Menu

BadUSB: virus, kterého byste se měli bát? Zatím není důvod!

Bezpečnostní experti spustili novou mediální bouři oznámením zranitelnosti, která se týká všech USB zařízení, tedy i chytrých telefonů a tabletů. Virus je zapisován do paměti, která není uživateli přístupná (tedy alespoň pokud se týká flashdisků či paměťových karet), přesněji řečeno je umístěn ve firmwaru, který řídí základní funkce zařízení USB. Takový malware údajně není detekovatelný aktuálními antivirovými programy, které k této oblasti nemají přístup. Infiltrace přitom může přijít i z hardware, od kterého bychom to ani nečekali – například z klávesnice, myši, webové kamery, nebo jiného zařízení, připojovaného k počítači skrze USB. Týkat se může i chytrých telefonů a tabletů s Androidem – BadUSB prý teoreticky funguje na jakémkoliv typu USB zařízení.

BadUSB: virus, kterého byste se měli bát? Zatím není důvod!

BadUSB: virus, kterého byste se měli bát? Zatím není důvod!

Odborníci z RLabs Karsten Nohl a Jakob Lell, kteří hrozbu objevili, mají BadUSB jako “proof-of-concept”, tedy realizaci myšlenky či metody, mající za cíl prokázat její proveditelnost. V žádném případě se tedy nejedná o aktuálně se šířící hrozbu – celou kauzu tak nyní můžeme považovat jen za “vědecký experiment”. V jeho rámci bylo zjištěno, že aplikace mohou teoreticky po infikování ovládnout počítač nebo chytrý telefon oběti, sledovat či přesměrovat síťový provoz, stahovat a instalovat další malware a odesílat útočníkovi soubory. Skrze nakaženou klávesnici lze tímto způsobem například zachytávat a odesílat zadaný text, včetně hesel. Typickým rysem viru je tendence šířit se dál, což platí i v tomto případě: infikované zařízení se následně snaží “nakazit” všechna připojovaná USB zařízení svým zápisem do jejich firmwaru.

BadUSB prý teoreticky funguje na jakémkoliv typu USB zařízení

BadUSB prý teoreticky funguje na jakémkoliv typu USB zařízení

Bezpečnostní výzkumníci tvrdí, že se jedná o problém, který nebude snadné napravit, neboť BadUSB využívá samotnou podstatu fungování technologie USB. S ohledem na fakt, že škodlivý kód je zapsán ve firmwaru zařízení, nepomůže k jeho odstranění ani smazání nebo přeformátování, které se této části hardware netýká. Podle zprávy je téměř nemožné rozpoznat “upravené” zařízení bez použití moderních forenzních metod, jako je například fyzická demontáž a reverzní inženýrství kódu firmwaru. Jedinou cestou k očistě je tak nahrání původního firmware do zařízení.

Jurij Namestnikov, antivirový expert společnosti Kaspersky Lab, se ale k dostupným informacím vyjadřuje skepticky: “V tuto chvíli v podstatě není o čem mluvit, protože kromě velmi obecného popisu útoku nemáme vlastně nic. Jak moc velké je nebezpečí a jak se mu bránit bude možné říci až po praktickém otestování. Není to poprvé, co zdroje tvrdí, že není možné bránit se tomuto způsobu útoku, ale ve všech předchozích případech se povedlo vymyslet obranu. Technologie a nástroje, chránící proti podobným nebezpečím, existují již několik let.”

BadUSB využívá samotnou podstatu fungování technologie USB

BadUSB využívá samotnou podstatu fungování technologie USB

Samozřejmě existují mnohem jednodušší způsoby, jak infikovat téměř jakýkoli počítač, zvláště když tato metoda vyžaduje fyzický přístup k zařízení. Obecně je jako ochrana doporučeno používat pouze důvěryhodná USB zařízení a řídit se zdravým rozumem – tedy nepřipojovat svůj telefon a tablet k cizím počítačům a naopak nezapojovat do svého PC neznámá zařízení.

Další informace plánují Karsten Nohl a Jakob Lell publikovat v rámci “hackerské” konference Black Hat, která se bude konat v Las Vegas od 2. do 7. srpna. Konkrétně prý bude předveden i útok na telefon s Androidem, který bude infikován po připojení k počítači.

Ochranou je nezapojovat do svého PC neznámá zařízení

Ochranou je nezapojovat do svého PC neznámá zařízení

Co ještě míní experti prezentovat? Například transformaci flashdisku na klávesnici, která na počítači otevře okno příkazového řádku a zadá příkazy, které stáhnou a nainstalují škodlivý software. Tato technika může snadno obejít standardní řízení přístupu v systému Windows, protože ochrana vyžaduje pouze to, aby uživatel kliknul na tlačítko OK. Další ukázkou bude “proměna” flashdisku na síťovou kartu. Po aktivaci síťová karta přesměruje provoz přes vlastní DNS, takže počítač se například místo k Facebooku či Googlu připojí k nebezpečným stránkám vydávajícím se za legitimní cíle.

USB zařízení může umožnit ovládnutí počítače

USB zařízení může umožnit ovládnutí počítače

Zdroje: Chezasite, Android Central, Hi-Tech, Keinex, Engadget, Android Authority, Ars Technica.

Komentáře

GMD

GMD

z aplikace
5.8.2014 20:30

Celý tenhle článek by se dal prakticky převést i na reálný život a prevence proti pohlavním chorobám, protože jediná věc, která zabrání šíření viru je to, že budete používat jen ověřené (vlastni) “USB porty” :D :D

Miroslav Šiler

z aplikace
5.8.2014 21:38

Bezna usb zarizeni nemaji moznost preprogramovat firmware (musel by to udelat uz vyrobce, nebo je nekdo rozebrat a prepsat pres externi programator). Navic ochrana je primitivni, proste uprava OS aby vyzadoval kazde pridane zarizeni rucne potvrdit…

Helium

Helium

5.8.2014 22:47

V Kasperksy mají v podsteě pravdu. Je to velký koncept s teoretickou funkčností. Jednak je to zcela závislé na cílovém operačním systému a jednak využívá nejspíš tzv. kompozitní USB zařízení. Tj. nenapdne mojí stávající flešku, mobil atd. Zdroje nákazy by tak mohly být pouze speciálně upravené zařízení. Současné USB řadiče ve skoro všech zařízeních mají integrovaný FW na maskové ROM, takže jej nepřepíšete vůbec ničím….
Nevím, jak by se toto mohlo nějak šířit v masovém měřítku. Spíše by to postihlo pár blbců co by si připojilo k počítači nějaký prapodivný HW a nechalo nainstalovat jeho ovladače…

J.dvorak85

Honza Dvořák 0

5.8.2014 23:28

GMD:
:D :D :D

mcmartincerny

z aplikace
6.8.2014 0:29

Ohh, tak to chci, asi nevíte kde se dá koupit taková programovatelná flashka? Rád programuju v C++ a tohle by byl dobrý projekt, i když je snazší si na to naprogramovat Microcontroller

Helium

Helium

6.8.2014 1:01

to mcmartincerny:
O ničem takovém nevím a to se MCU i C++ zabývám už léta. Jde o to, že každé USB zařízení obsahuje standartizovaný “převodník” a komprimátor na USB. Ten už má FW uvnitř v mask ROM a nepřepíšeš ho žádným způsobem. Vzhledem k otmu, že komprese dat do USB formátu je poměrně náročná, půoužívají se k tomu tyto speciální převodníky, do nich se data ládují přes SPI, I2C nebo paralelní rozhraní.
Můžeš si ale naprogramovat třeba Arduino Due a USB hostitelské zařízení emulovat softwarově. Dá to práci ale jde to. Výše uvedený koncept viru ale jen tak snadno nedocílíš. I když na Windows by se člověk nedivil…

Martin P.

Martin P.

6.8.2014 8:20

Pánové se potřebují blejsnout a mít svých 15minut slávy. Prostě okurková sezona.

.

.

6.8.2014 9:20

Není a jistě nebude se čeho bát. Jistě si vzpomenete na obdobnou situaci před cca 14 lety. Tehdy proběhla po internetu zpráva a dokonce i Ray Koranteng jí v televizi oznámil s dramatickým tónem v hlase, že se šíří extrémně nebezpečný “virus”, který nebude možné jakkoliv detekovat. Měl přepisovat (či přidat nějaký kód.. přesně se už nepamatuji) do FW harddisku. Mělo to fungovat jako SpaceFiller (//en.wikipedia.org/wiki/CIH_%28computer_virus%29) a OneHalf dohromady. Obrana neměla být vůbec možná z toho důvodu, že se to tvářilo jako část FW pro HDD. A jelikož HDD měly tehdy údajně velice obdobný způsob zápisu FW, nebylo potřeba zákeřný kód upravovat a infikoval prakticky všechny značky. Pak samozřejmě pár fotek člověka u IBM notebooku v černé mikině s kapucí, rozhovor s “IT odborníkem”. No a jak to dopadlo, či spíše nedopadlo asi tuší všichni. Naprosto nic se nestalo.
Vhodnou úpravou čehokoliv lze z čehokoliv udělat zbraň či aby to nějak škodilo. Jenže většinou to nemá žádný smysl.

supermufak

supermufak

6.8.2014 10:53

“infikované zařízení se následně snaží „nakazit“ všechna připojovaná USB zařízení svým zápisem do jejich firmwaru.”

Hm, vzhledem k množství a rozmanitosti USB HW to je nereálné. Nedokážu si představit, že by ten vir obsahoval podporu pro víc jak jedno, dvě zařízení. A taková náhoda, že by je zrovna uživatel měl asi bude málo pravděpodobná.

A nepředpokládám, že všechna USB zařízení mají flashovací FW. Tipuju, že spousta obzvláště jednoduššího HW jako klávesnice a myši budou mít FW “na tvrdo”.

Ale věřím, že třeba pro NSA to může být zajímavá technologie… ;-)

vovi

vovi

6.8.2014 12:40

Dokud budou na světě vohnouti (a je jich spousta), kteří buď vesele klikají na jakékoliv odkazy v mailech, nebo kteří si darovanou reklamní flešku ihned zasunou a zkusí spustit všechny soubory na ní, je škoda plýtvat silami na podobný rafinovaný malware a jeho šíření. Nejhorší virus je iniciativní BFU.

Tor

Tor

5.10.2014 22:30

Asi bude lepší celé usb zašifrovat a použít linux vypnout bootování usb v bios a taky
omezit zápis na disk heslem v tom případě by se virus neměl na disk zapsat pokuď už
nebyl napaden (odhad) Více mě rozčiluje virus ktrý napadá modemy a síťové karty a
zapisuje se do nich a antivirus ochrana žádná firewall nanic proto nasadím na net
ZyXEL ZyWALL USG 50 a vše přeinstaluji hold obyčejný modem propustí vše i usb.bat
je pozdě když už virus je v pc.Pravidlo je na pevno nastavyt IP adresu, mac adresu
filtrovat a skrýt firewall (iptables nadefinovat co povolit a zakázat) ale už vím
jaký to je problém pro neznalé uživatele pc to zvládnout sám se furt učím a doba
dos a windows virů je minulost, dnes se napadá hadware! a oto je bezpečnost těší.

RSS (komentáře k článku)