Niebezpieczne USB

Aha. Tylko że użytkownik musiałby być na stałe zalogowany jako "root", do czego zniechęcają wszystkie możliwe poradniki (przynajmniej w systemach uniksowych). W windowsach pojawi się dodatkowe pytanie, czy na pewno coś tam można zrobić, a wcześniej będzie widać wyskakujące czarne okienko i samowpisujące się dziwne polecenia. Na samowgrywającego się podczas bootowania wirusa dość nerwowo powinien zareagować BIOS, którego podmiana też nie jest taka prosta (zarażony pendrive musiałby mieć terabajty pojemności, żeby zastępować każdy rodzaj BIOS-u jego działającą, ale zainfekowaną podróbą). Jedyne co możnaby tą metodą na stałe zainfekować to urządzenia zewnętrzne z programowalnymi chipami USB. Po ich usunięciu z komputera, zwykła reinstalacja z płytki załatwia sprawę.

ALE to mógłby być całkiem niezły sposób ataku na konkretny cel (gdzie znany jest rodzaj BIOSu, systemu operacyjnego, używanego sprzętu itp).

Nie musi to być bios płyty głównej.

Bios to sobie można zczytać w trakcie ataku i zmodyfikować więc terabajtów nie trzeba.

Roota/admina także nie potrzeba.

Widziałem w działaniu taki USB chińskiej produkcji rok temu na seminarium TUV Nord z bezpieczeńśtwa informacji.

Po jego podłączeniu windowsy nic nie informują że jakieś nowe urządzenie się pojawiło - tak jakbyśmy podłączyli klawiaturę USB. Sprzęcik uruchomił Outlooka i sam wysłał maila.

Ratunek jest jeden - nie podłączać do systemu znalezionych USB. Dać je informatykom, niech na odłączonej od sieci stacji testowej go sprawdzą co na nim siedzi, jeśli już musimy to wiedzieć :-)

Z USB faktycznie jest problem, jednak trzeba mieć na uwadze, że jest dość łatwy do zauważenia. Groźna jest tak naprawdę emulacja klawiatury przez urządzenie usb np pendrive albo smartfona. Emulacja taka, jest widoczna na ekranie. Otwierające się okno konsoli i wpisujący się samoczynnie tekst polecenia dość łatwo zauważyć. Dodatkowym problemem jest różnorodność systemów operacyjnych - w każdym z systemów skróty klawiaturowe się różnią.

Dużym ryzykiem jest natomiast uruchamianie systemu z wetkniętym groźnym usb. Takie usb będzie w stanie przekonfigurować bios (symulując klawiaturę), uruchomić system z usb zamiast z domyślnego dysku (symulując klawiaturę i pendrive).

Wystarczy nie uruchamiać komputera z urządzeniem usb nieznanego pochodzenia do którego nie mamy 100% zaufania.

Groźne może być dowolne urządzenie, nawet lampka, podgrzewacz kubka czy kamerka.

Zablokowac uruchamianie systemu z usb

Założyć hasło na bios.

Pracować na użytkowniku o ograniczonych uprawnieniach.

Nie podłączać urządzeń usb, które nie są w 100% zaufane.

W przypadku konieczności podłączenia niezaufanego urządzenia obserwować ekran, w przypadku podejrzanego zachowania (wyskakujących okien) jest ryzyko zarażenia systemu i należy traktować od tego momentu komputer jako potencjalnie zarażony i niebezpieczny.

Podłączać niezaufane USB tylko na moment gdy jest to niezbędne i konieczne, po użyciu odłączyć fizycznie.

No i w ten sposób masz względne zabezpieczenie przed emulacją klawiatury, a to pewnie tylko wierzchołek góry lodowej możliwości...

Co do BIOS-ów - mam wrażenie, że na etapie bootowania przez USB do maszynki nie można wstawić własnego BIOS-a (w końcu to nie jest karta wideo z przydzieloną przestrzenią adresową itd). To musi się odbyć na poziomie emulacji klawiatury i pamięci masowej. I teraz - co jeśli do BIOS-u wchodzi się nie przez F10, tylko stary 'del'? Albo F8? A jeśli po F12 nie wyskakuje okno zmiany kolejności bootowania, tylko coś innego? A co, jeśli zamiast strzałek do wyboru napędu startowego używa się F5/F6... i można tak w nieskończoność.

W samym systemie jeśli ktoś będzie próbował dokonać poważniejszych zmian w plikach systemowych czy na dysku, to oczywiście zobaczy ostrzeżenie, i żaden mail mu się nie wyśle, jesli nie używa Outlooka (:

Żart, ale nadal myślę, że to wynalazek do bardzo konkretnych zastosowań.

Dobry żart tynfa wart, ale obawiam się, że nie jest potrzebny "root".