USB-enheder er tilsyneladende farligere, end vi nogensinde har forestillet os. Dette handler ikke om malware, der bruger AutoPlay-mekanismen i Windows - denne gang er det en grundlæggende designfejl i selve USB.
RELATEREDE: Hvordan AutoRun Malware blev et problem på Windows, og hvordan det blev (hovedsagelig) løst
Nu skal du virkelig ikke hente og bruge mistænkelige USB-flashdrev, du finder liggende. Selv hvis du sikrede, at de var fri for ondsindet software, kunne de have ondsindet firmware .
Det er alt sammen i firmwaren
USB står for "universal seriel bus". Det skal være en universel type port- og kommunikationsprotokol, der giver dig mulighed for at forbinde mange forskellige enheder til din computer. Lagerenheder som flashdrev og eksterne harddiske, mus, tastaturer, spilcontrollere, lydhovedsæt, netværkskort og mange andre typer enheder bruger alle USB over den samme type port.
Disse USB-enheder - og andre komponenter på din computer - kører en type software, der kaldes "firmware". I det væsentlige, når du tilslutter en enhed til din computer, er firmwaren på enheden det, der gør det muligt for enheden at fungere. For eksempel administrerer en typisk USB-flashdrev-firmware overførsel af filerne frem og tilbage. Et USB-tastaturets firmware konverterer fysiske tastetryk på et tastatur til digitale tastetrykdata sendt via USB-forbindelsen til computeren.
Denne firmware i sig selv er faktisk ikke et normalt stykke software, som din computer har adgang til. Det er koden, der kører selve enheden, og der er ingen reel måde at kontrollere og kontrollere, at en USB-enheds firmware er sikker.
Hvad skadelig firmware kunne gøre
Nøglen til dette problem er designmålet, at USB-enheder kunne gøre mange forskellige ting. For eksempel kan et USB-flashdrev med ondsindet firmware fungere som et USB-tastatur. Når du slutter det til din computer, kan det sende handlinger med tastaturtryk til computeren, som om nogen, der sidder ved computeren, skriver nøglerne. Takket være tastaturgenveje kunne en ondsindet firmware, der fungerer som et tastatur, f.eks. Åbne et kommandopromptvindue, downloade et program fra en ekstern server, køre det og acceptere et UAC-prompt .
Mere snævert kan et USB-flashdrev synes at fungere normalt, men firmwaren kan ændre filer, når de forlader enheden og inficerer dem. En tilsluttet enhed kan fungere som en USB Ethernet-adapter og dirigere trafik over ondsindede servere. En telefon eller enhver type USB-enhed med sin egen internetforbindelse kan bruge denne forbindelse til at videresende oplysninger fra din computer.
RELATEREDE: Ikke alle "vira" er vira: 10 malwaretermer forklaret
En modificeret lagerenhed kan fungere som en boot-enhed, når den registrerer, at computeren starter, og computeren starter derefter fra USB og indlæser et stykke malware (kendt som et rootkit) der vil derefter starte det virkelige operativsystem og køre under det.
Det er vigtigt, at USB-enheder kan have flere profiler tilknyttet. Et USB-flashdrev kan hævde at være et flashdrev, et tastatur og en USB Ethernet-netværksadapter, når du indsætter det. Det kan fungere som et normalt flashdrev, mens det forbeholder sig retten til at gøre andre ting.
Dette er bare et grundlæggende problem med selve USB. Det muliggør oprettelse af ondsindede enheder, der kun kan foregive at være en type enhed, men også være andre typer enheder.
Computere kunne inficere en USB-enheds firmware
Dette er ret skræmmende indtil videre, men ikke helt. Ja, nogen kunne oprette en modificeret enhed med en ondsindet firmware, men du vil sandsynligvis ikke støde på dem. Hvad er oddsene for, at du får en specielt udformet ondsindet USB-enhed?
Det " BadUSB ”Proof-of-concept malware tager dette til et nyt, skræmmende niveau. Forskere til SR Labs tilbragte to måneder reverse engineering af USB-firmwarekode på mange enheder og fandt ud af, at den faktisk kunne omprogrammeres og ændres. Med andre ord kan en inficeret computer omprogrammere en tilsluttet USB-enheds firmware og omdanne den USB-enhed til en ondsindet enhed. Enheden kunne derefter inficere andre computere, den var tilsluttet, og enheden kunne sprede sig fra computer til USB-enhed til computer til USB-enhed og igen og igen.
RELATEREDE: Hvad er "Juice Jacking", og skal jeg undgå offentlige telefonopladere?
Dette er sket tidligere med USB-drev, der indeholder malware, der var afhængig af Windows AutoPlay-funktionen for automatisk at køre malware på computere, de var forbundet til. Men nu kan antivirusværktøjer ikke registrere eller blokere for denne nye type infektion, der kan sprede sig fra enhed til enhed.
Dette kan potentielt kombineres med "Juice jacking" angreb at inficere en enhed, når den oplades via USB fra en ondsindet USB-port.
Den gode nyhed er, at dette kun er muligt med ca. 50% af USB-enheder fra slutningen af 2014. Den dårlige nyhed er, at du ikke kan fortælle, hvilke enheder der er sårbare, og hvilke der ikke er uden at revne dem åbne og undersøge de interne kredsløb. Producenter vil forhåbentlig designe USB-enheder mere sikkert for at beskytte deres firmware mod at blive ændret i fremtiden. Imidlertid er en enorm mængde USB-enheder i naturen sårbare over for at blive omprogrammeret.
Er dette et reelt problem?
Indtil videre har dette vist sig at være en teoretisk sårbarhed. Rigtige angreb er blevet demonstreret, så det er en reel sårbarhed - men vi har ikke set det udnyttet af nogen egentlig malware i naturen endnu. Nogle mennesker har teoretiseret, at NSA har kendt til dette problem i et stykke tid og har brugt det. NSA'erne BOMULD exploit ser ud til at involvere brug af modificerede USB-enheder til at angribe mål, selvom det ser ud til, at NSA også er implanteret specialhardware i disse USB-enheder.
Ikke desto mindre er dette problem sandsynligvis ikke noget, du snart løber ind i. I dagligdagen har du sandsynligvis ikke brug for at se din vens Xbox-controller eller andre almindelige enheder med meget mistanke. Dette er imidlertid en kernefejl i selve USB, der skal løses.
Hvordan du kan beskytte dig selv
Du skal udvise forsigtighed, når du beskæftiger dig med mistænkelige enheder. I dagene med Windows AutoPlay-malware hørte vi lejlighedsvis om USB-flashdrev, der var tilbage på virksomhedens parkeringspladser. Håbet var, at en medarbejder ville hente flashdrevet og tilslutte det til en virksomhedscomputer, og derefter kørte drevets malware automatisk og inficere computeren. Der var kampagner for at øge bevidstheden om dette og opfordre folk til ikke at hente USB-enheder fra parkeringspladserne og forbinde dem til deres computere.
Med AutoPlay nu deaktiveret som standard, har vi tendens til at tro, at problemet er løst. Men disse USB-firmwareproblemer viser, at mistænkelige enheder stadig kan være farlige. Saml ikke USB-enheder fra parkeringspladser eller gaden, og tilslut dem.
Hvor meget du skal bekymre dig afhænger selvfølgelig af, hvem du er, og hvad du laver. Virksomheder med kritiske forretningshemmeligheder eller økonomiske data vil måske være ekstra forsigtige med, hvilke USB-enheder der kan tilsluttes hvilke computere, hvilket forhindrer infektioner i at sprede sig.
Selvom dette problem kun hidtil har været set i proof-of-concept-angreb, udsætter det en enorm kernesikkerhedsfejl i de enheder, vi bruger hver dag. Det er noget at huske på, og ideelt set noget, der skal løses for at forbedre sikkerheden ved selve USB.
Billedkredit: Harco Rutgers på Flickr
