsten Nohl) и Якоб Лель (Jakob Lell) обнаружили, что обычный USB-брелок может быть превращён в мощный инструмент автоматического взлома компьютера из-за критической уязвимости интерфейса USB, который был назван ими BadUSB. Демонстрация BadUSB состоится на мероприятии BlackHat 2014, которое будет проходить 6—7 августа в Лас-Вегасе.

Главная проблема состоит в том, что стандарт USB стал настолько широко распространённым, что большинство людей особенно не задумываются о вопросах безопасности. Конечно, всем известно, что на USB-брелоках часто переносятся вирусы, так что чужая флешка должна проходить обязательную проверку с помощью антивирусного ПО, но в целом до сих пор USB считался безопасным стандартом.

Специалисты отмечают:

«USB-устройства подключены практически ко всем компьютерам (а во многих случаях даже встроены). Этот интерфейс покорил мир за последние два десятилетия благодаря своей универсальности: почти любая компьютерная периферия от накопителей до средств ввода данных и медицинского оборудования может подключаться через эту повсеместно используемую технологию. И ещё больше классов устройств подключаются к USB для зарядки своих аккумуляторов.

Эта универсальность является и ахиллесовой пятой USB: так как к одному и тому же порту могут подключаться устройства разных классов, один тип устройств может превратиться в более продвинутый или вредоносный тип, причём пользователь даже не заметит этого».


Дело в том, что любое устройство с поддержкой USB имеет чип, отвечающий за процесс подключения к другим USB-устройствам. Исследователи обнаружили, что прошивка USB-контроллеров не защищена от перепрограммирования, причём сам факт перепрограммирования сложно заметить. С помощью особого созданного ими инструмента BadUSB специалисты добились превращения обычного USB-устройства, даже флеш-брелока, в средство взлома компьютеров.

Такое модифицированное устройство может осуществлять следующую вредоносную деятельность:
*Эмулировать клавиатуру и исполнять команды от лица авторизованного пользователя, например, просматривать файлы или устанавливать вредоносное ПО. Такое вредоносное ПО, в свою очередь, может заражать контроллеры всех USB-устройств, подключённых к компьютеру.
*Обмануть сетевую карту и изменить настройки DNS компьютера, чтобы перенаправлять трафик через серверы злоумышленников.
*Модифицированный USB-брелок или внешний жёсткий диск может при определении процесса старта компьютера загружать небольшой вирус, который инфицирует операционную систему ещё до загрузки какого-либо антивирусного ПО.


Помимо прочего, исследователи заявляют, что нет эффективного способа обнаружения взломанного USB-оборудования: сканеры вредоносного ПО не могут получать доступ к прошивке на USB-накопителях; брандмауэров USB, блокирующих устройства определённых классов, пока нет; определить вредоносное устройство по его поведению тоже сложно, так как в случае изменения BadUSB типа устройства для системы это выглядит как просто подключение нового оборудования.

Хуже всего то, что в случае заражения USB обычные средства полной переустановки системы не помогут: USB-брелок с установщиком ОС может быть уже заражён, как и веб-камера, клавиатура, мышь или любое другое USB-оборудование на компьютере. Устройство BadUSB может даже перепрошить BIOS на компьютере с помощью эмуляции клавиатуры и запуска скрытого файла на USB-брелоке. В целом после инфицирования компьютер и его USB-периферия уже не могут считаться безопасными.

В долгосрочной перспективе проблема может быть исправлена: производителям необходимо сделать прошивки контроллеров USB немодифицируемыми (или усложнить этот процесс), а компаниям, занятым в сфере безопасности, нужно разработать ПО, проверяющее USB-устройства на неавторизированную модификацию прошивки. Но пока средства взлома вроде BadUSB могут представлять существенную угрозу.

| Сообщение посчитали полезным: DenCoder

Баян баянистый. Немецкие исследователи демонстрируют в 2014 году то что было ясно всё время и давным давно применяется в практических взломах. Одну троянскую USB мышку кустарного изготовления мне довелось поймать с поличным еще в 2008 году.
PCI/pcmcia устройства могут делать вещи намного круче (и это тоже применяется много лет), mini display port тоже позволяет делать много лишнего. Железо никогда не делалось в расчете на работу в недоверяемом окружении.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: fire4x, DenCoder

ntldr пишет:
Баян баянистый. Немецкие исследователи демонстрируют в 2014 году то что было ясно всё время и давным давно применяется в практических взломах. Одну троянскую USB мышку кустарного изготовления мне довелось поймать с поличным еще в 2008 году.PCI/pcmcia устройства могут делать вещи намного круче (и это тоже применяется много лет), mini display port тоже позволяет делать много лишнего. Железо никогда не делалось в расчете на работу в недоверяемом окружении.
Как от такого спасаться?
Это из любого устройства можно вирус забацать?

П.С. Ты - крутой чел

| Сообщение посчитали полезным:

ntldr, а можно по подробней о этой мышке?
Как поймали, какие функции она выполняла?

-----
AutoIt

| Сообщение посчитали полезным:

ntldr пишет:
Одну троянскую USB мышку кустарного изготовления мне довелось поймать с поличным еще в 2008 году
o_O
Меня интересует только один вопрос - где такая нашлась? Хочу знать ответ, чтобы знать области, где они водятся

-----
IZ.RU

| Сообщение посчитали полезным:

fire4x пишет:
Дело в том, что любое устройство с поддержкой USB имеет чип, отвечающий за процесс подключения к другим USB-устройствам.
Еще лет 5 назад обнаружили эту дырку и даже умудрились туда залить или оттуда запустить вредоносный код.

| Сообщение посчитали полезным:

fire4x пишет:
Как от такого спасаться?
Это из любого устройства можно вирус забацать?
Спасаться только одним способом - проверкой всего железа, отключением неиспользуемых портов, опечатыванием системников и навешиванием замков. Лучший USB фаерволл - заглушка на клею "момент".

OLEGator пишет:
Как поймали, какие функции она выполняла?
Внутреннее устройство мышки: собственно мышка, плата от usb хаба, флешка умеющая эмулировать cdrom, схема задержки на ne555 распаянная навесным монтажом.
Алгоритм работы: через несколько часов после включения, подается питание на флешку. В системе появляется два новых устройства, usb диск и cdrom. Windows XP запускает автораном троян с cdrom'а, который сливает данные на флешку и программно отключает оба устройства.
Обнаружили потому что троян был написан криво и от него возникали глюки. Обнаружили сначала трояна, затем его источник.

DenCoder пишет:
где такая нашлась
Завод, компьютер инженера который подготавливал проекты для станков с ЧПУ.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
Windows XP запускает автораном троян с cdrom'а
а если авторан жёстко вырублен? )

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
а если авторан жёстко вырублен? )

Эмуляция клавы. Запуск файла через горячие клавиши. Не сильно надёжно, конечно, но как вариант

-----
Research For Food

| Сообщение посчитали полезным:

Ничё чужова у компутер сувать низзя!!! А то бо-бо...

| Сообщение посчитали полезным:

Чума на ваши USB

| Сообщение посчитали полезным:

Оттуда же известны будущие защиты от таких флэшек -
1) Подписывание usb-устройств
2) Для каждого класса usb-устройств свой специальный порт для предотвращения, например, работы флешки в порте для клавиатуры (имхо, маразм)
3) Контроль usb-устройств с помощью специальной программы-фаервола.

3 метод был бы универсальным решением уже сейчас, если б чипсет любой мамки позволял

--> Ждём отчёта тут <--
Tools. Please check back here for proof-of-concept tools to be released at BlackHat 2014 on August 7.

8-10 лет знали об этом и теперь только зачесались?

-----
IZ.RU

| Сообщение посчитали полезным:

Презентация
https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf

Ну и PoC тоже выложили по ссылке DenCoder'a

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: DenCoder

Страшно жыть..

| Сообщение посчитали полезным:

Два года назад было:
Evil USB HID-эмулятор или просто Peensy http://habrahabr.ru/post/153571/

| Сообщение посчитали полезным: