Diskuse k článku

Nelze jej detekovat, ani odstranit. Škodlivý kód je zabiják USB zařízení

Škodlivý kód BadUSB, který dokáže zneužít v podstatě jakékoli USB zařízení, představí jeho tvůrci/objevitelé ve středu na konferenci Black Hat. Antivirové programy jej neodhalí a nelze jej ani odstranit. Všichni doufají, že tvůrci USB budou reagovat rychleji než zločinci.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

M46i37r55o25s19l59a75v 27K73l76i47m31e51š 6585750268585

Hoax..?

0/−1
5.8.2014 16:29

H67a15n62k19a 49Z42e59l45i52n17k53o70v67á 5926254969450

Nikdy neříkejte že něco nejde ..

Odstranit jde cokoliv .. dokonce vim o software na programování alcoru micro a třeba i SM324QF pomocí toho sw jde firmware upravovat ... zdroje , popis a software je dostupnej na ruských webech.. Mam to vyzkouseno .. funguje to s paměťmi Adata , kingstone sandisk, .. dokonce tím jde přepsat i čtečku karet a konvertor na externi disk sata.

0/0
5.8.2014 16:06

L90u15d37v20í22k 32G39a74j11d61o80š42í89k 2395513544282

To je zase humbuk.

V článku nějak chybí, jakým mechanizmem by měl být firmware USB chipu přepsán. Předpokládá to totiž přinejmenším použití USB zařízení v nějakém napadeném počítači a program který by toto "flešnutí" měl provést je pochopitelně antiviry detekovatelný velmi dobře a snadno. I samotný systém by při takovém pokusu měl zareagovat přinejmenším žádostí o oprávnění administrátora.

Šíření viru prostřednictvím nakaženého HW je přitom silně neefektivní.

0/−2
5.8.2014 10:43

A11l81e83x28a16n81d58r 24K32o20s30t15k78a 5389366619396

Copak o to, šíření prostřednictvím přenosného média je poměrně efektivní, ale samozřejmě předpokládá, v první řadě nakažený počítač. A tam, jak správně říkáte, by to měl v pohodě chytit antivir. Nejpozději za pár dní bude prostě update antiviru a konec.

0/0
5.8.2014 11:02

L34u53d32v68í54k 81G32a43j48d80o77š13í62k 2765123264492

Oproti šíření nákazy po síti je šíření na přenosných médiích efektivitou na úrovni pravěku. Dnes už nikdo viry podobného typu ani nepíše.

0/0
5.8.2014 15:46

P90a43v23e26l 84Z32a77j95í88č21e19k 8684310336540

muze byt prepsan prave nizkourovnove primo z cipu na usb, podle mych zkusenosti mnohdy netreba os proto aby se povedl update firmware

+2/0
5.8.2014 12:16

L80u60d15v96í31k 59G56a10j60d83o66š11í80k 2215693434272

Na update firmware potřebujete VŽDY nějaké minimální prostředí které čip přeflešuje.

Navíc je tam jeden háček. Virus by musel být naprogramován přesně na konkrétní typ použitého USB čipu. Jinak by HW zcela přestal fungovat ještě dřív než by mohl cokoliv kamkoliv šířit.

+1/0
5.8.2014 15:59

M88i39r46o92s47l22a49v 30B54u71d64a 9692232737262

Napadlo vás, že ten chip může být už takto naprogramován přímo od výrobce? Máte vůbec ponětí, co za zády vašeho systému a antiviru dělá nebo odesílá vaše klávesnice, navigace nebo obyčejná "fleška". User by to mohl možná odhalit pomocí dobrého firewallu (ne toho integrovaného ve Win.) ale rozhodně ne antiviru nebo omezením uživatelských účtů (i když je to samozřejmě rozumné omezit práva)

+2/0
5.8.2014 12:50

L57u33d32v12í71k 14G94a89j44d42o62š41í27k 2315963844292

Jako že výrobce prodává flashky na kterých je záměrně rovnou virus?

To je taková teoretická pohádka. Po prvním odhalení viru (to je otázka týdnů) by si takový výrobce na trhu už ani neškrtnul a majitel firmy by putoval rovnou do báně. To by se mu jistě vyplatilo.

+1/0
5.8.2014 15:41
Foto

L77a90d79i91s85l61a42v 47K64r76a75t86o90c39h46v20í50l 6524562888674

Na konci článku jsem úplně čekal výzvu něco jako: "Okamžitě rozešli toto varování všem svým kontaktům!"

+11/−2
5.8.2014 3:15

F70r23a93n49t12i59s83e79k 31H97a57v86e45l 6912312937348

Okamzite predej toto varovani na prilozenem USB vsem svym kontaktum ... :-)

+14/0
5.8.2014 5:54

R71u71d88o63l16f 36D28o12v53i13č25í31n 1769776495942

Dôvera v proprietárny firmware predsa u rozmýšľajúcich ľudí nikdy nebola...

+1/0
5.8.2014 1:59

S61t16a77n85i51s82l12a57v 66H42o78r28á98k 5550472

Kdy se už někteří jedinci mezi redaktory naučí neděkovat za negativní jevy (používat spojení jako "díky zemětřesení zahynuli lidé, díky teroristům bylo zničeno letiště, ...) a vrátí se ke starému dobrému "kvůli"??? :-(Rv

+45/−2
5.8.2014 1:12

J25o25s25e80f 84Č98e13r64v85e75n46i58c56k68ý 9589544291173

Ono to není děkování, ale slovo "díky" je zde použito coby synonymum (možná) pro slovo "zásluhou".

+4/−9
5.8.2014 6:13

J90i82ř84i52n18a 81S87a69v40o96v72a 1571985126963

oboje je ale špatně ;-)

+20/−2
5.8.2014 7:16

M65a10r16t60i95n 63K95u58ř51í90t19k15a 6347546888185

Ano, ale zní to blbě.

0/−2
5.8.2014 7:26

M87i58r20e17k 71T61u71r17e43č92e25k 4683152900372

"kvůli" neni 'politicky korektni' (jako mnoho dalsich vyrazu) a tudiz zakazane...

0/−2
5.8.2014 8:58

T75o43b60i90á67š 51C93o32u53f94a33l 9424609976764

To není pravda.

0/0
5.8.2014 12:14

R63a24d50i88m 84D98r87b94o34h13l37a98v 5261136473367

Ještě lepší je "vinou", tj. vinou zemětřesení ..., vinou silných dešťů došlo k povodním...

Někdy je ale to, jestli je jev pozitivní nebo negativní, sporné, tam se pak neutrální "kvůli" hodí.

+4/−1
5.8.2014 9:40

J53i60ř63í 43K70o72c63u30r65e93k 6355664215488

Další možností je použití slova "následkem" ... chudé slovní zásoby je kostrbatý text.

+7/0
5.8.2014 10:08
Foto

L29u20k18a65s 39P11l27a26c15h38y 2877488351867

a "z důvodu" a "z příčiny" a "pro" a ... (s následným přeformulováním předmětu samozřejmě) a existují haldy variant, takže když se nedejbože vyskytne nejaká další, dak ji honem zadupeme, protože ... proč vlastně? A navíc taková krásná, DÍKY druhému smysly významu lehce ironizující, přesto účel plnící a smysl neměnící.

0/−1
5.8.2014 12:33
Foto

L40u52k76a29s 16P68l79a80c96h64y 2167898591307

A proč? Hezky se to čte, dobře to do textu zapadá, rozšiřuje to slovník a umožní tak oživit text, a jediné co to vyžaduje je dostatečná flexibilita čtenáře pro přidání dalšího významového atributu svého vnitřního slovníku a zvýšená námaha vnímání v kontextu.

Navíc to přidává další využití jazyka (například pro humorné dialogy "díky vám se mi to pokazilo" "ale prosím, rádo se stalo").

Nevidím důvod, proč by to mělo být na škodu - zvláště v dnešní době, kdy se nám jazyk schematizuje, ořezává, zkracuje, zjednodušuje až primitivizuje, a to vše navíc dost často s dobrým účelem (prostě se nám komunikace zrychlila tak, "zeToIJazykMusiReflekAbySeNaprVeselDo166ci160ZnakuNeboCiziZnakSady"). Tak proč si pro změnu neužít jednou aspoň rozšíření, navíc přicházející z praktického používání?

+4/0
5.8.2014 12:29

P33a90v73e31l 82S85o82b26o89t59k72a 5450194

Ještě bych doplnil, že dnes nemáme žádnou možnost jak zabezpečit WiFi

takže suma sumárum - jediné řešení jsou a vždy byly fyzicky oddělené sítě.

0/0
5.8.2014 0:29

L36u54d34v55í31k 47G75a89j22d26o15š60í52k 2675473224532

O voze, o koze... 8-o

+1/−2
5.8.2014 10:30

P59a49v51e96l 92S24o63b65o65t48k14a 5230614

Houbeles:

"takže suma sumárum - jediné řešení jsou a vždy byly fyzicky oddělené sítě."

0/0
5.8.2014 17:53

P26e55t69r 58M52o36t71y18č83k51a 2822398200739

I kdyby skutečně někdo uměl napsat věc, která napadne firmware USB zařízení, nebude to univerzální. Bude to poměrně malé. Samo o sobě to nebude detekovatelné, ale jakýkoli jeho pokus škodit už detekovatelný bude. Reálně - co může kód běžící v mikrokontroleru flash paměti udělat? Například modifikovat soubory - detekovatelné. Nebo vytvořit nový spustitelný soubor a pokusit se vás přimět k jeho spuštění - detekovatelné. Možnosti budou silně omezeny dostupným výkonem, velikostí, nemožností komunikace.

Bouře ve sklenici vody, měli jsme už na bezpečnostních konferencích mnohem zajímavější věci, pánové z Cisca by mohli vyprávět...

+11/−2
5.8.2014 0:12

J67a70n 39K27ř45í13ž 6465103335928

Lze jen doufat,abyste měl pravdu,

Ale principiálně každé(?)zařízení připojené na internet je napadnutelné.

Alespoň si to myslím.

+1/0
5.8.2014 0:19

P22a43v40e70l 88S65o97b71o75t59k10a 5590894

Nikoliv. USB je navrženo velice špatně, je to vidět i na problémech které jsou s ním při virtualizaci, a nejde zde o to že něco někam šíříte. Jde o to, že ve Windows, Linux, Androidu, Aple OS.. je několik set ovladačů na USB, spouštěných v režimu jádra systému, takže klidně nad antivirem, a vy můžete mít USB zažízení, které se tváří například jako Microsoft Mouse (je to jen kousek textu který se posílá při komunikaci, tak si tam můžete napsat co chcete), a v tom driveru který se přihlásí k fake usb máte vytipovanou chybu, která vám umožní spustit kód - a máte vyhráno, jste uvnitř.

Ale nemusíte to být u toho počítače. Můžete například na Invexu vyhlásit vědomostní soutěž v oboru bankovnictví, a každý ajťák který projde testem (tj. je z banky) dostane jako dárek čtečku paměťových karet na USB... fantazii se meze nekladou, klasika je rozhazování flash USB pamětí poblíž místa kam chodí IT z banky na oběd,...

 

Ale na druhou stranu toto není nic nového, o tom se ví od začátku, jen se nyní problém podařilo veřejně demonstrovat a medializovat.

Dokonce možná USB bylo navrženo s cílem toto umožnit, k tomu jak bude ve finále vypadat norma USB měl přístup jen velmi omezený okruh lidí a CIA a NSA mezi nimi určitě měla své lidi.

A ještě jedna poznámka - vedle USB kamery je LED dioda, a, představte si, přímo ve specifikaci je napsáno že se nerozsvící vždy když kamera snímá (tj. fyzicka - když jde do kamery napájení), ale kameru rozsvící ovladač.... Proč asi tak složitě????

+7/−1
5.8.2014 0:49
Foto

F93i25l21i49p 44D75o96n68é 2663811499951

Pane Pavle přesně jak popisujete. Zvláště v LINUXU se něco může tvářit jako něco jiného - a to je účel. Jenže to není otázka jakéhosi SW, ale nejméně hodinové dřiny tam něco nakoncigurovat ve zdrojáku.

Jenže ve WIN si nějaký trouba nainstaluje něco, to chce ještě něco jiného a to něco dalšího - uživatel to odkliká a má vyřízeno. Problém je v tom, že celá koncepce WIN je odpočátku špatná a proto se v něm šíří viry. No a nakonec je to taky tím, že podpůrné SW a ovladače do WIN jsou gigantické kódy, většinou dělající cosi. Do Linuxu stačí pár řádků, které člověk okem proběhne.

No to se hoši nadřeli - to není vir - to je prostě jen jiný ovladač pro USB, který dělá nějaké další funkce.

+1/−3
5.8.2014 6:08

P94a36t31r68i20k 25Z26a32b75r46a18n94s11k29y 1281539205633

Ten članek je blbě přeloženej a tipuji že autora problematika nezajimá,jinak by věděl že prazdny flašky takže AV nereaguje ale firmware napsanej jako zaškodnik tady nakou dobu jsou,nakou dobu jsou tady v HW sitovych zařizení zadratovaný škodlivy kody atd atd..

0/−1
5.8.2014 7:00

P59e72t18r 79K44o12l33o62u12š33e35k 6349558613894

Vůbec jste vůbec nepochopil článek, stejně jako minimálně 9 dalších.

Nehledejte za vším vzdálený útok na vaše konto. Není to o vzdáleném přístupu. Je to o fyzickém přístupu, který umožníte vy zasunutím "neznámého" zařízení do svého počítače.

1) Univerzální? Proč. Vy modifikujete to zařízení, které umíte modifikovat. To potom budete šířit. Zdarma na výstavách, nebo konkrétním lidem. Dle toho jak chcete "útočit".

2) Detekovatelné. Jak? Dostanu na výstavě flash disk. Ten přinesu domů. Nahraji vám soubor exe ( či .sh, .rpm. .deb. .dmg cokoli co chcete spustit ) o kterém vím co to je a vy víte co čekáte. Přinesete do práce spustíte, protože víte co to je a ono nic. Nic se neukáže nic se "nespustí", ale už tam máte virus. Firmware zaměnil můj soubor za svůj. ( Firmware nemusí dělat nic jiného než čekat zdali se tam neobjeví známá přípona a tu nahradí něčím konkrétním )

Jak to chcete zjistit? Že při nahrání to znova přečtete a zkontrolujete? Co když to udělá až po opětovném připojení. Budete každou flasku po nahrání odpojovat a připojovat a znova načítat? Zatím na to žádný program není, který by si pamatoval co tam někdo nahrál a s čím tu nově připojenou paměť má zkontrolovat. Leda manuálně. Jsem si 100% jistý, že to neděláte. Vy detektore :)

PS: Toto je pouze problém, na který někdo upozornil. S klesající cenou USB zařízení lze i takovéto "hardwarové" útoky považovat za nebezpečné.

0/0
5.8.2014 9:20

J73i93ř38í 76K13o65c44u83r37e23k 6575164255478

Už v dávných dobách vznikla možnost kontroly, zda je soubor původní. Jedná se o CRC kód a programy lze nastavit tak, aby při neplatném CRC kódu soubor nepřijaly. CRC kódy jsou uloženy buď v přiloženém souboru nebo zapsány přímo do archivu - například rar to umí. V dobách modemových to byla jedna z možností, jak ověřit, zda je soubor nahrán celý a korektně.

Pokud bude člověk vědět jak na to, tak má možnost. Přičemž můsí sedět oba CRC kódy: Na flash disku i na zdroji, ten CRC kód si můžete pro kontrolu poslat mailem.

0/−3
5.8.2014 10:22

P25e56t53r 58K12o32l76o86u24š90e28k 6449568233914

1) Chytré řešení: Nepoužívat neznámé, darované flashky. To je to na co chtěl článek upozornit

2) Hloupé řešení: Používat neznámé flashky a ověřovat zda nemění obsah souborů.

Vy rozebíráte hloupé řešení a navíc navrhujete CRC, který slouží primárně k něčemu jinému.

Bez komentáře.

+1/0
5.8.2014 12:22

M95i51l89o56š 15D37v34o88ř75á16k 8975247886801

ted uz jen definovat, jak konkretne poznam znamou flashku od nezname a je to cajk....

0/0
6.8.2014 10:38

Najdete na iDNES.cz