Zařízení USB jsou zjevně nebezpečnější, než jsme si kdy dokázali představit. Toto není o malware, který používá mechanismus automatického přehrávání ve Windows —tentokrát jde o zásadní konstrukční chybu v samotném USB.



PŘÍBUZNÝ: Jak se malware AutoRun stal problémem ve Windows a jak byl (většinou) opraven

Nyní byste opravdu neměli sbírat a používat podezřelé USB flash disky, které se vám povalují. I kdybyste zajistili, že neobsahují škodlivý software, mohou být škodlivé firmware .

Vše je ve firmwaru

USB je zkratka pro univerzální sériovou sběrnici. Má to být univerzální typ portu a komunikačního protokolu, který vám umožní připojit k počítači mnoho různých zařízení. Úložná zařízení, jako jsou flash disky a externí pevné disky, myši, klávesnice, herní ovladače, audio sluchátka, síťové adaptéry a mnoho dalších typů zařízení, všechna používají USB přes stejný typ portu.

Tato zařízení USB – a další součásti ve vašem počítači – používají typ softwaru známý jako firmware. V zásadě, když připojíte zařízení k počítači, firmware na zařízení je to, co umožňuje zařízení skutečně fungovat. Například typický firmware USB flash disku zvládne přenos souborů tam a zpět. Firmware USB klávesnice by převedl fyzické stisky kláves na klávesnici na digitální data stisku kláves odeslaná přes USB připojení do počítače.

reklama

Tento firmware sám o sobě ve skutečnosti není normální software, ke kterému má váš počítač přístup. Je to kód, na kterém běží samotné zařízení, a neexistuje žádný skutečný způsob, jak zkontrolovat a ověřit, zda je firmware zařízení USB bezpečný.

Co dokáže škodlivý firmware

Klíčem k tomuto problému je cíl návrhu, aby zařízení USB mohla dělat mnoho různých věcí. Například USB flash disk se škodlivým firmwarem může fungovat jako USB klávesnice. Když jej připojíte k počítači, může do počítače odesílat akce stisknutí klávesnice, jako by někdo sedící u počítače psal klávesy. Díky klávesovým zkratkám by škodlivý firmware fungující jako klávesnice mohl například otevřít okno příkazového řádku, stáhnout program ze vzdáleného serveru, spustit jej a souhlasit s Výzva UAC .

Ještě záludněji se může zdát, že jednotka USB flash funguje normálně, ale firmware může upravovat soubory, když opouštějí zařízení, a infikovat je. Připojené zařízení může fungovat jako adaptér USB Ethernet a směrovat provoz přes škodlivé servery. Telefon nebo jakýkoli typ zařízení USB s vlastním připojením k internetu může toto připojení použít k přenosu informací z vašeho počítače.

PŘÍBUZNÝ: Ne všechny „viry“ jsou viry: 10 vysvětlení pojmů malware

Upravené úložné zařízení by mohlo fungovat jako spouštěcí zařízení, když zjistí, že se počítač spouští, a počítač by se pak spouštěl z USB a načítal kus malwaru (známý jako rootkit) to by pak zavedlo skutečný operační systém běžící pod ním.

Důležité je, že zařízení USB mohou mít přiřazeno více profilů. USB flash disk by mohl tvrdit, že je flash diskem, klávesnicí a síťovým adaptérem USB Ethernet, když jej vložíte. Mohl by fungovat jako normální flash disk a zároveň si vyhradit právo dělat jiné věci.

To je základní problém samotného USB. Umožňuje vytvářet zákeřná zařízení, která se mohou vydávat pouze za jeden typ zařízení, ale mohou být i jinými typy zařízení.

Počítače mohou infikovat firmware zařízení USB

To je zatím spíše děsivé, ale ne úplně. Ano, někdo by mohl vytvořit upravené zařízení se škodlivým firmwarem, ale s těmi se pravděpodobně nesetkáte. Jaká je pravděpodobnost, že dostanete speciálně vytvořené škodlivé USB zařízení?

The BadUSB malware proof-of-concept to posouvá na novou, děsivější úroveň. Výzkumníci z laboratoří SR strávili dva měsíce zpětným inženýrstvím základního kódu firmwaru USB na mnoha zařízeních a zjistili, že jej lze skutečně přeprogramovat a upravit. Jinými slovy, infikovaný počítač by mohl přeprogramovat firmware připojeného zařízení USB a proměnit toto zařízení USB ve škodlivé zařízení. Toto zařízení by pak mohlo infikovat další počítače, ke kterým bylo připojeno, a zařízení se mohlo šířit z počítače na zařízení USB z počítače na zařízení USB a dál a dál.

PŘÍBUZNÝ: Co je to 'Juice Jacking' a měl bych se vyhýbat veřejným nabíječkám telefonů?

To se stalo v minulosti s USB disky obsahujícími malware, který závisel na funkci Windows AutoPlay pro automatické spouštění malwaru v počítačích, ke kterým byly připojeny. Nyní však antivirové nástroje nemohou detekovat nebo blokovat tento nový typ infekce, která by se mohla šířit ze zařízení na zařízení.

To by mohlo být potenciálně kombinováno s juice jacking útoky infikovat zařízení při nabíjení přes USB ze škodlivého USB portu.

Dobrou zprávou je, že je to možné pouze s asi 50 % USB zařízení ke konci roku 2014. Špatnou zprávou je, že nemůžete zjistit, která zařízení jsou zranitelná a která ne, aniž byste je rozbili a prozkoumali vnitřní obvody. Výrobci doufejme, že navrhnou zařízení USB bezpečněji, aby chránili jejich firmware před budoucími úpravami. Mezitím je však velké množství zařízení USB ve volné přírodě zranitelné vůči přeprogramování.

Je to skutečný problém?

Zatím se ukázalo, že jde o teoretickou zranitelnost. Skutečné útoky byly prokázány, takže se jedná o skutečnou zranitelnost – ale zatím jsme neviděli, že by ji ve volné přírodě zneužil žádný skutečný malware. Někteří lidé se domnívali, že NSA o tomto problému už nějakou dobu ví a využívá toho. NSA BAVLNA exploit zřejmě zahrnuje použití upravených USB zařízení k útoku na cíle, i když se zdá, že NSA do těchto USB zařízení také implantuje specializovaný hardware.

Nicméně tento problém pravděpodobně není něco, na co brzy narazíte. V každodenním smyslu pravděpodobně nepotřebujete sledovat ovladač Xbox vašeho přítele nebo jiná běžná zařízení s velkým podezřením. Toto je však hlavní chyba v samotném USB, která by měla být opravena.

Jak se můžete chránit

Při manipulaci s podezřelými zařízeními byste měli být opatrní. V dobách Windows AutoPlay malwaru jsme občas slyšeli o USB flash discích ponechaných na firemních parkovištích. Doufalo se, že zaměstnanec zvedne flash disk a připojí jej k firemnímu počítači a poté se automaticky spustí malware disku a infikuje počítač. Proběhly kampaně na zvýšení povědomí o tom, vybízely lidi, aby nebrali USB zařízení z parkovišť a nepřipojovali je ke svým počítačům.

reklama

Když je automatické přehrávání ve výchozím nastavení vypnuto, máme tendenci si myslet, že je problém vyřešen. Tyto problémy s firmwarem USB však ukazují, že podezřelá zařízení mohou být stále nebezpečná. Neberte USB zařízení z parkovišť nebo na ulici a nezapojujte je.

Jak moc byste se měli obávat, záleží na tom, kdo jste a co děláte, samozřejmě. Společnosti s kritickými obchodními tajemstvími nebo finančními údaji mohou chtít věnovat zvýšenou pozornost tomu, jaká zařízení USB lze připojit k jakým počítačům, aby se zabránilo šíření infekcí.


Přestože se tento problém dosud vyskytoval pouze u útoků typu proof-of-concept, odhaluje obrovskou základní bezpečnostní chybu v zařízeních, která používáme každý den. Je to něco, co je třeba mít na paměti a – v ideálním případě – něco, co by se mělo vyřešit, aby se zlepšila bezpečnost samotného USB.

Kredit obrázku: Harco Rutgers na Flickru

ČTĚTE DALŠÍ