USB-пристрої, мабуть, небезпечніші, ніж ми собі уявляли. Це не про шкідливе програмне забезпечення, яке використовує механізм автовідтворення в Windows - цього разу це основний недолік дизайну самого USB.
Тепер вам справді не слід брати та використовувати підозрілі флеш-накопичувачі USB, які ви лежите. Навіть якщо ви переконаєтесь, що у них немає зловмисного програмного забезпечення, вони можуть мати зловмисне прошивка .
Все в прошивці
USB означає «універсальна послідовна шина». Це має бути універсальний тип порту та протокол зв'язку, що дозволяє підключати до комп'ютера безліч різних пристроїв. Пристрої зберігання даних, такі як флеш-накопичувачі та зовнішні жорсткі диски, миші, клавіатури, ігрові контролери, звукові гарнітури, мережеві адаптери та багато інших типів пристроїв, використовують USB через порт одного типу.
На цих USB-пристроях та інших компонентах комп’ютера встановлено тип програмного забезпечення, відомого як “прошивка”. По суті, коли ви підключаєте пристрій до комп’ютера, прошивка на пристрої - це те, що дозволяє пристрою фактично функціонувати. Наприклад, типова прошивка флеш-накопичувача USB управляє передачею файлів туди-сюди. Прошивка USB-клавіатури перетворює фізичні натискання клавіш на клавіатурі в дані цифрового натискання клавіш, що надсилаються через USB-з'єднання на комп'ютер.
Ця прошивка насправді не є звичайним програмним забезпеченням, до якого ваш комп'ютер має доступ. Це код, який запускає сам пристрій, і немає реального способу перевірити та переконатися, що мікропрограма USB-пристрою безпечна.
Що може зробити шкідлива прошивка
Ключем до цієї проблеми є мета проектування, що пристрої USB можуть робити багато різних речей. Наприклад, флеш-накопичувач USB зі шкідливим програмним забезпеченням може працювати як USB-клавіатура. Коли ви підключаєте його до комп’ютера, він може надсилати на комп'ютер дії натискання клавіатури, ніби хтось, хто сидить за комп’ютером, набирає клавіші. Завдяки комбінаціям клавіш шкідливе програмне забезпечення, що функціонує як клавіатура, може, наприклад, відкрити вікно командного рядка, завантажити програму з віддаленого сервера, запустити її та погодитись на Підказка UAC .
Більш підступно, може здатися, що флеш-накопичувач USB працює нормально, але прошивка може змінювати файли, поки вони залишають пристрій, заражаючи їх. Підключений пристрій може функціонувати як адаптер USB Ethernet і спрямовувати трафік через шкідливі сервери. Телефон або будь-який тип USB-пристрою із власним підключенням до Інтернету може використовувати це з’єднання для передачі інформації з вашого комп’ютера.
ПОВ'ЯЗАНІ: Не всі "віруси" є вірусами: пояснено 10 термінів щодо шкідливого програмного забезпечення
Модифікований запам'ятовуючий пристрій може працювати як завантажувальний пристрій, коли виявляє, що комп'ютер завантажується, а потім комп'ютер завантажується з USB, завантажуючи шматок шкідливого програмного забезпечення (відомий як руткіт) що потім завантажило б реальну операційну систему, працюючи під нею.
Важливо, що USB-пристрої можуть мати кілька профілів, пов’язаних із ними. Флеш-накопичувач USB може претендувати на флешку, клавіатуру та мережевий адаптер USB Ethernet, коли ви вставляєте його. Він може функціонувати як звичайна флешка, зберігаючи за собою право займатися іншими справами.
Це лише основне питання самого USB. Це дозволяє створювати шкідливі пристрої, які можуть прикидатися лише пристроями одного типу, а також пристроями іншого типу.
Комп’ютери можуть заразити мікропрограму пристрою USB
Наразі це досить страшно, але не повністю. Так, хтось може створити модифікований пристрій зі шкідливою прошивкою, але ви, мабуть, не натрапите на них. Які шанси вам передадуть спеціально створений зловмисний USB-пристрій?
“ ПоганоUSB ”Шкідливе програмне забезпечення, яке підтверджує концепцію, виводить це на новий, страшніший рівень. Дослідники з SR Labs провели два місяці зворотного проектування базового коду мікропрограми USB на багатьох пристроях і виявили, що він насправді може бути перепрограмований та модифікований. Іншими словами, заражений комп'ютер може перепрограмувати мікропрограму підключеного USB-пристрою, перетворивши цей USB-пристрій на шкідливий. Потім цей пристрій міг заразити інші комп’ютери, до яких він був під’єднаний, і пристрій міг поширюватися з комп’ютера на USB-пристрій на комп’ютер на USB-пристрій, і так далі.
ПОВ'ЯЗАНІ: Що таке "викрадення соку" та чи слід уникати зарядних пристроїв для загального користування?
Раніше це траплялося із USB-накопичувачами, що містять шкідливе програмне забезпечення, яке залежало від функції автозапуску Windows для автоматичного запуску шкідливого програмного забезпечення на комп’ютерах, до яких вони були підключені. Але зараз антивірусні програми не можуть виявити або заблокувати цей новий тип зараження, який може поширюватися від пристрою до пристрою.
Це потенційно може поєднуватися з Атаки “вилучення соку” заразити пристрій під час заряджання через USB від шкідливого порту USB.
Хороша новина полягає в тому, що це можливо лише з близько 50% USB-пристроїв станом на кінець 2014 року. Погана новина полягає в тому, що ви не можете сказати, які пристрої вразливі, а які ні, не зламавши їх і не дослідивши внутрішню схему. Сподіваємось, виробники спроектують USB-пристрої більш надійно, щоб захистити їх прошивку від модифікації в майбутньому. Однак тим часом величезна кількість USB-пристроїв у дикій природі є вразливими до перепрограмування.
Це справжня проблема?
Наразі це виявилося теоретичною вразливістю. Були продемонстровані реальні атаки, тож це справжня вразливість, але ми ще не бачили, щоб її використовували будь-які фактичні шкідливі програми в дикій природі. Деякі люди висували теорію, що АНБ деякий час знав про цю проблему і використовував її. АНБ Бавовна Схоже, експлойт передбачає використання модифікованих пристроїв USB для атаки цілей, хоча, схоже, АНБ також імплантує спеціалізоване обладнання в ці пристрої USB.
Тим не менше, ця проблема, швидше за все, не натрапить на вас найближчим часом. У повсякденному сенсі вам, мабуть, не потрібно переглядати контролер Xbox свого друга чи інші поширені пристрої з великою підозрою. Однак це основний недолік самого USB, який слід виправити.
Як можна захиститися
Ви повинні бути обережними, маючи справу з підозрілими пристроями. У часи зловмисного програмного забезпечення Windows AutoPlay ми час від часу чули про флешки USB, залишені на стоянках компаній. Надія полягала в тому, що працівник візьме флешку та підключить її до комп’ютера компанії, а потім шкідливе програмне забезпечення диска автоматично запуститься та заразить комп’ютер. Були кампанії з підвищення обізнаності про це, заохочуючи людей не брати USB-пристрої зі стоянок та підключати їх до своїх комп’ютерів.
Якщо функція автовідтворення відключена за замовчуванням, ми вважаємо, що проблема вирішена. Але ці проблеми з мікропрограмою USB показують, що підозрілі пристрої все ще можуть бути небезпечними. Не забирайте USB-пристрої з паркінгів чи вулиці та підключайте їх до мережі.
Звичайно, наскільки вам слід хвилюватися, залежить від того, хто ви і що робите. Компанії, що мають важливу ділову таємницю або фінансові дані, можуть бути особливо обережними щодо того, які USB-пристрої можна підключити до яких комп’ютерів, запобігаючи поширенню інфекцій.
Хоча цю проблему до цього часу можна було побачити лише в атаках, що підтверджують концепцію, вона виявляє величезний, основний недолік безпеки в пристроях, якими ми користуємося щодня. Це те, про що слід пам’ятати, і - в ідеалі - те, що слід вирішити, щоб покращити безпеку самого USB.
Кредит зображення: Харко Рутгерс на Flickr
