Súgó
A téma zárva.
Komoly biztonsági sebezhetőség fenyegeti az USB-s eszközöket: biztonsági szakértők szerint a pendrive-okon, billentyűzeteken, egereken vagy más készülékeken futó firmware aránylag egyszerűen lecserélhető rosszindulatú kódra. A biztonsági rést csak szabvány teljes újragondolásával lehetne befoltozni.
https://www.hwsw.hu/hirek/52955/usb-biztonsag-sebezhetoseg-firmware-malware.html
Re: Egy USB-s eszköz sincs biztonságban
#1
- HWSW
-
- Csoport: Stábtag
- Hozzászólások: 9.283
- Csatlakozott: 2009. márc. 17.
Elküldve: 2014. 10. 03. 14:08
#2
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.409
- Csatlakozott: --
Elküldve: 2014. 10. 03. 14:08
user módban is lehet a firmware frissítéssel hokizni ?
#3
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.586
- Csatlakozott: --
Elküldve: 2014. 10. 03. 14:24
Nem vágom az USB működését.
Ha egy kártékony eszközt bedugok a gépembe, de ott nem mountolom fel, a firmware már tud ártalmas kódot végrehajtani, igaz?
De ha ezután az eszközt tovább adom egy futó virtuális gépnek, akkor az a gép már nem indítja el az eredeti firmware-t, igaz?
A belső gép csak a másoláskor fertőződő fileokkal tud megfertőződni ha jól értem.
Ez ellen véd egy VT-D -s procival szerelt Qubes-OS, ha az USB kezelésére külön storage vm-et használok?
Ha egy kártékony eszközt bedugok a gépembe, de ott nem mountolom fel, a firmware már tud ártalmas kódot végrehajtani, igaz?
De ha ezután az eszközt tovább adom egy futó virtuális gépnek, akkor az a gép már nem indítja el az eredeti firmware-t, igaz?
A belső gép csak a másoláskor fertőződő fileokkal tud megfertőződni ha jól értem.
Ez ellen véd egy VT-D -s procival szerelt Qubes-OS, ha az USB kezelésére külön storage vm-et használok?
#4
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.409
- Csatlakozott: --
Elküldve: 2014. 10. 03. 14:45
Újfent túlparázzák a problémát:
egy USB-s eszköz firmware-ének a felülírásához minimum LE KELL FUTTATNI a firmwareátíró kódot,
amihez előtte LE KELL TÖLTENI.
Így konkrétan akár át is vizsgálható programujjlenyomatot vagy ujjlenyomat-heurisztika alapján könnyen felismerhető, egyértelműen azonosítható és ezáltal egy vírusirtó által könnyen blokkolható utasításokat ad ki. (Pl. kommunikáció a driver réteggel kicsit se feltűnő)
Mindehhez azonban windowson adminnak, linuxokon pedig rootnak kell lenni. A firmware csak ebben az esetben tud lefutni. Androidon is minimum egy root kell hozzá, de a mellékelt proof-of-concept-ben pl. még a busybox is kell hozzá.
egy USB-s eszköz firmware-ének a felülírásához minimum LE KELL FUTTATNI a firmwareátíró kódot,
amihez előtte LE KELL TÖLTENI.
Így konkrétan akár át is vizsgálható programujjlenyomatot vagy ujjlenyomat-heurisztika alapján könnyen felismerhető, egyértelműen azonosítható és ezáltal egy vírusirtó által könnyen blokkolható utasításokat ad ki. (Pl. kommunikáció a driver réteggel kicsit se feltűnő)
Mindehhez azonban windowson adminnak, linuxokon pedig rootnak kell lenni. A firmware csak ebben az esetben tud lefutni. Androidon is minimum egy root kell hozzá, de a mellékelt proof-of-concept-ben pl. még a busybox is kell hozzá.
#5
- Újonc
-
- Csoport: Alkalmi fórumtag
- Hozzászólások: 99
- Csatlakozott: --
Elküldve: 2014. 10. 03. 14:47
@YleGreg: VMWare továbbadja, Hyper-V nem.
#6
- Újonc
-
- Csoport: Alkalmi fórumtag
- Hozzászólások: 99
- Csatlakozott: --
Elküldve: 2014. 10. 03. 14:48
@Mehenion: az afaik lemaradt, sorry.
#7
- Újonc
-
- Csoport: Alkalmi fórumtag
- Hozzászólások: 99
- Csatlakozott: --
Elküldve: 2014. 10. 03. 14:50
@Euro Glass: a fertőzések túlnyomó része user error-ral indul. a programozók / víruskergető írók a lelküket kimelózhatják, ha ettől függetlenül a user annyira idióta, hogy minden figyelmeztetés ellenére el akarja indítani a "funnykittysosweet.exe"-t...
#8
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 2.501
- Csatlakozott: --
Elküldve: 2014. 10. 03. 14:58
@YleGreg: A firmware az usb-n fut. Teljesen lényegtelen, hogy mit csinálsz a géppel. Ha egy pendrivon egy billentyűzet firmware fut, akkor a gép úgy fogja kezelni, mint bármelyik más billentyűzetet. Ha a visszamásoláskor a pendrive hozzáfúz valamit egy fájlhoz, azt szintén a gépedtől függetlenül teszi.
geri: "a világon 6.5 milliárd PC felhasználó van"
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
#9
- Őstag
-
- Csoport: Fórumtag
- Hozzászólások: 69.513
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:01
Vagy oprendszert is lehet használni 
--- Internet is just a bigger floppy disk ---
#10
- Őstag
-
- Csoport: Fórumtag
- Hozzászólások: 5.563
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:08
@Gabibácsi: ?
"I was a Marine in the invasion of Iraq. It was 2 years before I could watch any type of violent movie. War truly is hell. Killing, bleeding, dying and crying are terrible, and great. If you fight for glory and power you are evil and will die in vain. I and every other warrior fought for each other. For family, for friends, for the US, for Sparta."
#11
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.409
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:09
Jó de egy nagyon erős csúsztatás van a cikkben idézem:
"A probléma az, hogy a hibát kihasználó támadások ellen nem lehet védekezni..."
Ez tehát nem igaz, egyszerűen nem felel meg a valóságnak. Ez sem több mint egy n+1-edik a 22 milliós vírusbázisból amit hozzácsapnak aztán jónapot !
"A probléma az, hogy a hibát kihasználó támadások ellen nem lehet védekezni..."
Ez tehát nem igaz, egyszerűen nem felel meg a valóságnak. Ez sem több mint egy n+1-edik a 22 milliós vírusbázisból amit hozzácsapnak aztán jónapot !
#12
- Őstag
-
- Csoport: Fórumtag
- Hozzászólások: 5.563
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:12
@Euro Glass: firmwaret melyik antivir csekkol?
Szerkesztette: Asker 2014. 10. 03. 15:13 -kor
"I was a Marine in the invasion of Iraq. It was 2 years before I could watch any type of violent movie. War truly is hell. Killing, bleeding, dying and crying are terrible, and great. If you fight for glory and power you are evil and will die in vain. I and every other warrior fought for each other. For family, for friends, for the US, for Sparta."
#13
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 2.501
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:16
@Euro Glass: Ha kapsz egy pendrive-ot, nem tudod ellenőrizni, hogy fertőzött-e. Akár a mostani is fertőzött lehet. Ha bármi futtathatót hordozol vele, már fertőzhet. Egy kölcsönadott billentyűzet indításkor látszódhat pendrivenak, és ha be van állítva az ilyen bootolás, már fertőzhet.
geri: "a világon 6.5 milliárd PC felhasználó van"
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
#14
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.409
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:21
@Asker: tudtommal -MÉG- egyik sem, de majd most rápattannak.
"HA kapsz egy pendrive-ot, nem tudod ellenőrizni, hogy fertőzött-e. Akár a mostani is fertőzött lehet. HA bármi futtathatót hordozol vele, már fertőzhet. Egy kölcsönadott billentyűzet indításkor látszódhat pendrivenak, ÉS HA be van állítva az ilyen bootolás, már fertőzhet."
HA.. HA.. ÉS HA..
Túl sok a HA..
HA HA HA !
"HA kapsz egy pendrive-ot, nem tudod ellenőrizni, hogy fertőzött-e. Akár a mostani is fertőzött lehet. HA bármi futtathatót hordozol vele, már fertőzhet. Egy kölcsönadott billentyűzet indításkor látszódhat pendrivenak, ÉS HA be van állítva az ilyen bootolás, már fertőzhet."
HA.. HA.. ÉS HA..
Túl sok a HA..
HA HA HA !
#15
- Újonc
-
- Csoport: Alkalmi fórumtag
- Hozzászólások: 4
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:22
@Euro Glass:
Szerintem ott erted felre, hogy tradicionalis virus kategoriaban gondolkodsz, ahol
1. virusos akarmi (pl. pendrive) megfertozi a gepet
2. virusos gep virusos
3. virusos gep megfertoz akarmit (pl. pendrive-ot)
Ehelyett itt leginkabb arrol van szo, hogy ha pl. a kovetkezo evi osszes Xy marka pendrive (bill, eger, webkamera stb.) mar virusosan gordul le a gyartosorrol, akkor az detektalhatatlanul virusos marad amig meg nem semmisitik; user legfeljebb azt veszi eszre, hogy valahogy mindig virusos lesz a gepe (vagy azt se).
Szerintem ott erted felre, hogy tradicionalis virus kategoriaban gondolkodsz, ahol
1. virusos akarmi (pl. pendrive) megfertozi a gepet
2. virusos gep virusos
3. virusos gep megfertoz akarmit (pl. pendrive-ot)
Ehelyett itt leginkabb arrol van szo, hogy ha pl. a kovetkezo evi osszes Xy marka pendrive (bill, eger, webkamera stb.) mar virusosan gordul le a gyartosorrol, akkor az detektalhatatlanul virusos marad amig meg nem semmisitik; user legfeljebb azt veszi eszre, hogy valahogy mindig virusos lesz a gepe (vagy azt se).
#16
- Törzsvendég
-
- Csoport: Stábtag
- Hozzászólások: 821
- Csatlakozott: 2011. jan. 24.
Elküldve: 2014. 10. 03. 15:23
@philcsy: Pontosan. És ebben az a zamatos, ha ennek nem is kell mondjuk .exe-nek lennie, szinte bármiben van futtatható kód (doc, pdf, stb.) amit az USB firmware be is injektálhat, on the fly.
#17
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 2.501
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:24
@Euro Glass: Ha te saját magadnak gyártod a pendrive-ot akkor minden ok.
geri: "a világon 6.5 milliárd PC felhasználó van"
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
#18
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.409
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:29
@fmcfmc: ha öreganyámnak kereke lesz , akkor meg én leszek a kombínó
#19
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 2.501
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:35
@Euro Glass: "tudtommal -MÉG- egyik sem, de majd most rápattannak."
A firmware kódja a vírusirtó számára nem feltétlenül érhető el, mert az eszközről nem feltétlenül lehet visszamásolni a gépre. Ilyen funkcióra eddig nem volt szükség, nincs szabványosítva, tehát vagy megcsinálta az eszközgyártó, vagy nem. Azt megteheti, hogy tesztelheti az eszközt, hogy normálisan reagál-e (másolásnál, fölcsatlakozásnál, stb.).
A firmware kódja a vírusirtó számára nem feltétlenül érhető el, mert az eszközről nem feltétlenül lehet visszamásolni a gépre. Ilyen funkcióra eddig nem volt szükség, nincs szabványosítva, tehát vagy megcsinálta az eszközgyártó, vagy nem. Azt megteheti, hogy tesztelheti az eszközt, hogy normálisan reagál-e (másolásnál, fölcsatlakozásnál, stb.).
geri: "a világon 6.5 milliárd PC felhasználó van"
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
#20
- Újonc
-
- Csoport: Alkalmi fórumtag
- Hozzászólások: 97
- Csatlakozott: --
Elküldve: 2014. 10. 03. 15:40
Egy ilyesmi problémára emlékszem még úgy 10 évvel ezelőttről. Akkor úgy emlékszem egy megmókolt iPoddal törtek fel szervereket (demonstrálandó a hibát), hasonlóan az USB/firewire szabvány "sajátosságait" kihasználva. A tanács ha jól emlékszem úgy hangzott "öntsük ki a szerverek hozzáférhető USB és FireWire csatlakozóit epoxi-gyantával".
