USB-apparaten zijn blijkbaar gevaarlijker dan we ons ooit hadden kunnen voorstellen. Dit gaat niet over malware die het AutoPlay-mechanisme in Windows gebruikt - dit keer is het een fundamentele ontwerpfout in USB zelf.
VERWANT: Hoe AutoRun-malware een probleem werd in Windows en hoe het (meestal) werd opgelost
Nu moet u echt geen verdachte USB-flashstations die u rondslingert, gebruiken. Zelfs als u er zeker van was dat ze geen schadelijke software bevatten, kunnen ze schadelijk zijn firmware .
Het zit allemaal in de firmware
USB staat voor "universele seriële bus". Het zou een universeel type poort en communicatieprotocol moeten zijn waarmee u veel verschillende apparaten op uw computer kunt aansluiten. Opslagapparaten zoals flashstations en externe harde schijven, muizen, toetsenborden, gamecontrollers, audio-headsets, netwerkadapters en vele andere soorten apparaten gebruiken allemaal USB via hetzelfde type poort.
Deze USB-apparaten (en andere componenten op uw computer) draaien een soort software die bekend staat als 'firmware'. In wezen is het zo dat wanneer u een apparaat op uw computer aansluit, de firmware op het apparaat het apparaat daadwerkelijk laat functioneren. Een typische USB-flashdrive-firmware zou bijvoorbeeld de overdracht van bestanden heen en weer kunnen beheren. De firmware van een USB-toetsenbord zou fysieke toetsaanslagen op een toetsenbord omzetten in digitale toetsaanslaggegevens die via de USB-verbinding naar de computer worden verzonden.
Deze firmware zelf is eigenlijk geen normaal stuk software waartoe uw computer toegang heeft. Het is de code die het apparaat zelf uitvoert en er is geen echte manier om te controleren of de firmware van een USB-apparaat veilig is.
Wat schadelijke firmware kan doen
De sleutel tot dit probleem is het ontwerpdoel dat USB-apparaten veel verschillende dingen kunnen doen. Een USB-flashdrive met kwaadaardige firmware kan bijvoorbeeld functioneren als een USB-toetsenbord. Wanneer u het op uw computer aansluit, kan het toetsenbordacties naar de computer verzenden alsof iemand achter de computer de toetsen aan het typen is. Dankzij sneltoetsen kan een kwaadaardige firmware die als toetsenbord fungeert, bijvoorbeeld een opdrachtpromptvenster openen, een programma downloaden van een externe server, het uitvoeren en akkoord gaan met een UAC-prompt .
Meer stiekem zou een USB-flashdrive normaal kunnen lijken te werken, maar de firmware kan bestanden wijzigen wanneer ze het apparaat verlaten en ze infecteren. Een aangesloten apparaat kan functioneren als een USB Ethernet-adapter en verkeer via kwaadaardige servers routeren. Een telefoon of elk type USB-apparaat met een eigen internetverbinding kan die verbinding gebruiken om informatie van uw computer door te geven.
VERWANT: Niet alle "virussen" zijn virussen: 10 uitleg van malwaretermen
Een aangepast opslagapparaat zou kunnen functioneren als een opstartapparaat wanneer het detecteert dat de computer aan het opstarten is, en de computer zou dan opstarten vanaf USB, laden een stukje malware (bekend als een rootkit) dat zou dan het echte besturingssysteem opstarten en eronder draaien.
Belangrijk is dat aan USB-apparaten meerdere profielen kunnen zijn gekoppeld. Een USB-flashstation zou kunnen claimen een flashstation, een toetsenbord en een USB Ethernet-netwerkadapter te zijn wanneer u deze plaatst. Het zou kunnen functioneren als een normale flashdrive terwijl het het recht behoudt om andere dingen te doen.
Dit is slechts een fundamenteel probleem met USB zelf. Het maakt het mogelijk kwaadaardige apparaten te maken die zich kunnen voordoen als slechts één type apparaat, maar ook als andere typen apparaten.
Computers kunnen de firmware van een USB-apparaat infecteren
Dit is tot nu toe nogal angstaanjagend, maar niet helemaal. Ja, iemand kan een aangepast apparaat maken met schadelijke firmware, maar die zult u waarschijnlijk niet tegenkomen. Wat zijn de kansen dat u een speciaal vervaardigd kwaadaardig USB-apparaat krijgt overhandigd?
De " Slechte USB ”Proof-of-concept-malware tilt dit naar een nieuw, enger niveau. Onderzoekers voor SR Labs hebben twee maanden lang de basis-USB-firmwarecode op veel apparaten reverse-engineering uitgevoerd en ontdekt dat deze daadwerkelijk opnieuw kan worden geprogrammeerd en gewijzigd. Met andere woorden, een geïnfecteerde computer kan de firmware van een aangesloten USB-apparaat herprogrammeren, waardoor dat USB-apparaat in een schadelijk apparaat verandert. Dat apparaat zou dan andere computers kunnen infecteren waarmee het was verbonden, en het apparaat zou zich kunnen verspreiden van computer naar USB-apparaat naar computer naar USB-apparaat, enzovoort.
VERWANT: Wat is "Juice Jacking" en moet ik openbare telefoonopladers vermijden?
Dit is in het verleden gebeurd met USB-drives met malware die afhankelijk waren van de Windows AutoPlay-functie om automatisch malware uit te voeren op computers waarmee ze waren verbonden. Maar nu kunnen antivirusprogramma's dit nieuwe type infectie, dat zich van apparaat naar apparaat zou kunnen verspreiden, niet meer detecteren of blokkeren.
Dit kan mogelijk worden gecombineerd met "Juice jacking" -aanvallen om een apparaat te infecteren terwijl het wordt opgeladen via USB vanaf een schadelijke USB-poort.
Het goede nieuws is dat dit alleen mogelijk is met ongeveer 50% van de USB-apparaten eind 2014. Het slechte nieuws is dat je niet weet welke apparaten kwetsbaar zijn en welke niet zonder ze open te breken en de interne schakelingen te onderzoeken. Fabrikanten zullen USB-apparaten hopelijk veiliger ontwerpen om te voorkomen dat hun firmware in de toekomst wordt gewijzigd. In de tussentijd zijn echter een groot aantal USB-apparaten in het wild kwetsbaar voor herprogrammering.
Is dit een echt probleem?
Dit is tot dusverre een theoretische kwetsbaarheid gebleken. Echte aanvallen zijn gedemonstreerd, dus het is een echte kwetsbaarheid, maar we hebben nog niet gezien dat er misbruik van wordt gemaakt door echte malware in het wild. Sommige mensen hebben getheoretiseerd dat de NSA al een tijdje van dit probleem op de hoogte is en het heeft gebruikt. De NSA's COTTONMOUTH exploit lijkt te bestaan uit het gebruik van aangepaste USB-apparaten om doelen aan te vallen, hoewel het lijkt dat de NSA ook gespecialiseerde hardware in deze USB-apparaten heeft geïmplanteerd.
Desalniettemin is dit probleem waarschijnlijk niet iets dat u binnenkort zult tegenkomen. In alledaagse zin hoef je de Xbox-controller van je vriend of andere veelvoorkomende apparaten waarschijnlijk niet met veel argwaan te bekijken. Dit is echter een kernfout in USB zelf die moet worden verholpen.
Hoe u uzelf kunt beschermen
Wees voorzichtig bij het omgaan met verdachte apparaten. In de dagen van Windows AutoPlay-malware hoorden we af en toe over USB-flashdrives die achtergelaten waren op parkeerplaatsen van bedrijven. De hoop was dat een medewerker de flashdrive zou oppakken en aansluiten op een bedrijfscomputer, waarna de malware van de drive automatisch zou worden uitgevoerd en de computer zou infecteren. Er waren campagnes om dit onder de aandacht te brengen door mensen aan te moedigen geen USB-apparaten van de parkeerplaatsen op te halen en deze op hun computers aan te sluiten.
Nu AutoPlay standaard is uitgeschakeld, denken we dat het probleem is opgelost. Maar deze USB-firmwareproblemen tonen aan dat verdachte apparaten nog steeds gevaarlijk kunnen zijn. Pak geen USB-apparaten op van parkeerplaatsen of op straat en sluit ze aan.
Hoeveel u zich zorgen moet maken, hangt natuurlijk af van wie u bent en wat u doet. Bedrijven met kritieke bedrijfsgeheimen of financiële gegevens willen misschien extra voorzichtig zijn met welke USB-apparaten op welke computers kunnen worden aangesloten, om te voorkomen dat infecties zich verspreiden.
Hoewel dit probleem tot nu toe alleen is gezien bij proof-of-concept-aanvallen, legt het een enorme kernbeveiligingsfout bloot in de apparaten die we dagelijks gebruiken. Het is iets om in gedachten te houden, en - idealiter - iets dat moet worden opgelost om de beveiliging van USB zelf te verbeteren.
Afbeelding tegoed: Harco Rutgers op Flickr
