O Guia Essencial para Transformação de TI
Os pesquisadores dizem que eles conseguiram reprogramar o firmware dentro de algumas unidades de flash com código malicioso - código executado por micro-controlador do gadget para finalmente instalar malware em um PC ou redirecionar o tráfego da rede, sem a vítima saber.
Karsten Nohl e Jakob Lell, de skunkworks segurança alemãs SR Labs, passou meses analisando o software e micro-controladores embutidos em determinados dispositivos USB, e disse que eles descobriram que poderia se esconder de forma confiável, no flash ROM, malware que é indetectável para ferramentas antivírus de hoje - e é muito, muito eficaz.
Estamos informados de seu software desagradável, que eles chamam BadUSB, pode ser instalado não só em certos pen drives, mas em nada ostentando um micro-controlador suportados ou compatíveis. É impossível remover o dispositivo, a menos que você também tem ferramentas e habilidades para reprogramar o firmware.
Pen drives USB são tipicamente um bloco de memória flash com um micro-controlador ligado a ele; este chip controlador tem seu próprio bloco de RAM zero, e um pequeno sistema operacional no firmware dizendo-lhe como fazer a interface do flash com o mundo externo via USB. Este firmware pode ser reprogramado para fazer coisas não intencional - se você já trabalhou fora como fazê-lo.
Por alguns anos agora , este tipo de ataque tem sido conhecido por ser possível: tipos infosec mesmo apelidado de dispositivos USB maliciosos como "plug and presa."
Agora nos dizem que é uma realidade.
"Não há defesas eficazes contra ataques USB são conhecidos", afirmou SR Labs.
"Scanners de malware não pode acessar o firmware rodando em dispositivos USB. Firewalls USB que bloqueiam certas classes de dispositivo não estão (ainda) não existe. E detecção de comportamento é difícil, uma vez que o comportamento de um dispositivo BadUSB quando ele muda sua personalidade parece que um usuário simplesmente ligado em um novo dispositivo. "
Como é suposto para trabalhar
Os dois, que irá apresentar uma palestra técnica completa e código de prova de conceito na conferência Black Hat da próxima semana em Las Vegas, projetado BadUSB para convencer o computador de destino que um pen drive USB é também um teclado USB - que se alimenta de forma rápida uma string de caracteres para o computador como se tivesse digitado pelo usuário.
Esta cadeia pode, no Windows, abrir uma caixa de cmd.exe, executar um arquivo executável no flash drive que instala mais malware, ou abrir uma janela do Internet Explorer e navegar para um site que explora uma vulnerabilidade no IE ou Adobe Flash para injetar malware. As unidades também podem ser configurados para representar uma placa de rede e redirecionar o tráfego.
Tudo isso é possível porque os dispositivos USB podem ser multi-função : quando conectado a um computador, eles anunciam para o sistema operacional, através do protocolo USB, que tipo de dispositivo são para que os drivers corretos estão carregados eo gadget é utilizável .
Normalmente, um pen drive se anuncia como armazenamento em massa. Se ele também se anuncia como um teclado, sistemas operacionais de desktop de hoje jogar junto e anexá-lo como uma outra fonte de teclado para causar dano.
Antes de começar a entrar em pânico e jogando fora os seus periféricos, existem algumas ressalvas para a pesquisa.
1. Nem todos os chips USB
Em primeiro lugar, este ataque não vai funcionar em todos os chips USB automaticamente - parece ser um fornecedor específico, e enquanto há um número limitado de fornecedores de silício USB, ainda há um monte de modelos de chips para atacar. Cada fabricante de chips projeta seus controladores de forma diferente.
Para Black Hat, dizem os três dispositivos de ataque seguintes será demonstrado; esses aparelhos usam chips feitos por Phison, que normalmente usam 8.051 micro-controladores:
- Um pen drive USB que injeta rapidamente as teclas pressionadas para baixar e executar software malicioso antes que o usuário pode pará-lo. Este é accionado através da ligação do dispositivo para o PC.
- Um pen drive USB que inicializa o PC, mexe com a instalação do sistema operacional para causar mais miséria e, em seguida, inicia a máquina adequada.
- Um pen drive USB que se anuncia como uma placa de rede, permitindo que reconfigurar as configurações de DNS da máquina para redirecionar o tráfego da Internet nas mãos dos hackers.
No início deste ano, em Shmoocon 2014, Richard Harmamn fez uma apresentação sobre sua pesquisa sobre análise de micro-controladores USB e estudar suas características de firmware e de segurança. Phison, ressaltou ele, tem uma ferramenta chamada MPAll que permite firmware para ser reescrita - embora seja um trabalho árduo a elaboração de uma firmware desonestos trabalhando como os internos de chips não são documentados.
2. Segurança versus custo
Em segundo lugar, pode ser possível para os fabricantes de dispositivos para lidar com estes problemas em si. Controladores podem ser projetados para aceitar somente um novo firmware que é criptograficamente provado ser legítimo, por exemplo, mas que iria aumentar a complexidade eo custo desses baratos-como-centavos fichas.
Há, porém, espaço para uma maior segurança, dizem.
"As especificações USB suportam recursos adicionais para a segurança, mas os fabricantes de equipamentos originais (OEMs) decidir se deve ou não implementar esses recursos em seus produtos. OEMs desenvolver produtos com base na demanda do consumidor", um porta-voz do Fórum de Implementadores USB disse El Reg em um e-mail.
"Maiores capacidades de qualquer produto prováveis resultados em preços mais elevados e os consumidores a escolher em uma base diária que eles estão dispostos a pagar para receber certos benefícios. Se a demanda dos consumidores por produtos USB com recursos adicionais de segurança cresce, seria de esperar que os OEMs para atender a essa demanda ".
No momento em que é pouco provável que os fabricantes vão fazer qualquer coisa que possa elevar o preço de dispositivos USB. (Desenvolvedores do sistema operacional poderia, é claro, rejeitar a combinações de função USB bizarros.)
Se alguém desenvolver malware que infectou computadores de pen drives e depois silenciosamente reprogramado outros pen drives conectados a se espalhar novamente, é improvável que alguém vai reclamar de pagar alguns centavos mais por algo que está trancado. ®
Nenhum comentário:
Postar um comentário