Vlákno názorů k článku Postřehy z bezpečnosti: nová metoda tichého zneužití USB od Jiří J. - Vypadá to, že ta "nová metoda" je stará...
-
Jiří J. (neregistrovaný)
Vypadá to, že ta "nová metoda" je stará emulace klávesnice. Něco, co už tady bylo v podobě "podvržené" USB myši před asi rokem.
"Nohl explained that during his tests, he was able to gain remote access to a computer using a malicious code that, once the USB is connected, instructs the targeted system to download a malware. The code deceives the PC making it believe that the malicious instructions are originated by a keyboard or any other USB device."
Jak jinak na to? .. USB controller nemá DMA (narozdíl od firewire), takže pokud se skutečně jedná o "novou metodu", je to spíš pouhý exploit chipset driveru (ehci/xhci/..) - i kdyby mohl podvrhnout device ID a posílat URB jako jiné zařízení (klávesnice), tak to neznamená automatický rootkit.
-
ebik (neregistrovaný)
Kdysi byly konektory klavesnice oddelene. Kdybych nekomu dal tehdy prenosny disk a rekl, zapoj to jeste do konektoru od klavesnice, tak by pojal urcite podezreni. A take jednoducha obrana proti fake HID utoku by byla, kdyby si clovek mohl v systemu zvolit, na kterych USB portech se smi HID zarizeni pripojit.
Cetl jsem odkazovany clanek a nedozvedel jsem se z nej, zda je moje domenka o fake HID spravna, nebo zda se jedna o jiny typ utoku, postihujici pouze operacni systemy jednoho vyrobce.
-
ebik (neregistrovaný)
Aha, proto je tam ten druhy odkaz. Tam je jako priklad i fake sitova karta, nebo "fake" obycejny usb disk s boot virusem. Proste bezpecny system by mel uzivatele vyzvat k tomu zda se ma instalace zarizeni spustit, a dat moznost "administratorovi" zakazat nektere typy zarizeni. Jediny drobny problem je s primarni klavesnici/mysi, ale i tady lze zkombinovat hardwarovou ochranu toho ze proverena klavesnice je zapojena do spravneho portu, se softwarovym povolenim te klavesnice/mysi na tom konkretnim portu.
