Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Nelze jej detekovat, ani odstranit. Škodlivý kód je zabiják USB zařízení

Škodlivý kód BadUSB, který dokáže zneužít v podstatě jakékoli USB zařízení, představí jeho tvůrci/objevitelé ve středu na konferenci Black Hat. Antivirové programy jej neodhalí a nelze jej ani odstranit. Všichni doufají, že tvůrci USB budou reagovat rychleji než zločinci.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

M68i79r50o69s46l21a62v 89K25l55i71m39e17š 6815410768885

Hoax..?

0/−1
5.8.2014 16:29

H47a61n65k28a 11Z73e62l93i81n67k42o91v34á 5246424489500

Nikdy neříkejte že něco nejde ..

Odstranit jde cokoliv .. dokonce vim o software na programování alcoru micro a třeba i SM324QF pomocí toho sw jde firmware upravovat ... zdroje , popis a software je dostupnej na ruských webech.. Mam to vyzkouseno .. funguje to s paměťmi Adata , kingstone sandisk, .. dokonce tím jde přepsat i čtečku karet a konvertor na externi disk sata.

0/0
5.8.2014 16:06

L87u48d94v78í95k 48G67a17j62d21o11š44í84k 2455113794232

To je zase humbuk.

V článku nějak chybí, jakým mechanizmem by měl být firmware USB chipu přepsán. Předpokládá to totiž přinejmenším použití USB zařízení v nějakém napadeném počítači a program který by toto "flešnutí" měl provést je pochopitelně antiviry detekovatelný velmi dobře a snadno. I samotný systém by při takovém pokusu měl zareagovat přinejmenším žádostí o oprávnění administrátora.

Šíření viru prostřednictvím nakaženého HW je přitom silně neefektivní.

0/−2
5.8.2014 10:43

A67l51e12x61a49n95d83r 27K79o32s82t62k47a 5249736429896

Copak o to, šíření prostřednictvím přenosného média je poměrně efektivní, ale samozřejmě předpokládá, v první řadě nakažený počítač. A tam, jak správně říkáte, by to měl v pohodě chytit antivir. Nejpozději za pár dní bude prostě update antiviru a konec.

0/0
5.8.2014 11:02

L88u49d69v52í51k 22G97a20j47d61o60š59í96k 2325413214202

Oproti šíření nákazy po síti je šíření na přenosných médiích efektivitou na úrovni pravěku. Dnes už nikdo viry podobného typu ani nepíše.

0/0
5.8.2014 15:46

P56a90v45e88l 47Z52a21j61í25č25e83k 8534240956360

muze byt prepsan prave nizkourovnove primo z cipu na usb, podle mych zkusenosti mnohdy netreba os proto aby se povedl update firmware

+2/0
5.8.2014 12:16

L11u94d55v60í20k 69G26a38j14d50o11š43í32k 2665823104502

Na update firmware potřebujete VŽDY nějaké minimální prostředí které čip přeflešuje.

Navíc je tam jeden háček. Virus by musel být naprogramován přesně na konkrétní typ použitého USB čipu. Jinak by HW zcela přestal fungovat ještě dřív než by mohl cokoliv kamkoliv šířit.

+1/0
5.8.2014 15:59

M51i37r67o82s96l10a50v 95B57u90d35a 9952232657322

Napadlo vás, že ten chip může být už takto naprogramován přímo od výrobce? Máte vůbec ponětí, co za zády vašeho systému a antiviru dělá nebo odesílá vaše klávesnice, navigace nebo obyčejná "fleška". User by to mohl možná odhalit pomocí dobrého firewallu (ne toho integrovaného ve Win.) ale rozhodně ne antiviru nebo omezením uživatelských účtů (i když je to samozřejmě rozumné omezit práva)

+2/0
5.8.2014 12:50

L64u34d57v12í75k 79G10a49j40d61o41š48í46k 2195883934422

Jako že výrobce prodává flashky na kterých je záměrně rovnou virus?

To je taková teoretická pohádka. Po prvním odhalení viru (to je otázka týdnů) by si takový výrobce na trhu už ani neškrtnul a majitel firmy by putoval rovnou do báně. To by se mu jistě vyplatilo.

+1/0
5.8.2014 15:41
Foto

L25a43d12i86s38l52a14v 93K14r64a62t78o89c41h89v83í78l 6774962198794

Na konci článku jsem úplně čekal výzvu něco jako: "Okamžitě rozešli toto varování všem svým kontaktům!"

+11/−2
5.8.2014 3:15

F33r70a50n86t37i31s64e61k 14H86a68v95e91l 6802792637458

Okamzite predej toto varovani na prilozenem USB vsem svym kontaktum ... :-)

+14/0
5.8.2014 5:54

R36u80d53o17l71f 25D47o69v49i30č50í63n 1669416905842

Dôvera v proprietárny firmware predsa u rozmýšľajúcich ľudí nikdy nebola...

+1/0
5.8.2014 1:59

S61t90a71n61i98s10l31a48v 41H98o76r92á82k 5960592

Kdy se už někteří jedinci mezi redaktory naučí neděkovat za negativní jevy (používat spojení jako "díky zemětřesení zahynuli lidé, díky teroristům bylo zničeno letiště, ...) a vrátí se ke starému dobrému "kvůli"??? :-(Rv

+45/−2
5.8.2014 1:12

J20o29s43e50f 26Č65e72r61v54e12n27i86c11k24ý 9969474551763

Ono to není děkování, ale slovo "díky" je zde použito coby synonymum (možná) pro slovo "zásluhou".

+4/−9
5.8.2014 6:13

J20i40ř89i17n12a 45S36a59v14o75v72a 1471545856513

oboje je ale špatně ;-)

+20/−2
5.8.2014 7:16

M69a39r43t33i89n 74K29u88ř38í26t58k81a 6227306348445

Ano, ale zní to blbě.

0/−2
5.8.2014 7:26

M61i31r26e72k 66T68u13r27e96č24e66k 4603952880172

"kvůli" neni 'politicky korektni' (jako mnoho dalsich vyrazu) a tudiz zakazane...

0/−2
5.8.2014 8:58

T57o40b45i40á83š 62C23o64u12f89a50l 9614899526634

To není pravda.

0/0
5.8.2014 12:14

R23a38d78i40m 20D25r37b23o84h10l36a26v 5361756173677

Ještě lepší je "vinou", tj. vinou zemětřesení ..., vinou silných dešťů došlo k povodním...

Někdy je ale to, jestli je jev pozitivní nebo negativní, sporné, tam se pak neutrální "kvůli" hodí.

+4/−1
5.8.2014 9:40

J91i49ř19í 11K50o76c88u49r80e48k 6665234815258

Další možností je použití slova "následkem" ... chudé slovní zásoby je kostrbatý text.

+7/0
5.8.2014 10:08
Foto

L17u22k74a43s 11P37l81a65c77h90y 2297278591407

a "z důvodu" a "z příčiny" a "pro" a ... (s následným přeformulováním předmětu samozřejmě) a existují haldy variant, takže když se nedejbože vyskytne nejaká další, dak ji honem zadupeme, protože ... proč vlastně? A navíc taková krásná, DÍKY druhému smysly významu lehce ironizující, přesto účel plnící a smysl neměnící.

0/−1
5.8.2014 12:33
Foto

L57u46k85a88s 93P32l58a22c79h51y 2227468481397

A proč? Hezky se to čte, dobře to do textu zapadá, rozšiřuje to slovník a umožní tak oživit text, a jediné co to vyžaduje je dostatečná flexibilita čtenáře pro přidání dalšího významového atributu svého vnitřního slovníku a zvýšená námaha vnímání v kontextu.

Navíc to přidává další využití jazyka (například pro humorné dialogy "díky vám se mi to pokazilo" "ale prosím, rádo se stalo").

Nevidím důvod, proč by to mělo být na škodu - zvláště v dnešní době, kdy se nám jazyk schematizuje, ořezává, zkracuje, zjednodušuje až primitivizuje, a to vše navíc dost často s dobrým účelem (prostě se nám komunikace zrychlila tak, "zeToIJazykMusiReflekAbySeNaprVeselDo166ci160ZnakuNeboCiziZnakSady"). Tak proč si pro změnu neužít jednou aspoň rozšíření, navíc přicházející z praktického používání?

+4/0
5.8.2014 12:29

P59a71v58e24l 41S68o92b23o50t92k74a 5790854

Ještě bych doplnil, že dnes nemáme žádnou možnost jak zabezpečit WiFi

takže suma sumárum - jediné řešení jsou a vždy byly fyzicky oddělené sítě.

0/0
5.8.2014 0:29

L36u70d28v80í33k 26G58a91j43d61o76š28í59k 2665943424332

O voze, o koze... 8-o

+1/−2
5.8.2014 10:30

P30a63v87e52l 15S16o41b15o84t90k47a 5440944

Houbeles:

"takže suma sumárum - jediné řešení jsou a vždy byly fyzicky oddělené sítě."

0/0
5.8.2014 17:53

P92e24t24r 46M31o50t61y69č88k29a 2892468250209

I kdyby skutečně někdo uměl napsat věc, která napadne firmware USB zařízení, nebude to univerzální. Bude to poměrně malé. Samo o sobě to nebude detekovatelné, ale jakýkoli jeho pokus škodit už detekovatelný bude. Reálně - co může kód běžící v mikrokontroleru flash paměti udělat? Například modifikovat soubory - detekovatelné. Nebo vytvořit nový spustitelný soubor a pokusit se vás přimět k jeho spuštění - detekovatelné. Možnosti budou silně omezeny dostupným výkonem, velikostí, nemožností komunikace.

Bouře ve sklenici vody, měli jsme už na bezpečnostních konferencích mnohem zajímavější věci, pánové z Cisca by mohli vyprávět...

+11/−2
5.8.2014 0:12

J81a94n 81K12ř96í80ž 6275713205908

Lze jen doufat,abyste měl pravdu,

Ale principiálně každé(?)zařízení připojené na internet je napadnutelné.

Alespoň si to myslím.

+1/0
5.8.2014 0:19

P43a30v64e85l 75S47o35b21o57t48k67a 5620144

Nikoliv. USB je navrženo velice špatně, je to vidět i na problémech které jsou s ním při virtualizaci, a nejde zde o to že něco někam šíříte. Jde o to, že ve Windows, Linux, Androidu, Aple OS.. je několik set ovladačů na USB, spouštěných v režimu jádra systému, takže klidně nad antivirem, a vy můžete mít USB zažízení, které se tváří například jako Microsoft Mouse (je to jen kousek textu který se posílá při komunikaci, tak si tam můžete napsat co chcete), a v tom driveru který se přihlásí k fake usb máte vytipovanou chybu, která vám umožní spustit kód - a máte vyhráno, jste uvnitř.

Ale nemusíte to být u toho počítače. Můžete například na Invexu vyhlásit vědomostní soutěž v oboru bankovnictví, a každý ajťák který projde testem (tj. je z banky) dostane jako dárek čtečku paměťových karet na USB... fantazii se meze nekladou, klasika je rozhazování flash USB pamětí poblíž místa kam chodí IT z banky na oběd,...

 

Ale na druhou stranu toto není nic nového, o tom se ví od začátku, jen se nyní problém podařilo veřejně demonstrovat a medializovat.

Dokonce možná USB bylo navrženo s cílem toto umožnit, k tomu jak bude ve finále vypadat norma USB měl přístup jen velmi omezený okruh lidí a CIA a NSA mezi nimi určitě měla své lidi.

A ještě jedna poznámka - vedle USB kamery je LED dioda, a, představte si, přímo ve specifikaci je napsáno že se nerozsvící vždy když kamera snímá (tj. fyzicka - když jde do kamery napájení), ale kameru rozsvící ovladač.... Proč asi tak složitě????

+7/−1
5.8.2014 0:49
Foto

F22i44l53i79p 63D41o44n97é 2153891949591

Pane Pavle přesně jak popisujete. Zvláště v LINUXU se něco může tvářit jako něco jiného - a to je účel. Jenže to není otázka jakéhosi SW, ale nejméně hodinové dřiny tam něco nakoncigurovat ve zdrojáku.

Jenže ve WIN si nějaký trouba nainstaluje něco, to chce ještě něco jiného a to něco dalšího - uživatel to odkliká a má vyřízeno. Problém je v tom, že celá koncepce WIN je odpočátku špatná a proto se v něm šíří viry. No a nakonec je to taky tím, že podpůrné SW a ovladače do WIN jsou gigantické kódy, většinou dělající cosi. Do Linuxu stačí pár řádků, které člověk okem proběhne.

No to se hoši nadřeli - to není vir - to je prostě jen jiný ovladač pro USB, který dělá nějaké další funkce.

+1/−3
5.8.2014 6:08

P19a13t87r49i62k 77Z31a14b32r13a11n85s75k92y 1501939785883

Ten članek je blbě přeloženej a tipuji že autora problematika nezajimá,jinak by věděl že prazdny flašky takže AV nereaguje ale firmware napsanej jako zaškodnik tady nakou dobu jsou,nakou dobu jsou tady v HW sitovych zařizení zadratovaný škodlivy kody atd atd..

0/−1
5.8.2014 7:00

P76e51t28r 89K68o67l52o11u63š40e74k 6929378403684

Vůbec jste vůbec nepochopil článek, stejně jako minimálně 9 dalších.

Nehledejte za vším vzdálený útok na vaše konto. Není to o vzdáleném přístupu. Je to o fyzickém přístupu, který umožníte vy zasunutím "neznámého" zařízení do svého počítače.

1) Univerzální? Proč. Vy modifikujete to zařízení, které umíte modifikovat. To potom budete šířit. Zdarma na výstavách, nebo konkrétním lidem. Dle toho jak chcete "útočit".

2) Detekovatelné. Jak? Dostanu na výstavě flash disk. Ten přinesu domů. Nahraji vám soubor exe ( či .sh, .rpm. .deb. .dmg cokoli co chcete spustit ) o kterém vím co to je a vy víte co čekáte. Přinesete do práce spustíte, protože víte co to je a ono nic. Nic se neukáže nic se "nespustí", ale už tam máte virus. Firmware zaměnil můj soubor za svůj. ( Firmware nemusí dělat nic jiného než čekat zdali se tam neobjeví známá přípona a tu nahradí něčím konkrétním )

Jak to chcete zjistit? Že při nahrání to znova přečtete a zkontrolujete? Co když to udělá až po opětovném připojení. Budete každou flasku po nahrání odpojovat a připojovat a znova načítat? Zatím na to žádný program není, který by si pamatoval co tam někdo nahrál a s čím tu nově připojenou paměť má zkontrolovat. Leda manuálně. Jsem si 100% jistý, že to neděláte. Vy detektore :)

PS: Toto je pouze problém, na který někdo upozornil. S klesající cenou USB zařízení lze i takovéto "hardwarové" útoky považovat za nebezpečné.

0/0
5.8.2014 9:20

J35i65ř43í 46K70o93c69u46r57e81k 6195424675138

Už v dávných dobách vznikla možnost kontroly, zda je soubor původní. Jedná se o CRC kód a programy lze nastavit tak, aby při neplatném CRC kódu soubor nepřijaly. CRC kódy jsou uloženy buď v přiloženém souboru nebo zapsány přímo do archivu - například rar to umí. V dobách modemových to byla jedna z možností, jak ověřit, zda je soubor nahrán celý a korektně.

Pokud bude člověk vědět jak na to, tak má možnost. Přičemž můsí sedět oba CRC kódy: Na flash disku i na zdroji, ten CRC kód si můžete pro kontrolu poslat mailem.

0/−3
5.8.2014 10:22

P69e89t49r 28K25o22l53o40u29š44e30k 6959618233904

1) Chytré řešení: Nepoužívat neznámé, darované flashky. To je to na co chtěl článek upozornit

2) Hloupé řešení: Používat neznámé flashky a ověřovat zda nemění obsah souborů.

Vy rozebíráte hloupé řešení a navíc navrhujete CRC, který slouží primárně k něčemu jinému.

Bez komentáře.

+1/0
5.8.2014 12:22

M38i38l74o70š 27D49v36o16ř57á17k 8945167156701

ted uz jen definovat, jak konkretne poznam znamou flashku od nezname a je to cajk....

0/0
6.8.2014 10:38







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.