BadUSB malware

Læste godt om det for nylig. En meget finurlig måde at injecte malware på. Tror dog ikke det i praksis bliver noget større problem.

Om det lige er omtalte "brist", der er anvendt, ved jeg ikke men -

https://www.yahoo.com/tech/e-cigarette-from-china-infected-mans-compute…



os

BadUSB er en MEGET stor storm i et ufatteligt lille glas vand. Alle der har indsigt i elektronik ved jo at firmware er uhyre specifikt for den enkelte model og enda kan variere revisionerne i mellem. Selvom der nok er lavet noget prove of concept-kode der kan angribe en hel særlig revisionb så er det meget meget tvivlsomt om dette kode vil kunne gøre noget som heælst på samme enhed i næste eller enda forrige revision og der bliver altså brugt MANGE fgorskellige USB-controllere derude hvoraf en stor del har maskeprogrammeret rom. Hvis dette her overhovedt skal kunne batte noget skal den angribende enhed have noget der ligner 10 gb rom med alle slags firmwares i og alligevel vil chancen for at ramme forkert være meget høj. Firmwares er ikke en one-size-fits-all ligesom de gamle boot-loadere var. Det er ufatteligft hardwarespecifikt og vil med al sansynlighed ramme ved siden af. Vi er ude i om det ikke er nemmere, billigere og mere praktisk anvendelig atstille sig nede i det største kryds i byen og uddele gratis inficerede USB-nøgler til gud og hver mand og så håbe at idioten helt frivilligt kører den fine lille my-fancy-virus.exe som noget af det første INDEN antivirusprogrammet får nys om den og får den slettet. Og glemte jeg at sige at det er windows-only, skal Linux-folket med så skal der lægges NOGET mere arbejde i og brugerne skal være NOGET dummere.



Så nej - jeg tror ikke på den som trussel. Vi er nok ude i nogle spekulationer som ikke holder vand i praksis.

#3: Så nej - jeg tror ikke på den som trussel. Vi er nok ude i nogle spekulationer som ikke holder vand i praksis.



Det skal du ikke være så sikker på, for ikke al hardware er egnet til f.eks. NemID. Indtil videre indskrænker det potentielle målgrupper for hardware.



https://www.nemid.nu/dk-da/privat/nemid_paa_hardware/koeb_egnet_hardwar…



Jeg ved ikke om det kan betyde noget, om man stikker en eller anden elektronisk smøg ind i røven på computeren, men man skal ikke undervurdere cyber criminals.

Fik i set

http://www.dr.dk/tv/se/so-ein-ding/so-ein-ding-fremtidens-privatliv#!/

Også med et par USB-dimser.



os

#4: Det skal du ikke være så sikker på, for ikke al hardware er egnet til f.eks. NemID. Indtil videre indskrænker det potentielle målgrupper for hardware.



Øøøøøhh?????????



Det dér har da intet med controlleren på bundkortet at gøre. Den hardware de snakker om ifbm NemID er den dims der skal sættes i USB-porten og som dybest set bare kommunikerer gennem noget serielt-interface-halløj. Mellem controlleren og USB-dimsen er der absolut intet hokus pokus. men USB-dimsen er så af en speciel type der åbenbart kun kan bruges med NemID. Det har dog intet med Controlleren på bundkortet at gøre, den er rimelig ligeglad. Den gør blot sit arbejde så mon ikke du får blandet tingene sammen her. Læs Hardware som USB-dims af bestemt beskaffenhed med speciel firmware til at kommunikere kryptiske data frem og tilbage med Nets gennem en Java-applet via simpel seriel kommunikation. Her flytter vi bare krypteringen af nøgler fra CPUen på bundkortet til et stykke specificeret elektronik forbundet via USB.

#6



Det giver ikke altid mening at tale software med hardware folk. Vi tænker ikke på samme måde. Et er teori og noget andet er praksis. Og gør mig iøvrigt den tjeneste, at droppe din nedladende ØØØØHHH ...



USB er ikke en sikker teknologi. Der er tale om at malware fra en USB potentielt er i stand til at downloade ny malware til systemet. Hvad det kan få af betydning for sikkerheden kan jeg ikke overskue. Ingen kan.



Læs og forstå allerede leverede links, ikke mindst So Ein Ding fra #5.

#7: Og gør mig iøvrigt den tjeneste, at droppe din nedladende ØØØØHHH ...



Det var ikke ment nedladende, jeg spørger bare i øst og du svarer i vest hvilket jeg ikke forstår.



Jeg snakker om firmwaren på USB-controlleren på bundkokrtet (alt fysisk på bundkortet benævnes normalvis som hardware) og så begynder du at snakke om en USB-dongle som du nævner som hardware. Det har absolut intet med hinanden at gøre selvom de begge rigtignok ER hardware. Den USB-ting som NemID bruger omprogramerer ingenlunde hardwaren på bundkortet og derfor ved jeg ikke hvorfor du overhovedet bringer det ind i emnet.



#7: Læs og forstå allerede leverede links, ikke mindst So Ein Ding fra #5.



Ingen af de leverede links beviser noget der har relation til problemer med firmware med derved mulig overtagelse af værten. So ein ding viser jo bare et simpelt man-in-the-middle angreb men det har for så vidt intet med USB-protokollen at gøre og kan i princippet bruges på alle protokoller der ikke er krypteret. Men nu har det jo aldrig været hensigtigten med USB at det skulle sendes gennem luften.



Det er muligt at Windows vil skynde sig at køre alle former for autorun den overhovedet kan finde på en USB-pind (de har vist fået den dumhed patchet for længe siden dog) og at det er det der menes men det er jo et problem med softwaren (windows) og IKKE med firmwaren USB-controlleren. Jeg har endnu tilgode at se et link der angriber andet end styresystemet. Nævnte eksempel med inficeret e-cigaret ville også give meget mere minig hvis vi snakker angreb af styresystemet end angreb af decideret hardware.Det vil være uhyre kompliceret at lave en e-cigaret der ville kunne angribe alle former for controllere og det ville måske enda være umuligt i praksis at ramme alle controllere da langt fra dem alle reelt KAN omprogrammeres. Ligeledes vil man skulle finde en vej ind i styresystemet fra controlleren der ville egne sig til at overtage kontrollen med styresystemet. Hvis vi forestiller os at controlleren bliver overtaget af en hacker, hhvordan skulle vi så kunne komme videre til styresystemet og overtage dette.

Bla bla ... Bare lad være med at Øhh mig.

#9: Bla bla ... Bare lad være med at Øhh mig.



Ny synes jeg faktisk det er dig der er lidt nedladende.

Husk at gå efter bolden, ikke efter manden, Frogmaster.

Tal nu ordentligt til hinanden, tak!

Altså - og undskyld jeg bander, men hva' fanden er det for en måde, at debattere på begge to? I skyder jo med spredehagl efter hinanden, intet konstruktivt i tråden overhovedet.

Det er sikkert bare en misforståelse mellem jer, men skulle i ikke tilbage på sporet, i stedet for, at sidde og skyde efter hinanden til ingen verdens nytte?



Proof of concept malware er spændende og skræmmende, efter min mening, og jeg synes det overordentligt skræmmende, hvad en USB-Nøgle kan bruges til af grimme ting. Jeg tænker lidt på, om det ikke ville være muligt fra systemets side, på en måde at sandboxe/indkapsle softwaren på en USB-nøgle, så kun den data brugeren skal bruge, kan få adgang, og firmwaren adgang via et mindre kritisk sted i systemet, hvor den ikke kan gøre skade? Jeg ved det ikke, jeg forsøger bare at udtænke muligheder for, at undgå infektion, mens det stadigvæk skulle være muligt, at bruge devicen normalt.

#8: Ingen af de leverede links beviser noget der har relation til problemer med firmware med derved mulig overtagelse af værten



Jeg er ikke uddannet i hardware. jeg forstår ikke hardware i detaljen. men jeg kan forstå en delvis overfladisk forklaring som beskrevet af disse forskere i #0. Om det får betydning i fremtiden ved jeg ikke, men information er en forudsætning som altid, ikke mindst for ændring af standarder, i almindelighed hvad man tillader på et netværk eller blot hvordan man bruger f.eks. en USB.



Derfor tror jeg ikke man skal bare skal stikke sin USB dongle ind i hvad som helst. Jævnligt får jeg hardware, inklusiv USB nøgler til revision. Naturligvis mest Windows. Ofte finder jeg malware på nøgler og HDD, ikke BadUSB malware, men alt andet. Det er principielt ikke meget anderledes end ungernes diskette drev i slutningen af 90'erne, hvor de/vi inficerede forældrenes maskiner med disketter fra andre maskiner.



Naturligvis bliver infektioner mere sofistikerede. Der er penge i det. Jeg håber naturligvis at inficeret hardware bliver imødegået før skaderne sker. Derfor er der grund til informationer. IHT sikkerhed, så kan man ikke regne med at politikerne forstår. Man kan modsat regne med at de ikke forstår, hvilket de tydeligt beviser med f.eks. NemID. IT er stadig på et "stenalder" niveau, og politikerne ikke engang med stenalder forståelse.



Nu er NemID så endelig vedtaget til hardware, men det betyder bestemt ikke at "krigen" slutter.



Edit. Info medfører derimod tiltag som dette, udover hvad vi andre kan forholde os til:



http://www.wired.com/2014/10/unpatchable-usb-malware-now-patchsort/

#14



Så får du lige et lynklursus her.



Hardware i sig selv kan IKKE inficeres. Der ligger derimod noget software (hvis rigtige ord faktisk er firmware) og DEN kan måske inficeres. Firmware er som regel skrevet i assembler og er derfor meget lavnivau og er KUN tiltænkt den ene controller den er skrevet til og hvis der er flere revisioner af samme controller måske enda kun til den pågældende revision. Du kan således ikke tage en firmware fra en bestemt revision og installere i en anden revision og så forvbvente at denne vil virke. Hvis du skal inficere en USB-controller så skal du med andre ord vide helt specifikt hvilken controller du går efter samt hvilken revision den forefindes. En stor del af disse controller er maskeprogrammeret fra fabrikken hvilket vil sige at deres firmware så at sige er brændt ind i dem og denne kan ikke ændres uden at controlleren adskilles og derved ødelægges. Hvis du overhovedet skal lykkedes med et angreb så kræver det at du kender den helt eksakte controller der benyttes og har en USB-ting der har ALLE mulige firmwares indbuygget og er i stand til på en eller anden måde at scanne eller analyserer sig frem til den korrekte kombination af type og revision, dette er en praktisk umulighed da der findes et hav af controllere og revisioner af dem plus en del af dem slet ikke kan omprogrammeres.



Hvis det overhovedet skal udvikles til et angreb man overhovedet bør være bange for så er der flere hurtler vi skal henover:



1) Som ovennævnt kræves det at vores USB-ting har en måde hvborpå den kan analysere sig frem til den rigtige kombination. Det er ikke engang sikkert at det er muligt at analysere sig frem til dette umiddelbart så her er vi allerede i problemer.



2) USB-tingen skal hae alle tilgængelige firmwares indbygget og være i stand til at vælge den korrekte.



3) Når det korrekte firmware er fundet omprogrammeres controlleren med den og med i denne. Hvis vi skal nå meget længere end til prove of concept altså hvis der skal være tale om en decideret virus kræver det at denne kan spredes og her løber vi så ind i et andet teknisk problem. De fleste controllere har ganske lidt plads til firmwaren og mange har måske enda kun lige den nødvendige plads. Man kan ikke presse 5-6000 forskellige firmwares ind på så lidt plads så her vil angrebet nok også fejle.Det kan selvfølgelig måske via driveren til controlleren måske lade sig gøre at tage kontrol med værtens styresystem og så lagre alle firmwares på harddisken men her er også et problem. De fleste drivere er kodet meget specifikt til at udføre den ene opgave de er lavet til og det vil med stor sansynelighed ikke kunne lade sig gøre at komme iund ad den vej. Ofte vil styresystemet jo nok også forhindre sådanne angreb.



JSelvfølgelig kan det lade sig gøre hvis controlleren er omprogrammerbar og hvis man kender den eksakte type og revision, slade sig gøre at reprogrammere den til at gøre noget helt andet end tiltænkt men denne form for angreb er meget meget svære at føre ud i livet i praksis så det forskerne fortæller os er bare at de KAN reprogrammere en controller når de kender den eksakte verdsion og hvis denne ellers er omprogrammerbar. Det er ikke noget der har noget at sige i praksis. Det ville være en hel del nemmere at medbringe en kæmpe hammer og så fysisk smadre de computere man kom i nærheden af.



Jeg tror meget mere på inficering af styresystemet da det er meget nemmere atr programmere et eller andet der bliver eksekveret af Windows når USB-nøglen indsættes og så er vi tilbage ved dit eget eksempel, diskettedrevet men her er der også kun tale om inficering af software som jo kan være alævorligt nok hvis det rammer et produktionsmiljø men ikke firmware. Der fandtes dog en virus til amia som var lavet sådan at det fik diskdrevvet til at stå og bevæge læsehovedet frem og tilbage indtil det blev ødelagt eller den lille motor der bevæger det blev ødelagt men det var jo heller ikke på firmwarenivau eftersom det ikke omprogrammerede noget der ikke var ment til ikke at skulle omprogrameres som sådan. Det er jo en legitim handling for et stykke software at bevæge læse/skrivehovedet frem og tilbage når der f.eks. skulle læses et bestemt sted på disken.



Håber du forstår det nu?

#13: Proof of concept malware er spændende og skræmmende, efter min mening, og jeg synes det overordentligt skræmmende, hvad en USB-Nøgle kan bruges til af grimme ting. Jeg tænker lidt på, om det ikke ville være muligt fra systemets side, på en måde at sandboxe/indkapsle softwaren på en USB-nøgle, så kun den data brugeren skal bruge, kan få adgang, og firmwaren adgang via et mindre kritisk sted i systemet, hvor den ikke kan gøre skade? Jeg ved det ikke, jeg forsøger bare at udtænke muligheder for, at undgå infektion, mens det stadigvæk skulle være muligt, at bruge devicen normalt.



Det VIL altid være muligt at omprogrammere en firmware hvis det er minigen fra fabrikkens side at den skal kunne omprogrammeres. Hvis ikke kan du ikke gøre så meget ved det. KOden der snakkes om er netop en Proff of concept som bare viser at det KAN lade sig gøre at reprogrammere en bestemt controller. Ikke noget man i sig selv børe være skræmt over for sådan er de fleste chips jo i dag. Hvis du flasher en forkert software på din router er den også død og måske enda så død at du ikke kan vække den til live igen men forud for dette kræves at du har en helt specifik software der er skrevet netop til DIN revision af DIN controller. De fleste routere kommer f.eks. i flere forskellige revisioner hvor der er markante forskelle på den hardware der siddder inde i routeren. Tager du en V1-software og forsøger at lægge på en V2-router får du ikke lov til dette og du kommer ikke længere. Softwwaren fra V1 vil ikke kunne køre på V2 fordi der er så markante forskelle på hardwaren og firmaet har derfor indsat et chek af om det er den rette firmware der installeres. Hvis dette chek ikke fungerede ville routeren bare være død bagefter. Ikke så meget hokus pokus her men det viswr bare HVOR specifikt softwaren skal være for at ramme den korrekte controller.Hvis jeg gave forskerne et tilfældigt motherboard hvor de ikke kendte revisionen og typen af controller i forvejen og de selvfølgelig ikke fik lov at se hvad der sad på motherboardet af controller, ville de sansynligvis heller ikke lykkes med et sådan angreb.

#15: Håber du forstår det nu?



Det er den basale forståelse. Firmware kender jeg udmærket i forvejen, derfor også problematikkerne IHT BIOS' CMOS kreds, hvorfor EFI er en god ide, i routere, switche osv ... Jeg har opdateret mere firmware end jeg kan huske, både af hensyn til funktionalitet og sikkerhed. Malware i CMOS kredsen inficerer BIOS programmet.



Det fremgår iøvrigt tydeligt allerede i #0. Det er pin pointet IHT firmware.



Det ændrer ikke på de påviste, ganske beviselige fejl der er fundet ved USB devices og deres protokoller og arkitektur. De kaldes hardware infektioner populært, fordi de ikke kræver andet end et hardware interface.



Det er ved at blive populært at installere et OS på en USB dongle. man opdatere sit smart tv enten over internettet eller fra en USB. Stikker dem ind i sin bil, der i forvejen er tilsluttet GPS. Man tilslutter USB til flere og flere devices, og når man så opdager en grundlæggende fejl i arkitekturen, USB såvel som alt andet, så er udbredelsen informationer medvirkende til løsninger.



Det er hvad der er hensigten med tråden. Intet andet ...