Re: Egy USB-s eszköz sincs biztonságban
#21
Elküldve: 2014. 10. 03. 15:40
#22
Elküldve: 2014. 10. 03. 15:43
Igen, ez azoknak a "rendszergarázdáknak" való B-terv, akik a sábesz-dekliért kapták az állásukat és/vagy a diplomájukat, mint itt pl. jópáran ..
#23
Elküldve: 2014. 10. 03. 15:49
Ez jól hangzik...
Szerintem megfelelő mikrokontrollerrel, akár házilag is gyártható fake eszköz, aztán social engineering és...
#25
Elküldve: 2014. 10. 03. 15:57
olyan egyszerű berendezéseknél, mint a bill, egér, pendrive, mi indokolja a nem rom-ba égetett fw-t?
#26
Elküldve: 2014. 10. 03. 16:17
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
#27
Elküldve: 2014. 10. 03. 16:21
Ez mégsem igaz. Az USB Device Firmware Upgrade Standard tartalmazza a fel és letöltést is. Tehát elvileg egy szabványos USB eszközt képes ellenőrizni a vírusírtó.
geri: "én a hwsw egy kiemelkedő szakmai színvonallal bíró, megbecsült, elsőrangú tagja vagyok."
#28
Elküldve: 2014. 10. 03. 16:27
Ha én fake vagy valamilyen kártékony eszköz lennék, lenne egy tiszta firmware, amit a virusirtónak küldenék, ha ellenõriznni kívánja.
Szerkesztette: petXYZW 2014. 10. 03. 16:30 -kor
#29
Elküldve: 2014. 10. 03. 16:46
Biztosan bennem van a hiba, de én nem látom a kettő között a különbséget. Mindkét esetben beolvassa az OS a file-t az eszközről, közben meg történik ami történik. Illetve ha a vírusellenőrzés közben beolvasta, akkor akár FS cache-ben is maradhat, és akkor akár be se kell ismét olvasnia...
Szerkesztette: xclusiv 2014. 10. 03. 16:47 -kor
#30
Elküldve: 2014. 10. 03. 16:52
Szerkesztette: Euro Glass 2014. 10. 03. 16:54 -kor
#31
Elküldve: 2014. 10. 03. 18:02
#32
Elküldve: 2014. 10. 03. 19:07
#34
Elküldve: 2014. 10. 03. 20:04
Itt nem arról van szó, hogy valaki hirtelen előkap és a Te gépeden megbütyköl egy USB-s hardvert, ahogy azt az első hozzászólásodnál írtad! "egy USB-s eszköz firmware-ének a felülírásához minimum LE KELL FUTTATNI a firmwareátíró kódot, amihez előtte LE KELL TÖLTENI."
Hanem arról van szó, hogy valaki ad neked egy már olyan USB-s hardvert (pl.: pendrive), ami már módosítva van (tehát minden már megvan (fertőzött firmware stb. a pendrive-on)) el lehet érni, hogy csatlakoztatásakor hajtson végre a számítógépen valamilyen parancsot, pl. a firmware-be "beépített" kártékony kódot. Ugyanis itt már az eszköz vezérlője fogja tartalmazni ezt a kártevőt (lehet az pl. APT is, amit előszeretettel alkalmaznak komoly cégekhez bejuttatva kémkedésre). Ilyen támadások, már nem egy, és nem is kettő volt a történelemben, mely esetben pl. egy zárt hálózatba nem lehetett máshogy bejuttatni csak valami hasonló "megoldás" segítségével.
Egy másik cikk, erről: http://www.origo.hu/techbazis/20141003-mostantol-felve-hasznalhatjuk-az-usb-t.html
A probléma az, hogy ezzel a megoldással a legkomolyabb, és legkritikusabb helyekre lehet bejutni! Csak egyszer kell hozzáférni egy ilyen hely egyetlen egy belső hálózatához csatlakozó gépéhez, és már meg is van a probléma.
#35
Elküldve: 2014. 10. 04. 00:19
Indul a víruskereső, de úgy kell indítani, hogy a csekkolni kívánt USB eszköz még nincs bedugva. Megjelenik az üzenet a képernyőn, hogy dugja be az user. Bedugja. Legyen ez egy pendrive. Ekkor a víruskergető progi megnézi a blkid kimenetét, hogy mi az ami csatlakozott. Ha látja hogy nem pendrive hanem egy billentyűzet, akkor ott már gond van, hiszen ez csak pendrive lenne elvileg... Remélem értitek a lényeget, felesleges a további részletezés itt.
Menjünk tovább. Bedugta az user a pendriveot, s az valóban pendrive-nek is látszik. Ekkor a víruskereső letölti a rajta található fájlokat valami átmeneti helyre, mondjuk /tmp oké. Ott megcsekkolja, van-e bennük vírus. Ha van, az gáz és jelez. Ha nincs, néhány MÁSIK fájlt, nem olyat ami volt a pendrive-on, felmásol a pendrive-ra, majd umountolja, s kéri az usert hogy távolítsa el azt a gépből. Picit később kéri hogy dugja vissza, majd letölti a korábban odamásolt fájlokat, s ellenőrzi, megegyeznek-e az eredetiekkel. ha nem, akkor gáz, mert a pen firmvare-je vírusos, s megfertőzte a fájlokat. Ha a tartalom megegyezik, törli őket a pendrive-ról, s visszamásolja rá a korábban arról lementett eredeti tartalmat.
Ez szerintem egy meglehetősen jó teszt, elismerem, lehet hogy ez se szűrne ki minden lehetséges támadási felületet, de egy csomót biztosan.
#36
#37
Elküldve: 2014. 10. 04. 06:42
#38
Elküldve: 2014. 10. 04. 07:24
#39
Elküldve: 2014. 10. 04. 07:44
Viszont az elképzelhető, hogy úgy írják meg a firmare-t, hogy az ne próbáljon minden csatlakozásnál fertőzni. Így megeshet, hogy a fórumtárs által elképzelt szoftver biztonságosnak nyilvánítja az adott eszközt, vele együtt a felhasználó is.