Názory k článku USB firewall vás ochrání před škodlivým zařízením

a co usbguard? https://github.com/dkopecek/usbguard

Proc bys flashoval zarizeni prez tuto redukci? Jaky by to davalo smysl?

Pretoze pred flashnutim na tom device moze bezat nebezpecny kod a ked ho pripojis...

Samozřejmě že žádný, ale někomu, kdo takový bazmek používá zfalšované zařízení nepodstrčíte a o to asi jde.
Osobně si myslím, že něco takového by mělo být vestavené v počítači ať už dodatečně nebo přímo na MB s příslušnou kontrolou biosu (pak by se dalo určit na které porty (např přední) se mají uplatňovat přísnější omezení nebo třeba omezit skupinu zařízení, kterým důvěřujeme).
Jinak repertoár zařízení mi připomíná staré ovladače USB pod DOS nebo pravěký linux (klávesnice, myši a úložiště, ale maximálně přes jeden hub, narozbíl od win95 ale fungovaly bez větší interakce s uživatelem).

Jeste bych uvital galvanicke oddeleni datovych vodicu a poradnou diodu na +5V jako ochranu proti USB killerum

To je pravda, to bola prva vec, co som od toho zariadenia cakal. AD ma obvody ADuM4160 , ktore dokazu oddelit USB (tusim) na 1500V, nejaka verzia ma aj rovno menic DC/DC na 100mA, na vyssie prudy sa da pouzit externy DC/DC. S ochranou protu USB killerom to je trochu komplikovanejsie, vykonova dioda moze mat dost vysoku kapacitu a tym zahlusit datovu linku, lepsie by bolo pouzit nejaky HEXFET aspon na 30A s predradenym detektorom predpatia, ktory datove linky a napajanie odpoji a prepoji na zem, LT tusim cosi take ma ...

Nebude ten HEXFET pomalej ?

myšleno než se zdetekuje vzestup tak se nestihne sepnout a zkratovat příslušné linky..

Dobra otazka, na kvalitnu a spolahlivu ochranu pred prepetim zvycajne nestaci jeden stupen, rychle vykonove FET-y maji dobu otvorenia uz aj okolo 10nsec (zavisi to samozrejme aj od schopnosti budica nabit kapacitu hradla), ale to by este nemuselo stacit. Zvycajne sa pouziva trik s natiahnutim cela vlny nejakym feritovym prvkom, ktory na chvilu (kym sa nasyti) 'zmensi' sklon prudoveho narazu tak, aby sa stihli napr. zapalit blestkoistky, otvorit tranzistory atd. V beznej rozvodnej sieti sa vyskytuju sem-tam impulzy <1nsec/~4000V (indukovane od bleskov, spinanie a pod.) - to je ale trochu ina kava, s tym USB kilerom to ale asi nebude tak tragicke, zrejme pouzivaju elektrolyty (energia!) na odpalenie/pre­konanie beznych ochran pred ESD a s tymi sa zase nejaky extra kratky impulz vygenerovat neda ...

Další záplata na uživatelskou neznalost, dnes chce každý trouba jen zastrčit a používat :-) a když mu k tomu výrobce HW přidá sra.kový SW tak zvanou přidanou hodnotu, která je ve skutečnosti záporná, každý trouba první co udělá je to, že to nejprve nainstaluje.

Nedávno jsem u CZC viděl flashdisk s vestavěnou baterkou a wifi, úžasná vychytvávka, když to nabiješ tak máš 4 hodiny wifi-disk :-)

Problém je ten, že ani taková firma jako je CZC tam nenapíše zda to po tom wifi používá sambu, ftp, http, scp, .... nebo zda si musíš zaprasit systém nedotaženým SW od výrobce HW. A už vůbec ne, zda to funguje jen jako AP, nebo zda si to připojíš třeba k existující domácí síti.

Dokud se bude takovéto věci tímto způsobem vyplácet prodávat, tak je vyroba a vývoj zařízení jako to popsané v tomto článku sice hezká a záslužená, ale pro většinu platících uživatelů, neúčinná.

A vysvětli něco takovému uživateli :-)

Ad "Problém je ten, že ani taková firma jako je CZC tam nenapíše zda to po tom wifi používá sambu, ftp, http, scp, ...."

Jak to mohou napsat, když to neví, protože výrobce to záměrně neuvádí? To mají dělat reverse engineering?

Jinak to zařízení (třeba Sandisk connect, https://www.sandisk.com/connect) je dobré třeba pro streamování filmů do iPadu, když cestujete s dětmi. Tam je vždy nebezpečí, že se zařízení připojená přímo k iPadu mechanicky poškodí. Samozřejmě to chce ještě power banku, protože čtyřhodinová výdrž je jen na kratší cesty.

Pro mě je absence těchto informací dostatečný důvod ke snížení důvěryhodnosti výrobce i prodejce.

Je ale fakt že Vámi uvedené použití mě nenapadlo, já se při cestě snažím děti spíš aktivně zapojit do té cesty.

samba, ftp, http, scp... kde žiješ, prosímtě, ono to přeci jede přes cloud, jako dnes už všecko ;-))))

Vážně dobrý článek - takové zařízení mi připadá docela užitečné.

Chtěl bych se zeptat. Je možné USB zařízení ověřit čistě pomocí SW? Řekněme že mám podezřelý flash disk a chtěl bych si ověřit, že nejde o nějaký "zlý HW". (Chápu , že by se nejednalo o ochranu v reálném čase.)

Nelze. Snažit se testovat bezpečnost čehokoliv pomocí kanálu připojení, který testovaný může během testu plně ovládat, lze snadno redukovat na halting problem. Proto také antiviry na Androidu jsou stále víceméně k ničemu.

A co kdyz ten usb-port alokuju pro VM (pass-through)? Co pak muze takove skodlive usb-zarizeni infikovat? Host, nebo VM?

Pak může přímo infikovat jenom VM a odtamtud se pokusit dostat dál (ale stále to zařízení nemůžete zaručeně otestovat).

Tu pomoze stara dobra seriova konzola. Piny na pripojenie serioveho portu ma stale vacsina zakladnych dosiek. Samozrejme nie vo Windows XP, ale treba pouzit OS, ktory dokaze seriovu konzolu pouzit.

To zařízení pro to, aby prošlo ověřením, že je hodné, nepotřebuje ovládat celou sběrnici USB, stačí mu ovládat jen to, co z něj můžete během testu číst.

Jinak i na té sběrnici se dají dělat pěkné útoky. Každé zařízení třeba může číst veškerou komunikaci od počítače na libovolné jiné zařízení na stejném root hubu. (Tohle by teoreticky mohlo řešit to USG, nevím, jestli to dělá.)

Teoreticky by to neměl být problém naprogramovat, ale ještě to nikdo neudělal.

(IMHO by Linux, tj. jádro měl mít vlastní firewall na USB protokol. Tak kdo se hlásí a naprogramuje je jej?)

Jak může ovladač změnit to, jak to zařízení na testy odpovídá? To zařízení třeba na žádost o firmware může poslat starý firmware, vůbec ne ten, na kterém právě běží. Stejně tak místo sektorů s malwarem může posílat prázdná data a malware poslat třeba až po uspání a probuzení PC. (A jen tak mimochodem, tohle udělátko před tím také vůbec nechrání.)

a proc si nepridal link na svuj projekt USB "Firewallu" v kterem EZ-USB pouzivas? ;)

Asi nemá tu potřebu. Při popsaných přenosových rychlostech je ten "objev" naprosto nepoužitelný, se s tim smiř.

asi ti uniklo ze psal o 480 Mbit, tedy plne USB2.0 rychlosti ;)

Myslím, že tobě to asi uniklo úplně. Řeč je o té úžasné "rychlosti" zmiňované v článku - viz "První verze USG používá 12Mbits hardware, pokud přes něj připojíte flash disk, budete s ním komunikovat rychlostí okolo 1MB/s."

To je vopravdu supr luxus použitelnost. :-DDDDDDD

No a teď mi ještě prozraďte, jak protlačíte těch 480Mbit/s mezi těma dvěma MCU a jak zajístíte, že firewall bude dostatečně rychlý. Každopádně na SPI můžete při těhle rychlostech zapomenout!

Kdo si jako tohle koupi? Kdyz tomu daj hezkej stribrnej desing co ladi s kabelkou a ajpedikem nebo jinym jabkokramem tak to bude mozna uspesny. Popr. nevim co maj radi windowsovi uzivatele, mozna cerny krabicky. Ale jako realne fakt, proc bych si mel koupit tenhle nesmysl? Jeden jedinej rozumnej duvod. Ja do svyho notesu muzu strkat jakykoliv flashky, malware nemalware, bordel nebordel. Dokud mu nereknu tak to nepripoji a kdyz to pripoji tak to je izolovany (Hi Qubes). Takze jediny co mi vypliva, kdyz jsem "blbec" tak si to musim koupit.

Já bych tedy nechtěl notebook, co na mě plive, a ještě vyplivává celé věty.

Well I'm just spending more time in different language and Czechia's language I'm mostly using on this forum. So sorry for that. Just don't complain.

ty mas starosti... koupi si to ten kdo si to koupit bude chtit, ten kdo to bude chtit ale ne koupit, tak si to vyrobi sam podle navodu na HW i SW co dal autor na github, no a ten kdo to nebude chtit to bude ignorovat, jen nekteri maji potrebuj psat "kdo si tohle koupi?" ;-)