Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu

Diskuse k článku

Nelze jej detekovat, ani odstranit. Škodlivý kód je zabiják USB zařízení

Škodlivý kód BadUSB, který dokáže zneužít v podstatě jakékoli USB zařízení, představí jeho tvůrci/objevitelé ve středu na konferenci Black Hat. Antivirové programy jej neodhalí a nelze jej ani odstranit. Všichni doufají, že tvůrci USB budou reagovat rychleji než zločinci.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

M29i80r33o39s93l72a82v 57K11l87i90m73e30š 6415280158345

Hoax..?

0/−1
5.8.2014 16:29

H81a88n84k74a 86Z86e59l12i71n90k34o90v52á 5416914129640

Nikdy neříkejte že něco nejde ..

Odstranit jde cokoliv .. dokonce vim o software na programování alcoru micro a třeba i SM324QF pomocí toho sw jde firmware upravovat ... zdroje , popis a software je dostupnej na ruských webech.. Mam to vyzkouseno .. funguje to s paměťmi Adata , kingstone sandisk, .. dokonce tím jde přepsat i čtečku karet a konvertor na externi disk sata.

0/0
5.8.2014 16:06

L33u43d22v30í52k 25G90a69j46d71o29š45í49k 2445313644172

To je zase humbuk.

V článku nějak chybí, jakým mechanizmem by měl být firmware USB chipu přepsán. Předpokládá to totiž přinejmenším použití USB zařízení v nějakém napadeném počítači a program který by toto "flešnutí" měl provést je pochopitelně antiviry detekovatelný velmi dobře a snadno. I samotný systém by při takovém pokusu měl zareagovat přinejmenším žádostí o oprávnění administrátora.

Šíření viru prostřednictvím nakaženého HW je přitom silně neefektivní.

0/−2
5.8.2014 10:43


A30l72e11x94a42n92d73r 37K32o81s57t66k58a 5559986709656

Copak o to, šíření prostřednictvím přenosného média je poměrně efektivní, ale samozřejmě předpokládá, v první řadě nakažený počítač. A tam, jak správně říkáte, by to měl v pohodě chytit antivir. Nejpozději za pár dní bude prostě update antiviru a konec.

0/0
5.8.2014 11:02

L17u83d91v13í38k 72G93a14j50d25o39š65í32k 2565133354452

Oproti šíření nákazy po síti je šíření na přenosných médiích efektivitou na úrovni pravěku. Dnes už nikdo viry podobného typu ani nepíše.

0/0
5.8.2014 15:46

P20a28v11e68l 90Z50a48j92í30č43e42k 8134870256300

muze byt prepsan prave nizkourovnove primo z cipu na usb, podle mych zkusenosti mnohdy netreba os proto aby se povedl update firmware

+2/0
5.8.2014 12:16

L74u82d36v46í71k 13G90a10j16d89o90š76í43k 2715103354542

Na update firmware potřebujete VŽDY nějaké minimální prostředí které čip přeflešuje.

Navíc je tam jeden háček. Virus by musel být naprogramován přesně na konkrétní typ použitého USB čipu. Jinak by HW zcela přestal fungovat ještě dřív než by mohl cokoliv kamkoliv šířit.

+1/0
5.8.2014 15:59

M40i22r44o79s69l96a26v 43B53u20d18a 9392602117622

Napadlo vás, že ten chip může být už takto naprogramován přímo od výrobce? Máte vůbec ponětí, co za zády vašeho systému a antiviru dělá nebo odesílá vaše klávesnice, navigace nebo obyčejná "fleška". User by to mohl možná odhalit pomocí dobrého firewallu (ne toho integrovaného ve Win.) ale rozhodně ne antiviru nebo omezením uživatelských účtů (i když je to samozřejmě rozumné omezit práva)

+2/0
5.8.2014 12:50

L98u19d90v48í30k 65G62a41j28d28o93š77í10k 2725143304302

Jako že výrobce prodává flashky na kterých je záměrně rovnou virus?

To je taková teoretická pohádka. Po prvním odhalení viru (to je otázka týdnů) by si takový výrobce na trhu už ani neškrtnul a majitel firmy by putoval rovnou do báně. To by se mu jistě vyplatilo.

+1/0
5.8.2014 15:41
Foto

L18a87d71i74s80l49a14v 85K19r13a28t92o82c69h54v88í38l 6764342808604

Na konci článku jsem úplně čekal výzvu něco jako: "Okamžitě rozešli toto varování všem svým kontaktům!"

+11/−2
5.8.2014 3:15

F14r87a77n80t25i61s74e28k 26H69a48v88e86l 6312722387868

Okamzite predej toto varovani na prilozenem USB vsem svym kontaktum ... :-)

+14/0
5.8.2014 5:54

R28u68d85o62l20f 61D43o48v45i57č49í87n 1709956795492

Dôvera v proprietárny firmware predsa u rozmýšľajúcich ľudí nikdy nebola...

+1/0
5.8.2014 1:59

S69t13a98n93i93s64l86a39v 66H92o42r79á13k 5940482

Kdy se už někteří jedinci mezi redaktory naučí neděkovat za negativní jevy (používat spojení jako "díky zemětřesení zahynuli lidé, díky teroristům bylo zničeno letiště, ...) a vrátí se ke starému dobrému "kvůli"??? :-(Rv

+45/−2
5.8.2014 1:12

J81o60s50e57f 64Č93e96r93v35e43n41i79c14k34ý 9399544731673

Ono to není děkování, ale slovo "díky" je zde použito coby synonymum (možná) pro slovo "zásluhou".

+4/−9
5.8.2014 6:13

J27i28ř72i44n92a 63S80a55v95o26v29a 1631455496183

oboje je ale špatně ;-)

+20/−2
5.8.2014 7:16

M66a37r29t47i24n 54K71u18ř73í59t61k84a 6827146378485

Ano, ale zní to blbě.

0/−2
5.8.2014 7:26

M67i21r63e77k 30T19u25r57e93č82e48k 4113762160792

"kvůli" neni 'politicky korektni' (jako mnoho dalsich vyrazu) a tudiz zakazane...

0/−2
5.8.2014 8:58

T95o39b94i67á11š 34C36o53u93f54a19l 9984839416774

To není pravda.

0/0
5.8.2014 12:14

R97a50d67i77m 61D51r81b71o87h57l22a71v 5521406163707

Ještě lepší je "vinou", tj. vinou zemětřesení ..., vinou silných dešťů došlo k povodním...

Někdy je ale to, jestli je jev pozitivní nebo negativní, sporné, tam se pak neutrální "kvůli" hodí.

+4/−1
5.8.2014 9:40

J40i66ř79í 64K54o86c46u35r23e40k 6675684325208

Další možností je použití slova "následkem" ... chudé slovní zásoby je kostrbatý text.

+7/0
5.8.2014 10:08
Foto

L19u40k26a25s 83P96l42a98c54h37y 2247678161197

a "z důvodu" a "z příčiny" a "pro" a ... (s následným přeformulováním předmětu samozřejmě) a existují haldy variant, takže když se nedejbože vyskytne nejaká další, dak ji honem zadupeme, protože ... proč vlastně? A navíc taková krásná, DÍKY druhému smysly významu lehce ironizující, přesto účel plnící a smysl neměnící.

0/−1
5.8.2014 12:33
Foto

L88u62k83a22s 87P83l77a41c14h75y 2337218131427

A proč? Hezky se to čte, dobře to do textu zapadá, rozšiřuje to slovník a umožní tak oživit text, a jediné co to vyžaduje je dostatečná flexibilita čtenáře pro přidání dalšího významového atributu svého vnitřního slovníku a zvýšená námaha vnímání v kontextu.

Navíc to přidává další využití jazyka (například pro humorné dialogy "díky vám se mi to pokazilo" "ale prosím, rádo se stalo").

Nevidím důvod, proč by to mělo být na škodu - zvláště v dnešní době, kdy se nám jazyk schematizuje, ořezává, zkracuje, zjednodušuje až primitivizuje, a to vše navíc dost často s dobrým účelem (prostě se nám komunikace zrychlila tak, "zeToIJazykMusiReflekAbySeNaprVeselDo166ci160ZnakuNeboCiziZnakSady"). Tak proč si pro změnu neužít jednou aspoň rozšíření, navíc přicházející z praktického používání?

+4/0
5.8.2014 12:29

P63a30v83e22l 49S77o47b80o55t36k55a 5180374

Ještě bych doplnil, že dnes nemáme žádnou možnost jak zabezpečit WiFi

takže suma sumárum - jediné řešení jsou a vždy byly fyzicky oddělené sítě.

0/0
5.8.2014 0:29

L41u22d51v50í85k 79G37a46j60d56o55š80í47k 2415773364502

O voze, o koze... 8-o

+1/−2
5.8.2014 10:30

P91a72v93e10l 44S33o53b11o28t38k70a 5170174

Houbeles:

"takže suma sumárum - jediné řešení jsou a vždy byly fyzicky oddělené sítě."

0/0
5.8.2014 17:53

P56e65t78r 55M46o28t61y34č46k40a 2752958130729

I kdyby skutečně někdo uměl napsat věc, která napadne firmware USB zařízení, nebude to univerzální. Bude to poměrně malé. Samo o sobě to nebude detekovatelné, ale jakýkoli jeho pokus škodit už detekovatelný bude. Reálně - co může kód běžící v mikrokontroleru flash paměti udělat? Například modifikovat soubory - detekovatelné. Nebo vytvořit nový spustitelný soubor a pokusit se vás přimět k jeho spuštění - detekovatelné. Možnosti budou silně omezeny dostupným výkonem, velikostí, nemožností komunikace.

Bouře ve sklenici vody, měli jsme už na bezpečnostních konferencích mnohem zajímavější věci, pánové z Cisca by mohli vyprávět...

+11/−2
5.8.2014 0:12

J37a41n 11K45ř69í53ž 6145443825248

Lze jen doufat,abyste měl pravdu,

Ale principiálně každé(?)zařízení připojené na internet je napadnutelné.

Alespoň si to myslím.

+1/0
5.8.2014 0:19

P37a95v87e97l 48S67o51b65o38t52k98a 5890114

Nikoliv. USB je navrženo velice špatně, je to vidět i na problémech které jsou s ním při virtualizaci, a nejde zde o to že něco někam šíříte. Jde o to, že ve Windows, Linux, Androidu, Aple OS.. je několik set ovladačů na USB, spouštěných v režimu jádra systému, takže klidně nad antivirem, a vy můžete mít USB zažízení, které se tváří například jako Microsoft Mouse (je to jen kousek textu který se posílá při komunikaci, tak si tam můžete napsat co chcete), a v tom driveru který se přihlásí k fake usb máte vytipovanou chybu, která vám umožní spustit kód - a máte vyhráno, jste uvnitř.

Ale nemusíte to být u toho počítače. Můžete například na Invexu vyhlásit vědomostní soutěž v oboru bankovnictví, a každý ajťák který projde testem (tj. je z banky) dostane jako dárek čtečku paměťových karet na USB... fantazii se meze nekladou, klasika je rozhazování flash USB pamětí poblíž místa kam chodí IT z banky na oběd,...

 

Ale na druhou stranu toto není nic nového, o tom se ví od začátku, jen se nyní problém podařilo veřejně demonstrovat a medializovat.

Dokonce možná USB bylo navrženo s cílem toto umožnit, k tomu jak bude ve finále vypadat norma USB měl přístup jen velmi omezený okruh lidí a CIA a NSA mezi nimi určitě měla své lidi.

A ještě jedna poznámka - vedle USB kamery je LED dioda, a, představte si, přímo ve specifikaci je napsáno že se nerozsvící vždy když kamera snímá (tj. fyzicka - když jde do kamery napájení), ale kameru rozsvící ovladač.... Proč asi tak složitě????

+7/−1
5.8.2014 0:49
Foto

F90i94l58i73p 25D54o41n27é 2133411599251

Pane Pavle přesně jak popisujete. Zvláště v LINUXU se něco může tvářit jako něco jiného - a to je účel. Jenže to není otázka jakéhosi SW, ale nejméně hodinové dřiny tam něco nakoncigurovat ve zdrojáku.

Jenže ve WIN si nějaký trouba nainstaluje něco, to chce ještě něco jiného a to něco dalšího - uživatel to odkliká a má vyřízeno. Problém je v tom, že celá koncepce WIN je odpočátku špatná a proto se v něm šíří viry. No a nakonec je to taky tím, že podpůrné SW a ovladače do WIN jsou gigantické kódy, většinou dělající cosi. Do Linuxu stačí pár řádků, které člověk okem proběhne.

No to se hoši nadřeli - to není vir - to je prostě jen jiný ovladač pro USB, který dělá nějaké další funkce.

+1/−3
5.8.2014 6:08

P69a26t91r11i62k 12Z22a81b64r28a50n39s63k84y 1781889195663

Ten članek je blbě přeloženej a tipuji že autora problematika nezajimá,jinak by věděl že prazdny flašky takže AV nereaguje ale firmware napsanej jako zaškodnik tady nakou dobu jsou,nakou dobu jsou tady v HW sitovych zařizení zadratovaný škodlivy kody atd atd..

0/−1
5.8.2014 7:00

P59e73t47r 39K20o50l20o79u88š88e50k 6959348643384

Vůbec jste vůbec nepochopil článek, stejně jako minimálně 9 dalších.

Nehledejte za vším vzdálený útok na vaše konto. Není to o vzdáleném přístupu. Je to o fyzickém přístupu, který umožníte vy zasunutím "neznámého" zařízení do svého počítače.

1) Univerzální? Proč. Vy modifikujete to zařízení, které umíte modifikovat. To potom budete šířit. Zdarma na výstavách, nebo konkrétním lidem. Dle toho jak chcete "útočit".

2) Detekovatelné. Jak? Dostanu na výstavě flash disk. Ten přinesu domů. Nahraji vám soubor exe ( či .sh, .rpm. .deb. .dmg cokoli co chcete spustit ) o kterém vím co to je a vy víte co čekáte. Přinesete do práce spustíte, protože víte co to je a ono nic. Nic se neukáže nic se "nespustí", ale už tam máte virus. Firmware zaměnil můj soubor za svůj. ( Firmware nemusí dělat nic jiného než čekat zdali se tam neobjeví známá přípona a tu nahradí něčím konkrétním )

Jak to chcete zjistit? Že při nahrání to znova přečtete a zkontrolujete? Co když to udělá až po opětovném připojení. Budete každou flasku po nahrání odpojovat a připojovat a znova načítat? Zatím na to žádný program není, který by si pamatoval co tam někdo nahrál a s čím tu nově připojenou paměť má zkontrolovat. Leda manuálně. Jsem si 100% jistý, že to neděláte. Vy detektore :)

PS: Toto je pouze problém, na který někdo upozornil. S klesající cenou USB zařízení lze i takovéto "hardwarové" útoky považovat za nebezpečné.

0/0
5.8.2014 9:20

J81i78ř50í 58K63o74c50u86r17e46k 6725534285208

Už v dávných dobách vznikla možnost kontroly, zda je soubor původní. Jedná se o CRC kód a programy lze nastavit tak, aby při neplatném CRC kódu soubor nepřijaly. CRC kódy jsou uloženy buď v přiloženém souboru nebo zapsány přímo do archivu - například rar to umí. V dobách modemových to byla jedna z možností, jak ověřit, zda je soubor nahrán celý a korektně.

Pokud bude člověk vědět jak na to, tak má možnost. Přičemž můsí sedět oba CRC kódy: Na flash disku i na zdroji, ten CRC kód si můžete pro kontrolu poslat mailem.

0/−3
5.8.2014 10:22

P39e75t51r 18K45o80l85o76u39š16e51k 6909828223334

1) Chytré řešení: Nepoužívat neznámé, darované flashky. To je to na co chtěl článek upozornit

2) Hloupé řešení: Používat neznámé flashky a ověřovat zda nemění obsah souborů.

Vy rozebíráte hloupé řešení a navíc navrhujete CRC, který slouží primárně k něčemu jinému.

Bez komentáře.

+1/0
5.8.2014 12:22

M40i67l93o85š 11D80v16o37ř40á54k 8915197866401

ted uz jen definovat, jak konkretne poznam znamou flashku od nezname a je to cajk....

0/0
6.8.2014 10:38





Najdete na iDNES.cz



mobilní verze
© 1999–2016 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je součástí koncernu AGROFERT ovládaného Ing. Andrejem Babišem.