Vlákno názorů k článku
Vizitka s Linuxem od L. - No a nebo může taková vizitka o sobě...

No a nebo může taková vizitka o sobě po připojení prohlásit, že je klávesnice a poslat do počítače sadu příkazů, kterými v na něj nainstaluje mallware...

Ještě, že je tento způsob útoku známý již velmi dlouhou dobu, a tak všechny operační systémy implementují jednoduché protiopatření: pokud uživatel připojí klávesnici, aniž by měl explicitně daný USB port nastavený jako povolený pro klávesnici, nebo dal systému vědět, že následující USB zařízení bude klávesnice, systém na obrazovku napíše „připojili jste klávesnici, pro ověření na ní stiskněte <3 náhodně vybraná písmenka>“. Malwarová klíčenka samozřejmě neví, jaká písmenka se zobrazila na obrazovce, a proto může maximálně tipovat se zanedbatelnou pravděpodobností úspěchu. Napsání tří písmenek přitom trvá sekundu, tedy méně než fyzické připojení té klávesnice, takže nikoho znatelně neomezuje. Uživatelé, kteří nevyžadují takovou bezpečnost, mohou mít navíc systém nastavený tak, aby jednou povolenou klávesnici poznal podle sériového čísla a dalších USB deskriptorů, a povolil ji v budoucnu automaticky. USB deskriptory nejsou kryptograficky zabezpečeny, takže je útočník může zfalšovat, ale k tomu musí vědět, jakou přesně klávesnici uživatel má -- sice to nezabrání cílenému útoku (ale pokud útočník může přečíst sériové číslo klávesnice, pravděpodobně může i nainstalovat keylogger, takže jsme si stejně nepomohli), ale zabrání to přesně tomuto rozdávání vizitek/klíčenek náhodným obětem na blind.

Někdo by jistě mohl namítnout, že existují prezentéry, které se tváří jako klávesnice, ale mají jenom PgUp a PgDown, a jak na nich napíšu ověřovací kód. I to je jednoduché: systém nebude neověřenou klávesnici ignorovat úplně, ale povolí tyto pravděpodobně neškodné klávesy. Až když se začne posílat Enter, nebo nedej bože Win+R, zakročí.

(a pak jsem se probudil a zjistil jsem, že implementace tohoto vyžaduje netriviální hackování udevu a libinput/evdev)

Zajimava idea, ale jak budes pripojovat treba barcode reader v emulaci klavesnice? To by ti ten operacni system musel zobrazit i barcode na precteni. Ja sice mam radsi tyhle scannery v modu emulovane serialky, ale pokud potrebujes jenom cas od casu vlozit nekam do tabulky seriove cislo produktu, je emulace klacesnice praktictejsi. Nehlede na to, ze drtiva vetsina scanneru podporuje jenom klavesnici.

ke vsem co mame v praci se dela keywedge - cela abeceda vytiskla na a4 s prislusnymi barcody

Odklikneš to stávající klávesnicí/myší. Celá ta sranda s napsáním ověřovacího kódu je jenom proto, aby bylo možné připojit klávesnici k počítači, kde ještě žádná klávesnice není/ta stávající přestala fungovat/je nepohodlné se k ní dostat. A use-case prvního připojení nové čtečky k počítači úplně bez klávesnice mi přijde tak málo častý, že si to holt předem povolíš v /etc/security/us­b.conf. Stejně jsi před tím musel nainstalovat a nastavit automatické spuštění nějakého speciálního SW aby byl počítač bez vstupních zařízení použitelný.