[Euro Glass]

ugye nem arról a csicska AutoPlay funckióról beszéltek, mint a nagy vírusterjesztõ automatizmusról ?

[pacalpofa]

@Bodnár Ádám: Ha jól értelmeztem az elõadást ez a támadás úgy történik, hogy a fertõzött pendrive hálózati adapternek adja ki magát. Ez esetben már az ellenõrzés elsõ lépésében kibukna a turpisság.
Persze az elképzelhetõ, hogy egy wifi sticket fertõzzenek meg, de az szerintem nem életszerû.
Ugyanis ha talál egyet "véletlenül" az ember, nem érez ellenálhatatlan késztetést, hogy rádugja a gépre. Ellenben egy pendrive esetén furdalja az embert a kiváncsiság, hogy vajon mi lehet rajta.

[pacalpofa]

@Euro Glass: Nem.

[Euro Glass]

@Euro Glass: akkor mirõl? fejtse már ki valaki hogy mûködik ez a dolog, onnantól hogy rádugom a gépre mi történik, hogyan, honnan és mi aktivizálódik magától !

[Ytse]

@pacalpofa: itt a videó az elõadásról, 20:00 körül van ez a rész, döntsd el, mennyire bukik ki https://www.youtube....h?v=nuruzFqMgIw

[Ytse]

@Euro Glass: http://lmgtfy.com/?q=badusb+black+hat

[pacalpofa]

@Bodnár Ádám: Igen én is ezt az elõadást néztem. A prezentációban le van írva:
Attack steps
1. USB stick spoofs
Ethetnet adapter

Tehát ha FossilCodger Úr elképzelésénél maradunk, a biztonsági szoftver megkér, hogy csatlakoztassuk az ellenõrizendõ adathordozót. Tehát egy USB háttértárat vár a program, erre azt látja, hogy egy hálózati eszköz csatlakozott. Innentõl már riaszt, hogy valami nincs rendben, ami lehet user error vagy tényleges támadási kisérlet.

[Euro Glass]

@Bodnár Ádám: ez oké csak nekem valahogy az a része van kicsit túlmisztifikálva, hogy az OS-esen elszaporodik csak úgy magától , meg aktivizálódgat, meg elindulgat bármi is egy USB-s eszköz firmware-ébõl.. még odáig értem, hogy az USB-n figyelnek a vírusfertõzözz állományok, csak ott nem világos, hogy miért olyan lehetetlen egy tárrezidensen futó vírusirtóval elkasználni bármit ami a memóriba kerül elõbb , majd a gépre írási mûvelet elõtt egy vírusirtó on-the-fly elkapja mielõtt a hdd-re kerülne, nemhogy lefuttatás elõtt.

[azbest]

Idézet: Ytse - Dátum: 2014. 10. 04. 05:42

@FossilCodger: És ha nem klasszikus értelemben vett malware van benne, hanem egy olyan (egyedi) kód, ami a hálózati forgalmat manipulálja?

Ha jól értettem a kamu hálózati adapter dhcp szervernek is mutatta magát a saját hálózatán, ami dns szerver bejegyzést is felvisz ezáltal a rendszerbe. A sticken futó dns szerver pedig ismert oldal ip címét hazudja másnak. Szóval lényegében így téríti el a neten lévő ugyanúgy kinéző de kamu oldalra a valódi helyett. Ott megajda a jelszavát és a csúnya bácsik máris hozzáférnek az accounthoz. Ügyes.

Egyébként szinte mindentől lehet félni, mert az sd kártyák firware-je is fertőzhető. De bármelyik univerzális buszon is történhet hasonló. Szóval ennyi erővel a pci buszon lévő kártya is létrehozhat kamu billentyűzetet vagy hálózatot. Tehát, ha fizikailag hozzáférhető vagy bejuttatható hardver, akkor szinte bármelyik lehet problémás.

[GyuliMali]

@Euro Glass:
Megprobálom kissé plasztikusabban megfogalmazni:
A(z) *tetszõleges nemzetbiztonsági hivatal/konkurrens ipari vállalat* ugy dönt, hogy kiváncsi a személyes adataidra (illetve tetszõleges kormányzat azt szeretné. hogy bizonyos dolgokat mondjuk ne érj el a neten, illetve ha el is éred, akkor azt jelezze NEKIK)
Egyszerûen adnak neked egy preparált pendrive-ot.
Hazaviszed, bedugod a gépbe.
Legyen mondjuk egy pendrive firmware rajta, meg egy rejtett billentyûzet.
Használod a pendive-t, de van ott egy rejtett billentyûzet, ami _BÁRMIT_ meg tud tenni, amit csak akar, és az OS nem tud különbséget tenni a között, hogy TE gépeled be a dolgot, vagy a firmware robotja.
És, mivel a legtöbb windows damin módban fut, mivel a folytonos jelszóbeírás az idegesítõ, így simán megteheti, hogy pl. a képernyõvédõ bekapcsolásakor nyit egy CMD ablakot, módosítja a HOSTS file-t, és gyorsan kilép a CMD-bõl.
Szerintem ezt kb. észre sem veszed.
Vagy, mondjuk wget-tel letölt _BÁRMIT_ a gépedre, és azt el is indítja.
Mindezt úgy, hogy te észre sem veszed, és a víruirtód sem.
Így érthetõbb már?

[petXYZW]

@GyuliMali: Vagy, mondjuk wget-tel letölt _BÁRMIT_ a gépedre, és azt el is indítja.

Még erre sincs szükség. A preparált eszköz akár hub is lehet két eszközzel - storage és billentyû.


Igazából csak fantázia kérdése, mi mindent lehet.

Szerkesztette: petXYZW 2014. 10. 04. 12:34 -kor

[k_chris]

@petXYZW: ez mind szep es jo de ha en sajat szememmel vagy a virosirto figyeli hogy milyen USB deviceok csatlakoznak realtime akkor kicsit sem feltuno ha egy pendrive csatlakozasakor meg egy billentyuzet is megjelenik a rendszerben.. elso csatlakozaskor a win eleg sokaig kinnmarado notificationt is szokott feldobni... persze ertem hogy ha mar _eleve_ olyan gyari billentyuzetet veszek ami mar preparalt... lehet bevasarolok PS/2es billentyubol meg egerbol azokkal nincs problema . Amugy meg telleg ott a Thunderbolt...

[Euro Glass]

@GyuliMali: várjál még mindig nem kaptam választ arra az egyszerû kérdésre, hogy pontosan hogyan aktívizálódik bármilyen gépen is a pendriveban lévõ firmware ??!??!??!??!???! ERRE A KRITIKUS PONTRA SZERETNÉK EGY PONTOS, DEFINITÍV MAGYARÁZATOT addig csak egy hoax -kacsa- mese habbal az egész történet számomra !

KÖSZÖNÖM !

[FossilCodger]

@Bodnár Ádám: Na épp emiatt írtam, hogy

"elismerem, lehet hogy ez se szûrne ki minden lehetséges támadási felületet, de egy csomót biztosan."

S eleve azzal is kezdtem azt a hozzászólásomat, hogy "nem akarom a problémát kisebbíteni".

Vagyis, tisztában vagyok vele hogy ez így ahogy most van, egy igencsak "ciki" helyzet, én csak arra óhajtottam rávilágítani, hogy annyira tehetetlenek azért nem vagyunk, mint itt fentebb sokan állították. Szerintem ugyanis nyilvánvaló, hogy a félmegoldások is jobbak mint a semmi, addig, amíg teljeskörû megoldás születik, ami lehet például valóban akár az USB protokoll/szabvány újragondolása/írása is.

Addigis azonban amit írtam jó lenne egy csomó minden esetben, például olyan gépeknél amik nincsenek hálózatra kötve - s azért ismerjük el, akad egypár ilyen, eleve már biztonsági okokból is.

E megoldás mindenképp kiszûrné a "klasszikus" vírusokkal fertõzõ pendrive-okat, meg azokat amik más eszköznek adják ki magukat.

(Bár így belegondolva a klasszikus malware-val fertõzõeket csak akkor ha ostoba az írója. Ha én írnék ilyet, úgy írnám meg hogy ne minden csatlakozáskor akarjon fertõzni, hanem csak random alkalmakkor. Mondjuk képez egy véletlenszámot 0 és 99 közt s ha ez 3-mal osztható, akkor. Na azt már nehezebb lenne lebuktatni...)

[FossilCodger]

Gondolkodtam közben ezen a dolgon. Szerintem megoldást olyasmi jelentene, hogy írni kéne egy szoftvert, ami olyasféle mint egy speciális víruspajzs (azaz démonként futna a háttérben). Ennek az lenne a dolga, hogy kijelölnénk egy bizonyos USB portot a gépünkön, egy konkrét fizikai portot, s azt mondanánk, ez van fenntartva a nem biztonságos eszközöknek. S ha valamirõl úgy gondoljuk, esetleg nem teljesen oké, akkor kifejezetten oda dugjuk. Na most, e port jogai le lennének korlátozva. Azaz, az ide dugott eszközt a szoftver kizárólag mint mass storage fogadná el (azt hiszem ez a neve), azaz mint klasszikus értelemben vett pendrive-ot, semmi mást. Ezt pedig e szoftver a fentebb általam leírt módon minden alkalommal ellenõrizné is (ugye a másolt fájlok tartalmával). Amennyiben e porton billentyûzet vagy bármi más akarna csatlakozni, a szoftver riasztana.

Nyilván persze egy csomó r=0 user errõl elfeledkezne s néha rádugná a cikis cuccot más portokra is, de legalább lenne valamiféle lehetõség már a védelemre. Meg persze USB eszköz rádugásakor meg lehetne oldani, hogy a szoftver addig semmit se kezd vele amíg fel nem dob egy kérdést, hogy biztos-e hogy épp abba a portba akarom dugni.

És természetesen ez nem védene USB billcsi meg más dolgok ellen, de a pendrive úgyis a leggyakoribb efféle eszköz.

[petXYZW]

@k_chris: "akkor kicsit sem feltuno ha egy pendrive csatlakozasakor meg egy billentyuzet is megjelenik a rendszerben.."

Nem kell, hogy azonnal mindkét eszköz éles legyen, felkapcsolódhat késõbb is a bill.

Amúgy meg a jelenről van szó, és most nincsenek felkészítve ilyesmire a virusírtók.

Szerkesztette: petXYZW 2014. 10. 04. 13:08 -kor

[Euro Glass]

Az USB-HID Compliant egerek, billentyûk és az USB Mass Storage Device-oknak pl. Windowson integrált illesztõprogramjuk van. A többi nem standard USB eszközillesztõt gyárilag a lemezen mellékelik vagy letölthetõ a hivatalos weloldalról. Az eszközön lévõ csipbe integrált vezélrõ maximum az eszközrõl kifele jövõ jellel manipulálhat egészen a portba való érkezésig, ahol már az operációs rendszeren futó eszközillesztõ program veszi át a vezérlést, tehát a kérdésem továbbra is konkrét és adott:

mi a lófasz fut le tehát a gépünkön , ami vírusos? és HOGY A VÉRES GECIBE !!!!

[azbest]

Idézet: Euro Glass - Dátum: 2014. 10. 04. 12:02

mi a lófasz fut le tehát a gépünkön , ami vírusos? és HOGY A VÉRES GECIBE !!!!

Mondjuk billentyűzetként begépeli egy fájlba... de igazából nem kell, hogy egy vírust hozzon létre. A vírus is ugyanolyan program, mint a többi, csak nemkívánt dolgokat végez a felhasználó szándékával nem foglalkozva. LEgfeljebb azokat a kódokat kell megfelelően elhelyeznie, ami a szaporodásához kell.

[Asker]

@k_chris: hát persze, firewire meg thunderbolt, ha jol tevedek, akkor :
"FireWire and ThunderBolt allow the device to bus-master and access the host memory directly. That is a much bigger concern that this."

[ST200]

@Asker: "FireWire and ThunderBolt allow the device to bus-master and access the host memory directly. That is a much bigger concern that this."

Lehet de mégis usb szerepel a cikkben mint létezõ probléma ;)