Video: Instruksjonene for å oppdatere PC-maskinvare / PC Oppgradering / Toshiba Satellite L300 (Oktober 2024)
Hvis du ikke har slått av USB-avspilling på PCen din, kan det tenkes at å koble til en infisert USB-stasjon kan installere skadelig programvare på systemet ditt. Ingeniørene hvis uranrensende sentrifuger ble sprengt av Stuxnet fikk vite at den harde måten. Det viser seg imidlertid at autoplay malware ikke er den eneste måten USB-enheter kan våpenvåpen. På Black Hat 2014-konferansen avslørte to forskere fra Berlin-baserte SRLabs en teknikk for å modifisere en USB-enhets kontrollbrikke slik at den kan "forfalske forskjellige andre enhetstyper for å ta kontroll over en datamaskin, eksfiltrere data eller spionere på brukeren." Det høres litt dårlig ut, men faktisk er det virkelig, virkelig fryktelig.
Vend deg til den mørke siden
"Vi er et hackinglaboratorium som vanligvis er fokusert på innebygd sikkerhet, " sa forsker Karsten Noll og snakket til et fullsatt rom. "Dette er første gang vi så på en datasikkerhet, med en innebygd vinkel. Hvordan kunne USB brukes på nytt på ondsinnede måter?"
Forsker Jakob Lell hoppet rett i en demo. Han koblet en USB-stasjon til en Windows-datamaskin; den dukket opp som en stasjon, akkurat som du kunne forvente. Men kort tid senere omdefinerte det seg som et USB-tastatur og ga ut en kommando som lastet ned en ekstern tilgang til Trojan. Det trakk applaus!
"Vi vil ikke snakke om virus i USB-lagring, " sa Noll. "Teknikken vår fungerer med en tom disk. Du kan til og med formatere den. Dette er ikke et Windows-sikkerhetsproblem som kan lappes. Vi er fokusert på distribusjon, ikke Trojan."
Kontrollere kontrolleren
"USB er veldig populært, " sa Noll. "De fleste (om ikke alle) USB-enheter har en kontrollbrikke. Du har aldri interaksjon med brikken, og OS ser det heller ikke. Men denne kontrolleren er det som 'snakker USB.'"
USB-brikken identifiserer enhetstypen til datamaskinen, og den kan gjenta denne prosessen når som helst. Noll påpekte at det er gyldige grunner for at en enhet kan presentere seg som mer enn en, for eksempel et webkamera som har en driver for video og en annen for den vedlagte mikrofonen. Og det er vanskelig å identifisere USB-stasjoner fordi et serienummer er valgfritt og ikke har noe fast format.
Lell gikk gjennom de nøyaktige trinnene som ble tatt av teamet for å omprogrammere firmware på en bestemt type USB-kontroller. Kort sagt måtte de snuse fastvareoppdateringsprosessen, reversere firmware og deretter lage en modifisert versjon av firmware som inneholder den ondsinnede koden. "Vi brøt ikke alt med USB, " bemerket Noll. "Vi har omvendt konstruert to veldig populære kontrollbrikker. Den første tok kanskje to måneder, den andre en måned."
Self-Replication
For den andre demoen satte Lell inn en helt ny tom USB-stasjon i den infiserte PCen fra den første demoen. Den infiserte PCen programmerte om den faste USB-stasjonens firmware, og repliserte dermed seg selv. Å kjære.
Han plugget den nettopp infiserte stasjonen inn i en Linux-notisbok, hvor den synlig ga tastaturkommandoer for å laste inn ondsinnet kode. Nok en gang trakk demoen applaus fra publikum.
Stjele passord
"Det var et annet eksempel der en USB ekko av en annen enhetstype, " sa Noll, "men dette er bare toppen av isfjellet. For vår neste demo, programmerte vi en USB 3-stasjon til å være en enhetstype som er vanskeligere å oppdage. Se nøye, det er nesten umulig å se."
Jeg kunne faktisk ikke oppdage flimring av nettverksikonet, men etter at USB-stasjonen var koblet til, dukket det opp et nytt nettverk. Noll forklarte at stasjonen nå etterliknet en Ethernet-tilkobling, og omdirigerte datamaskinens DNS-oppslag. Spesifikt, hvis brukeren besøker PayPal-nettstedet, vil de bli usynlig omdirigert til et passord stjele nettsted. Akk, demo-demonene hevdet denne; det fungerte ikke.
Tillit til USB
"La oss diskutere et øyeblikk tilliten vi setter i USB, " sa Noll. "Det er populært fordi det er enkelt å bruke. Å utveksle filer via USB er bedre enn å bruke ukryptert e-post eller skylagring. USB har erobret verden. Vi vet hvordan vi kan skanne en USB-stasjon. Vi stoler på et USB-tastatur enda mer. Denne forskningen bryter ned den tilliten."
"Det er ikke bare situasjonen der noen gir deg en USB, " fortsatte han. "Bare å koble enheten til datamaskinen din kan infisere den. I en siste demonstrasjon bruker vi den enkleste USB-angriperen, en Android-telefon."
"La oss bare koble denne standard Android-telefonen til datamaskinen, " sa Lell, "og se hva som skjer. Åh, plutselig er det en ekstra nettverksenhet. La oss gå til PayPal og logge på. Det er ingen feilmelding, ingenting. Men vi fanget brukernavnet og passordet! " Denne gangen var applausen tordenvær.
"Vil du oppdage at Android-telefonen ble til en Ethernet-enhet?" spurte Noll. "Kontrollerer enheten din eller forhindrer datatap programvare? Etter vår erfaring er det de fleste som ikke gjør det. Og de fleste fokuserer bare på USB-lagring, ikke på andre enhetstyper."
Return of the Boot Sector Infector
"BIOS gjør en annen type USB-oppregning enn operativsystemet, " sa Noll. "Vi kan dra nytte av det med en enhet som emulerer to stasjoner og et tastatur. Operativsystemet vil bare se en stasjon. Den andre vises bare på BIOS, som vil starte fra den hvis den er konfigurert til å gjøre det. Hvis det ikke er, kan vi sende uansett tastetrykk, kanskje F12, for å aktivere oppstart fra enheten."
Noll påpekte at rootkit-koden lastes før operativsystemet, og at den kan infisere andre USB-stasjoner. "Det er den perfekte distribusjonen for et virus, " sa han. "Den kjører allerede på datamaskinen før et antivirusprogram kan lastes. Det er avkastningen til oppstartsektorviruset."
Hva kan bli gjort?
Noll påpekte at det ville være ekstremt vanskelig å fjerne et virus som er bosatt i USB-firmware. Få den ut av USB-flash-stasjonen, den kan gjeninfiseres fra USB-tastaturet. Selv USB-enhetene som er innebygd i PC-en din, kan bli infisert.
"Dessverre er det ingen enkel løsning. Nesten alle ideene våre for beskyttelse vil forstyrre bruken av USB, " sa Noll. "Kunne du hvitliste pålitelige USB-enheter? Vel, du kunne gjort det hvis USB-enheter var unikt identifiserbare, men de er det ikke."
"Du kan blokkere USB helt, men det påvirker brukervennligheten, " fortsatte han. "Du kan blokkere kritiske enhetstyper, men til og med veldig grunnleggende klasser kan misbrukes. Fjern disse og det er ikke mye igjen. Hva med å skanne etter malware? Dessverre, for å lese firmware, må du stole på funksjonene til firmware selv, så en ondsinnet firmware kan ødelegge en legitim."
"I andre situasjoner blokkerer leverandører ondsinnede firmwareoppdateringer ved hjelp av digitale signaturer, " sa Noll. "Men sikker kryptografi er vanskelig å implementere på små kontrollere. I alle fall forblir milliarder av eksisterende enheter sårbare."
"Den ene gjennomførbare ideen vi kom med, var å deaktivere firmwareoppdateringer på fabrikken, " sa Noll. "Det aller siste trinnet, du gjør det slik at firmwaren ikke kan programmeres på nytt. Du kan til og med fikse den i programvare. Brenn en ny firmwareoppgradering som blokkerer alle videre oppdateringer. Vi kunne erobre litt av området til pålitelige USB-enheter."
Noll pakket inn ved å påpeke noen positive bruksområder for kontrollen-modifisering teknikken beskrevet her. "Det er en sak å gjøre for folk som leker med dette, " sa han, "men ikke i pålitelige miljøer." Jeg, for en, vil aldri se på noen USB-enhet slik jeg pleide.
