Most tényleg nem szabad felvenni és használni a gyanús USB flash meghajtókat, amiket találsz. Még akkor is, ha biztosította, hogy mentes a rosszindulatú szoftverektől, rosszindulatú lehet firmware.
Ez minden a firmware-ben
Ezek az USB-eszközök - és más összetevők a számítógépén - futtatják a "firmware" néven ismert szoftvert. Alapvetően, amikor egy eszközt csatlakoztat a számítógéphez, az eszközön található firmware az, ami lehetővé teszi az eszköz tényleges működését. Például egy tipikus USB flash meghajtó firmware-je kezeli a fájlok átvitelét oda-vissza. Az USB-billentyűzet firmware-e átalakítja a billentyűzeten található fizikai gombnyomásokat a számítógéphez az USB-kapcsolaton keresztül küldött digitális gombnyomásra.
Ez a firmware maga nem egy normál szoftver, amelyhez a számítógép hozzáférhet. Ez a kód maga futtatja az eszközt, és nincs valódi mód arra, hogy ellenőrizze és ellenőrizze, hogy az USB-eszköz firmware-e biztonságos.
Milyen rosszindulatú firmware tehet
Ennek a problémának a kulcsa az a tervezési cél, hogy az USB eszközök sok különböző dolgot tudjanak megtenni. Például az USB flash meghajtó rosszindulatú firmware-ként használható USB-billentyűzetként. Amikor csatlakoztatod a számítógépedhez, billentyűzet-sajtó műveleteket küldhet a számítógépnek, mintha a számítógépen ülők valahonnan beírnák a kulcsokat. A billentyűparancsoknak köszönhetően például egy billentyűzetként működő rosszindulatú firmware - például - megnyithatja a parancssori ablakot, letöltheti a programot egy távoli kiszolgálóról, futtathatja azt és elfogadhat egy UAC-parancsot.
Sneakily, az USB flash meghajtó úgy tűnik, hogy normálisan működik, de a firmware módosíthatja a fájlokat, amikor elhagyják az eszközt, és fertőzik meg őket. A csatlakoztatott eszköz USB Ethernet adapterként működhet és útvonalakon keresztül irányíthatja a rosszindulatú szervereket. A telefon vagy bármely USB-eszköz saját internetkapcsolattal rendelkezik, amely ezt a kapcsolatot használhatja a számítógépről történő továbbításhoz.
Fontos megjegyezni, hogy az USB eszközök több profillal is rendelkezhetnek velük. Az USB flash meghajtó azt állíthatja, hogy egy flash meghajtó, egy billentyűzet és egy USB Ethernet hálózati adapter, amikor behelyezi azt. Normál flash meghajtóként működhet, miközben fenntartja a jogot arra, hogy más dolgokat hajtson végre.
Ez csak egy alapvető kérdés az USB-nál. Lehetővé teszi olyan rosszindulatú eszközök létrehozását, amelyek csak egyféle eszközként követhetők el, de más típusú eszközök is.
A számítógépek fertőzhetik meg az USB eszköz firmware-jét
Ez eléggé rémisztő eddig, de nem teljesen. Igen, valaki létrehozhat egy módosított eszközt rosszindulatú firmware-del, de valószínűleg nem fog találkozni ezekkel. Milyen esélyeket kapsz egy speciálisan kialakított rosszindulatú USB eszköz átadására?
A "BadUSB" koncepciójú rosszindulatú szoftverek egy új, ijesztőbb szintre teszik ezt. Az SR Labs kutatói két hónapig fordították vissza az alapvető USB firmware-kódot számos eszközön, és megállapították, hogy ténylegesen újraprogramozható és módosítható. Más szóval, egy fertőzött számítógép átprogramozhatja a csatlakoztatott USB eszköz firmware-jét, és az USB eszközt rosszindulatú eszközré változtathatja. Ez az eszköz megfertőzheti azokat a számítógépeket, amelyekhez csatlakozott, és az eszköz átterjedhetett a számítógépről az USB-eszközre a számítógépre az USB-eszközre, és újra és újra.
Ez történt a múltban olyan USB-meghajtókkal, amelyek rosszindulatú programokat tartalmaznak, amelyek a Windows AutoPlay funkciójától függően automatikusan futtatják a rosszindulatú programokat azokon a számítógépeken, amelyekhez csatlakoztak. De most a vírusvédelmi segédprogramok nem ismerik fel vagy blokkolják ezt az új típusú fertőzést, amely az eszközről eszközre terjedhet.
Ez potenciálisan kombinálható a "gyümölcsleves" támadásokkal, hogy megfertőzzön egy eszközt, mivel USB-ről töltődik be egy rosszindulatú USB-portról.
A jó hír az, hogy ez csak az USB-eszközök körülbelül 50% -ával lehetséges 2014 végétől. A rossz hír az, hogy nem tudja megmondani, hogy mely eszközök sérülékenyek, és amelyek nem nyitottak meg, és nem vizsgálják meg a belső áramkört. A gyártók remélhetőleg biztonságosabbá teszik az USB-eszközöket, hogy megóvják a firmware-jüket a jövőben történő módosításától. Időközben azonban a vadon élő nagy mennyiségű USB-eszköz sebezhetővé válik az újraprogramozás során.
Ez valódi probléma?
Mindazonáltal ez a probléma valószínűleg nem olyan, amire hamarosan bejuthatsz. Napi értelemben valószínűleg nem kell többé gyanakodni a barátod Xbox vezérlőjét vagy más közös eszközeit. Ez azonban az USB-n belül egy maghiba, amelyet rögzíteni kell.
Hogyan védheti meg magát
Óvatosan kell eljárnia gyanús eszközök kezelésénél. A Windows AutoPlay malware napjaiban alkalmanként meghallgattuk a vállalati parkolóban maradt USB flash meghajtókat. A remény az volt, hogy egy alkalmazott felvette a flash meghajtót, és bedolgozta a vállalati számítógépbe, majd a meghajtó rosszindulatú programjai automatikusan futnak, és megfertőzik a számítógépet. Voltak olyan kampányok, amelyek felhívták a figyelmet erre, ösztönözve az embereket, hogy ne vegyenek fel USB-eszközöket a parkolóból, és csatlakoztassák őket a számítógépeikhez.
Ha az automatikus lejátszás alapértelmezés szerint le van tiltva, hajlamosak vagyunk úgy gondolni, hogy a probléma megoldódott. De ezek az USB firmware problémák azt mutatják, gyanús eszközök továbbra is veszélyesek lehetnek. Ne vegye fel az USB eszközöket a parkolóból vagy az utcáról, és dugja be azokat.
Mennyit kell aggódnia, attól függ, hogy ki vagy és mit csinálsz, persze. A kritikus üzleti titkok vagy pénzügyi adatokkal rendelkező vállalatok esetleg különös figyelmet szentelnek annak, hogy az USB eszközök miként csatlakozhatnak a számítógépekhez, és megakadályozzák a fertőzések terjedését.
Bár ez a probléma eddig csak a koncepció-támadásokban mutatkozott meg, hatalmas, alapvető biztonsági hibát tár fel a mindennapokban használt eszközökben. Valamit szem előtt kell tartani, és - ideális esetben - valamit, amit megoldani kell, hogy javítsa az USB biztonságát.
