USB-enheter er tilsynelatende farligere enn vi noen gang har forestilt oss. Dette handler ikke om skadelig programvare som bruker AutoPlay-mekanismen i Windows —Denne gangen er det en grunnleggende designfeil i selve USB.
I SLEKT: Hvordan AutoRun malware ble et problem på Windows, og hvordan det ble løst (hovedsakelig)
Nå skal du virkelig ikke plukke opp og bruke mistenkelige USB-minnepinner du finner liggende. Selv om du sørget for at de var fri for skadelig programvare, kan de ha skadelig programvare fastvare .
It's All In The Firmware
USB står for "universal seriell buss." Det skal være en universell type port- og kommunikasjonsprotokoll som lar deg koble mange forskjellige enheter til datamaskinen din. Lagringsenheter som flash-stasjoner og eksterne harddisker, mus, tastaturer, spillkontroller, lydhodesett, nettverkskort og mange andre typer enheter bruker alle USB over samme porttype.
Disse USB-enhetene - og andre komponenter på datamaskinen din - kjører en programvare som kalles "fastvare". I hovedsak, når du kobler en enhet til datamaskinen din, er fastvaren på enheten det som gjør at enheten faktisk fungerer. For eksempel vil en typisk USB-flash-stasjon firmware klare å overføre filene frem og tilbake. Firmware på et USB-tastatur konverterer fysiske tastetrykk på tastaturet til digitale tastetrykkdata sendt over USB-tilkoblingen til datamaskinen.
Denne fastvaren i seg selv er egentlig ikke en vanlig programvare som datamaskinen din har tilgang til. Det er koden som kjører selve enheten, og det er ingen reell måte å se etter og verifisere fastvaren til en USB-enhet.
Hva skadelig fastvare kan gjøre
Nøkkelen til dette problemet er designmålet at USB-enheter kan gjøre mange forskjellige ting. For eksempel kan en USB-flashstasjon med skadelig firmware fungere som et USB-tastatur. Når du kobler den til datamaskinen din, kan den sende tastaturpressehandlinger til datamaskinen som om noen som satt ved datamaskinen skrev tastene. Takket være hurtigtaster kan en ondsinnet fastvare som fungerer som et tastatur - for eksempel - åpne et ledetekstvindu, laste ned et program fra en ekstern server, kjøre det og godta et UAC-ledetekst .
Mer lurt kan det hende at en USB-flashstasjon ser ut til å fungere normalt, men fastvaren kan endre filer når de forlater enheten og infiserer dem. En tilkoblet enhet kan fungere som et USB Ethernet-adapter og dirigere trafikk over ondsinnede servere. En telefon eller en hvilken som helst type USB-enhet med sin egen Internett-tilkobling kan bruke den tilkoblingen til å videreformidle informasjon fra datamaskinen din.
I SLEKT: Ikke alle "virus" er virus: 10 skadelige programvareforklaringer forklart
En modifisert lagringsenhet kan fungere som en oppstartsenhet når den oppdager at datamaskinen starter, og datamaskinen vil deretter starte opp fra USB og laste inn et stykke skadelig programvare (kjent som et rootkit) det vil da starte det virkelige operativsystemet og kjøre under det.
Det er viktig at USB-enheter kan ha flere profiler tilknyttet. En USB-flash-stasjon kan hevde å være en flash-stasjon, et tastatur og en USB Ethernet-nettverksadapter når du setter den inn. Det kan fungere som en vanlig flash-stasjon mens du forbeholder deg retten til å gjøre andre ting.
Dette er bare et grunnleggende problem med selve USB. Det muliggjør oppretting av ondsinnede enheter som kan late som om de bare er en type enhet, men også andre typer enheter.
Datamaskiner kan infisere fastvaren til en USB-enhet
Dette er ganske skremmende så langt, men ikke helt. Ja, noen kan lage en modifisert enhet med skadelig firmware, men du vil sannsynligvis ikke komme over dem. Hva er oddsen du vil få utlevert en spesiallaget ondsinnet USB-enhet?
“ BadUSB ”Proof-of-concept malware tar dette til et nytt, skumlere nivå. Forskere for SR Labs brukte to måneder på å reversere grunnleggende USB-firmwarekode på mange enheter og fant ut at den faktisk kunne omprogrammeres og modifiseres. Med andre ord kan en infisert datamaskin omprogrammere firmware til en tilkoblet USB-enhet, og gjøre USB-enheten om til en ondsinnet enhet. Enheten kunne da infisere andre datamaskiner den var koblet til, og enheten kunne spre seg fra datamaskin til USB-enhet til datamaskin til USB-enhet, og av og på.
I SLEKT: Hva er "Juice Jacking", og bør jeg unngå offentlige ladere?
Dette har skjedd tidligere med USB-stasjoner som inneholder skadelig programvare som var avhengig av Windows AutoPlay-funksjonen for automatisk å kjøre skadelig programvare på datamaskiner de var koblet til. Men nå kan ikke antivirusverktøyer oppdage eller blokkere denne nye typen infeksjon som kan spre seg fra enhet til enhet.
Dette kan potensielt kombineres med “Juice jacking” -angrep å infisere en enhet når den lades via USB fra en ondsinnet USB-port.
Den gode nyheten er at dette bare er mulig med omtrent 50% av USB-enheter fra slutten av 2014. Den dårlige nyheten er at du ikke kan fortelle hvilke enheter som er sårbare og hvilke som ikke er uten å knekke dem åpne og undersøke de interne kretsene. Produsenter vil forhåpentligvis designe USB-enheter sikrere for å beskytte firmware fra å bli endret i fremtiden. Imidlertid er en enorm mengde USB-enheter i naturen sårbare for omprogrammering.
Er dette et reelt problem?
Så langt har dette vist seg å være en teoretisk sårbarhet. Ekte angrep har blitt demonstrert, så det er en reell sårbarhet - men vi har ikke sett det utnyttet av noen faktisk skadelig programvare i naturen ennå. Noen mennesker har teoretisert at NSA har kjent til dette problemet en stund og har brukt det. NSA’ene BOMULL exploit ser ut til å innebære bruk av modifiserte USB-enheter for å angripe mål, selv om det ser ut til at NSA også er implantert spesialisert maskinvare i disse USB-enhetene.
Likevel er dette problemet sannsynligvis ikke noe du vil støte på når som helst. I hverdagens forstand trenger du sannsynligvis ikke å se vennens Xbox-kontroller eller andre vanlige enheter med mye mistanke. Dette er imidlertid en kjernefeil i selve USB som skal løses.
Hvordan du kan beskytte deg selv
Du må være forsiktig når du arbeider med mistenkelige enheter. I dagene med skadelig programvare for Windows AutoPlay hørte vi av og til om USB-minnepinner igjen på selskapets parkeringsplasser. Håpet var at en ansatt ville plukke opp flash-stasjonen og koble den til en firmamaskin, og deretter kjørte malwareens stasjon automatisk og infisere datamaskinen. Det var kampanjer for å øke bevisstheten om dette, og oppfordret folk til ikke å hente USB-enheter fra parkeringsplassene og koble dem til datamaskinene sine.
Med AutoPlay nå deaktivert som standard, har vi en tendens til å tro at problemet er løst. Men disse USB-firmwareproblemene viser at mistenkelige enheter fortsatt kan være farlige. Ikke hent USB-enheter fra parkeringsplasser eller gaten og koble dem til.
Hvor mye du bør bekymre deg, avhenger selvfølgelig av hvem du er og hva du gjør. Bedrifter med kritiske forretningshemmeligheter eller økonomiske data vil kanskje være ekstra forsiktige med hva USB-enheter kan koble til hvilke datamaskiner, og forhindre at infeksjoner sprer seg.
Selv om dette problemet bare har blitt sett i proof-of-concept-angrep så langt, avslører det en stor, kjerne sikkerhetsfeil i enhetene vi bruker hver dag. Det er noe å huske på, og ideelt sett noe som bør løses for å forbedre sikkerheten til selve USB.
Bildekreditt: Harco Rutgers på Flickr
