Re: Egy USB-s eszköz sincs biztonságban
#41
Elküldve: 2014. 10. 04. 08:38
#42
Elküldve: 2014. 10. 04. 08:44
Persze az elképzelhető, hogy egy wifi sticket fertőzzenek meg, de az szerintem nem életszerű.
Ugyanis ha talál egyet "véletlenül" az ember, nem érez ellenálhatatlan késztetést, hogy rádugja a gépre. Ellenben egy pendrive esetén furdalja az embert a kiváncsiság, hogy vajon mi lehet rajta.
#44
Elküldve: 2014. 10. 04. 09:05
#45
Elküldve: 2014. 10. 04. 09:05
#47
Elküldve: 2014. 10. 04. 09:24
Attack steps
1. USB stick spoofs
Ethetnet adapter
Tehát ha FossilCodger Úr elképzelésénél maradunk, a biztonsági szoftver megkér, hogy csatlakoztassuk az ellenőrizendő adathordozót. Tehát egy USB háttértárat vár a program, erre azt látja, hogy egy hálózati eszköz csatlakozott. Innentől már riaszt, hogy valami nincs rendben, ami lehet user error vagy tényleges támadási kisérlet.
#48
Elküldve: 2014. 10. 04. 10:43
#49
Elküldve: 2014. 10. 04. 12:19
Idézet: Ytse - Dátum: 2014. 10. 04. 05:42
Ha jól értettem a kamu hálózati adapter dhcp szervernek is mutatta magát a saját hálózatán, ami dns szerver bejegyzést is felvisz ezáltal a rendszerbe. A sticken futó dns szerver pedig ismert oldal ip címét hazudja másnak. Szóval lényegében így téríti el a neten lévő ugyanúgy kinéző de kamu oldalra a valódi helyett. Ott megajda a jelszavát és a csúnya bácsik máris hozzáférnek az accounthoz. Ügyes.
Egyébként szinte mindentől lehet félni, mert az sd kártyák firware-je is fertőzhető. De bármelyik univerzális buszon is történhet hasonló. Szóval ennyi erővel a pci buszon lévő kártya is létrehozhat kamu billentyűzetet vagy hálózatot. Tehát, ha fizikailag hozzáférhető vagy bejuttatható hardver, akkor szinte bármelyik lehet problémás.
#50
Elküldve: 2014. 10. 04. 12:22
Megprobálom kissé plasztikusabban megfogalmazni:
A(z) *tetszőleges nemzetbiztonsági hivatal/konkurrens ipari vállalat* ugy dönt, hogy kiváncsi a személyes adataidra (illetve tetszőleges kormányzat azt szeretné. hogy bizonyos dolgokat mondjuk ne érj el a neten, illetve ha el is éred, akkor azt jelezze NEKIK)
Egyszerűen adnak neked egy preparált pendrive-ot.
Hazaviszed, bedugod a gépbe.
Legyen mondjuk egy pendrive firmware rajta, meg egy rejtett billentyűzet.
Használod a pendive-t, de van ott egy rejtett billentyűzet, ami _BÁRMIT_ meg tud tenni, amit csak akar, és az OS nem tud különbséget tenni a között, hogy TE gépeled be a dolgot, vagy a firmware robotja.
És, mivel a legtöbb windows damin módban fut, mivel a folytonos jelszóbeírás az idegesítő, így simán megteheti, hogy pl. a képernyővédő bekapcsolásakor nyit egy CMD ablakot, módosítja a HOSTS file-t, és gyorsan kilép a CMD-ből.
Szerintem ezt kb. észre sem veszed.
Vagy, mondjuk wget-tel letölt _BÁRMIT_ a gépedre, és azt el is indítja.
Mindezt úgy, hogy te észre sem veszed, és a víruirtód sem.
Így érthetőbb már?
#51
Elküldve: 2014. 10. 04. 12:32
Még erre sincs szükség. A preparált eszköz akár hub is lehet két eszközzel - storage és billentyû.
Igazából csak fantázia kérdése, mi mindent lehet.
Szerkesztette: petXYZW 2014. 10. 04. 12:34 -kor
#52
Elküldve: 2014. 10. 04. 12:40
#53
Elküldve: 2014. 10. 04. 12:41
KÖSZÖNÖM !
#54
Elküldve: 2014. 10. 04. 12:43
"elismerem, lehet hogy ez se szűrne ki minden lehetséges támadási felületet, de egy csomót biztosan."
S eleve azzal is kezdtem azt a hozzászólásomat, hogy "nem akarom a problémát kisebbíteni".
Vagyis, tisztában vagyok vele hogy ez így ahogy most van, egy igencsak "ciki" helyzet, én csak arra óhajtottam rávilágítani, hogy annyira tehetetlenek azért nem vagyunk, mint itt fentebb sokan állították. Szerintem ugyanis nyilvánvaló, hogy a félmegoldások is jobbak mint a semmi, addig, amíg teljeskörű megoldás születik, ami lehet például valóban akár az USB protokoll/szabvány újragondolása/írása is.
Addigis azonban amit írtam jó lenne egy csomó minden esetben, például olyan gépeknél amik nincsenek hálózatra kötve - s azért ismerjük el, akad egypár ilyen, eleve már biztonsági okokból is.
E megoldás mindenképp kiszűrné a "klasszikus" vírusokkal fertőző pendrive-okat, meg azokat amik más eszköznek adják ki magukat.
(Bár így belegondolva a klasszikus malware-val fertőzőeket csak akkor ha ostoba az írója. Ha én írnék ilyet, úgy írnám meg hogy ne minden csatlakozáskor akarjon fertőzni, hanem csak random alkalmakkor. Mondjuk képez egy véletlenszámot 0 és 99 közt s ha ez 3-mal osztható, akkor. Na azt már nehezebb lenne lebuktatni...)
#55
Elküldve: 2014. 10. 04. 12:57
Nyilván persze egy csomó r=0 user erről elfeledkezne s néha rádugná a cikis cuccot más portokra is, de legalább lenne valamiféle lehetőség már a védelemre. Meg persze USB eszköz rádugásakor meg lehetne oldani, hogy a szoftver addig semmit se kezd vele amíg fel nem dob egy kérdést, hogy biztos-e hogy épp abba a portba akarom dugni.
És természetesen ez nem védene USB billcsi meg más dolgok ellen, de a pendrive úgyis a leggyakoribb efféle eszköz.
#56
Elküldve: 2014. 10. 04. 13:01
Nem kell, hogy azonnal mindkét eszköz éles legyen, felkapcsolódhat késõbb is a bill.
Amúgy meg a jelenről van szó, és most nincsenek felkészítve ilyesmire a virusírtók.
Szerkesztette: petXYZW 2014. 10. 04. 13:08 -kor
#57
Elküldve: 2014. 10. 04. 13:02
mi a lófasz fut le tehát a gépünkön , ami vírusos? és HOGY A VÉRES GECIBE !!!!
#58
Elküldve: 2014. 10. 04. 13:35
Idézet: Euro Glass - Dátum: 2014. 10. 04. 12:02
Mondjuk billentyűzetként begépeli egy fájlba... de igazából nem kell, hogy egy vírust hozzon létre. A vírus is ugyanolyan program, mint a többi, csak nemkívánt dolgokat végez a felhasználó szándékával nem foglalkozva. LEgfeljebb azokat a kódokat kell megfelelően elhelyeznie, ami a szaporodásához kell.
#59
Elküldve: 2014. 10. 04. 15:54
"FireWire and ThunderBolt allow the device to bus-master and access the host memory directly. That is a much bigger concern that this."
#60
Elküldve: 2014. 10. 04. 16:20
Lehet de mégis usb szerepel a cikkben mint létező probléma ;)