HWSW Informatikai Kerekasztal: Re: Egy USB-s eszköz sincs biztonságban - HWSW Informatikai Kerekasztal

Ugrás a tartalomhoz

Mellékleteink: HUP | Gamekapocs

  • (12 Oldal)
  • +
  • 1
  • 2
  • 3
  • 4
  • Utolsó »
  • Nem indíthatsz témát.
  • A téma zárva.

Re: Egy USB-s eszköz sincs biztonságban

#21 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 10. 03. 15:40

A jó vicc ebben az, hogy a firmware kódja bármit csinálhat. Tehát hozzáadhat malware-t például a fájlokhoz, de csinálhat mást is, például naplózhatja és továbbíthatja az összes billentyűleütést vagy eltérítheti a teljes hálózati forgalmat például -- mindkettőt demózták is már.

#22 Felhasználó inaktív   Euro Glass 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.409
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 15:43

""öntsük ki a szerverek hozzáférhető USB és FireWire csatlakozóit epoxi-gyantával". "

Igen, ez azoknak a "rendszergarázdáknak" való B-terv, akik a sábesz-dekliért kapták az állásukat és/vagy a diplomájukat, mint itt pl. jópáran ..


#23 Felhasználó inaktív   petXYZW 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 162
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 15:49

"a biztonsági rés már régóta elérhető lehetett az NSA, illetve hasonló nagy kaliberű ügynökségek számára, miután azonban akkor úgy tűnt, csak a komoly anyagi háttérrel rendelkező hatóságok férhettek hozzá"

Ez jól hangzik...

Szerintem megfelelő mikrokontrollerrel, akár házilag is gyártható fake eszköz, aztán social engineering és...

#24 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 10. 03. 15:50

@Euro Glass: ezt fejezd be pls.

#25 Felhasználó inaktív   lolwut 

  • Tag
  • PipaPipa
  • Csoport: Ellenőrzés alatt
  • Hozzászólások: 390
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 15:57

ez egy szándékosan generált probléma!
olyan egyszerű berendezéseknél, mint a bill, egér, pendrive, mi indokolja a nem rom-ba égetett fw-t?

#26 Felhasználó inaktív   philcsy 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 2.501
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 16:17

@lolwut: Az USB szabvány tartalmazza ezt, ezért a gyártóknak valószínűleg támogatniuk kell. Ez egy univerzális port, tehát nem feltétlenül való mindenre. Ugyanilyen jogos kérdés, hogy miért használunk usb egeret billentyűzetet és tárolót, mikor mindeháromra volt egyedi problémamentes megoldás.
geri: "a világon 6.5 milliárd PC felhasználó van"
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."

#27 Felhasználó inaktív   philcsy 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 2.501
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 16:21

@philcsy: "Ilyen funkcióra eddig nem volt szükség, nincs szabványosítva, tehát vagy megcsinálta az eszközgyártó, vagy nem."
Ez mégsem igaz. :( Az USB Device Firmware Upgrade Standard tartalmazza a fel és letöltést is. Tehát elvileg egy szabványos USB eszközt képes ellenőrizni a vírusírtó.
geri: "a világon 6.5 milliárd PC felhasználó van"
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."

#28 Felhasználó inaktív   petXYZW 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 162
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 16:27

@philcsy: Tehát elvileg egy szabványos USB eszközt képes ellenõrizni a vírusírtó.

Ha én fake vagy valamilyen kártékony eszköz lennék, lenne egy tiszta firmware, amit a virusirtónak küldenék, ha ellenõriznni kívánja.

Szerkesztette: petXYZW 2014. 10. 03. 16:30 -kor


#29 Felhasználó inaktív   xclusiv 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 11.057
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 16:46

"jelenleg pedig egy olyan módszeren dolgoznak, amellyel malware-rel fertőzhetik meg az adott USB-s adathordozón található fájlokat, de csak akkor, amikor azok a PC-re másolódnak, így például vírusellenőrzés nem bukkan rájuk, amikor még a háttértáron pihennek"

Biztosan bennem van a hiba, de én nem látom a kettő között a különbséget. Mindkét esetben beolvassa az OS a file-t az eszközről, közben meg történik ami történik. Illetve ha a vírusellenőrzés közben beolvasta, akkor akár FS cache-ben is maradhat, és akkor akár be se kell ismét olvasnia...

Szerkesztette: xclusiv 2014. 10. 03. 16:47 -kor


#30 Felhasználó inaktív   Euro Glass 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.409
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 16:52

"Kicsit" hoax szaga van a dolognak. Meglátjuk mi lessz !

Kép

Szerkesztette: Euro Glass 2014. 10. 03. 16:54 -kor


#31 Felhasználó inaktív   lolwut 

  • Tag
  • PipaPipa
  • Csoport: Ellenőrzés alatt
  • Hozzászólások: 390
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 18:02

@philcsy: az usb szabvány előírja az újraírható memóriát? ugyanmár...

#32 Felhasználó inaktív   Fiery 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.083
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 19:07

@philcsy: Ez a Phison cucc, amivel a gond van, nem szabvanyos firmware transzfert hasznal. Pont ez a problema. Egyebkent rengeteg olyan megoldas, olyan trukk letezik a PC-k vilagaban, amit rosszindulatuan is (ki) lehet hasznalni, pedig sosem gondolna ra az ember, hogy valaha is barkinek eszebe jut ezzel foglalkozni. USB eszkoz azonosito (VEN-PID paros, ld. usb.ids) alapjan valasztasz magadnak egy tetszoleges eszkozt, ami egyedi megoldassal (pl. USB control message vagy USB mass storage paranccsal, vagy mint a Phisonnal, SCSI PassThrough-val) tudja a firmware-t frissiteni, es maris tudsz ra irni exploitot adott esetben. Az eszkoz meg tulajdonkeppen barmi lehet, az egertol a billentyuzeten, printereken es szkennereken at a pendrive-okig. Egyebkent anno volt olyan virus is, ami az alaplapi BIOS-t tamadta meg, de ennyi erovel a videokartya BIOS-at is meg lehetne tamadni, vagy barmi mast, aminek a firmware-e szoftveresen flashelheto, modosithato.

#33 Felhasználó inaktív   Fiery 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.083
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 19:08

@lolwut: Nyilvan csak opcionalis feature.

#34 Felhasználó inaktív   antyg 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 509
  • Csatlakozott: --

Elküldve: 2014. 10. 03. 20:04

@Euro Glass: Látom, nem igazán érted a dolgot, így elmagyarázom, mielőtt mégtöbb hülyeséget beszélsz!!!
Itt nem arról van szó, hogy valaki hirtelen előkap és a Te gépeden megbütyköl egy USB-s hardvert, ahogy azt az első hozzászólásodnál írtad! "egy USB-s eszköz firmware-ének a felülírásához minimum LE KELL FUTTATNI a firmwareátíró kódot, amihez előtte LE KELL TÖLTENI."
Hanem arról van szó, hogy valaki ad neked egy már olyan USB-s hardvert (pl.: pendrive), ami már módosítva van (tehát minden már megvan (fertőzött firmware stb. a pendrive-on)) el lehet érni, hogy csatlakoztatásakor hajtson végre a számítógépen valamilyen parancsot, pl. a firmware-be "beépített" kártékony kódot. Ugyanis itt már az eszköz vezérlője fogja tartalmazni ezt a kártevőt (lehet az pl. APT is, amit előszeretettel alkalmaznak komoly cégekhez bejuttatva kémkedésre). Ilyen támadások, már nem egy, és nem is kettő volt a történelemben, mely esetben pl. egy zárt hálózatba nem lehetett máshogy bejuttatni csak valami hasonló "megoldás" segítségével.
Egy másik cikk, erről: http://www.origo.hu/techbazis/20141003-mostantol-felve-hasznalhatjuk-az-usb-t.html
A probléma az, hogy ezzel a megoldással a legkomolyabb, és legkritikusabb helyekre lehet bejutni! Csak egyszer kell hozzáférni egy ilyen hely egyetlen egy belső hálózatához csatlakozó gépéhez, és már meg is van a probléma.

#35 Felhasználó inaktív   FossilCodger 

  • Újonc
  • Pipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 50
  • Csatlakozott: --

Elküldve: 2014. 10. 04. 00:19

Nem akarom a problémát kisebbíteni, de azért az, hogy erre LEHETETLEN volna víruskeresőt írni, talán mégis túlzás. Leírom, én miként közelíteném meg a kérdést.

Indul a víruskereső, de úgy kell indítani, hogy a csekkolni kívánt USB eszköz még nincs bedugva. Megjelenik az üzenet a képernyőn, hogy dugja be az user. Bedugja. Legyen ez egy pendrive. Ekkor a víruskergető progi megnézi a blkid kimenetét, hogy mi az ami csatlakozott. Ha látja hogy nem pendrive hanem egy billentyűzet, akkor ott már gond van, hiszen ez csak pendrive lenne elvileg... Remélem értitek a lényeget, felesleges a további részletezés itt.

Menjünk tovább. Bedugta az user a pendriveot, s az valóban pendrive-nek is látszik. Ekkor a víruskereső letölti a rajta található fájlokat valami átmeneti helyre, mondjuk /tmp oké. Ott megcsekkolja, van-e bennük vírus. Ha van, az gáz és jelez. Ha nincs, néhány MÁSIK fájlt, nem olyat ami volt a pendrive-on, felmásol a pendrive-ra, majd umountolja, s kéri az usert hogy távolítsa el azt a gépből. Picit később kéri hogy dugja vissza, majd letölti a korábban odamásolt fájlokat, s ellenőrzi, megegyeznek-e az eredetiekkel. ha nem, akkor gáz, mert a pen firmvare-je vírusos, s megfertőzte a fájlokat. Ha a tartalom megegyezik, törli őket a pendrive-ról, s visszamásolja rá a korábban arról lementett eredeti tartalmat.

Ez szerintem egy meglehetősen jó teszt, elismerem, lehet hogy ez se szűrne ki minden lehetséges támadási felületet, de egy csomót biztosan.

#36 Felhasználó inaktív   Gabibácsi 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 69.513
  • Csatlakozott: --

Elküldve: 2014. 10. 04. 06:25

Üzenet megtekintéseIdézet: Asker - Dátum: 2014. 10. 03. 16:08

@Gabibácsi: ?

Gyere, fertőzd meg bármelyik itthon lévő gépemet egy pendriveval.
--- Internet is just a bigger floppy disk ---

#37 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 10. 04. 06:42

@FossilCodger: És ha nem klasszikus értelemben vett malware van benne, hanem egy olyan (egyedi) kód, ami a hálózati forgalmat manipulálja?

#38 Felhasználó inaktív   ST200 

  • Újonc
  • Pipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 35
  • Csatlakozott: --

Elküldve: 2014. 10. 04. 07:24

Apple meg röhög a markába a Thunderbolttal :D Aki tutira akar menni, kifizeti a felárat. (és használ majd bt-s billt meg egeret mielőtt valaki megkérdezné) Problem?

#39 Felhasználó inaktív   pacalpofa 

  • Újonc
  • Pipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 6
  • Csatlakozott: --

Elküldve: 2014. 10. 04. 07:44

@Bodnár Ádám: Szerintem egy pendrive firmwre-jéből elég körülményes lehet a PC hálózati forgalmát manipulálni. Ha meg a gépet próbálja fertőzni az kibukik a fájlok összehasonlításából.
Viszont az elképzelhető, hogy úgy írják meg a firmare-t, hogy az ne próbáljon minden csatlakozásnál fertőzni. Így megeshet, hogy a fórumtárs által elképzelt szoftver biztonságosnak nyilvánítja az adott eszközt, vele együtt a felhasználó is.

#40 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 10. 04. 08:16

@pacalpofa: Demózták ezt a támadást augusztusban a Black Haten.

Téma megosztása:


  • (12 Oldal)
  • +
  • 1
  • 2
  • 3
  • 4
  • Utolsó »
  • Nem indíthatsz témát.
  • A téma zárva.

1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó