BadUSB: Pouhých osmnáct let stará bezpečnostní slabina
autor: Michal Rybka , publikováno 17.10.2014
BadUSB: Pouhých osmnáct let stará bezpečnostní slabina

Když Karsten Nohl a Jakob Lell ze společnosti SRLabs na konferenci Black Hat 2014 oznámili, že USB obsahuje opravdu masivní bezpečnostní díru, byl to maličko šok. Nejen kvůli potenciálním dalekosáhlým dopadům, ale taky proto, že tato díra je s námi už „since 1996". Ještě dva roky a oslaví krásné kulaté výročí.


Je pravděpodobné, že na novou hrozbu budou výrobci reagovat a nabídnou verze flashdisků, které přepsání firmware nedovolí (a nepochybně si za to přihodí nějakou tu prémiovou kačku navíc). Zatím se ale máme podle expertů na bezpečnost řídit jednoduchými, byť poněkud nepraktickými pravidly:

  • Nepoužívat flashdisky z neznámých zdrojů, jako jsou veletrhy, kámoši, vaši rodiče a tak dále.
  • Nekupovat flashdisky z druhé ruky, bazarů a podobně. Kupovat máme flashdisky nové a to od renomovaných výrobců. Na výhodné čínské flashdisky, které v minulosti prosluly aférami typu „8 GB disk, který se tváří jako 128 GB", zapomeňte úplně.
  • Nedovolit nikomu cizímu používat vaše USB porty, a to ani pro nabíjení. Jedna z demonstrací ostatně zahrnovala telefon s Androidem, který infikoval PC, ke kterému byl připojen. (A já měl lidi, co zalepují USB porty tavnou pistolí za šílence!)
  • V případě nutnosti zakázat používání USB úplně.

Hezké, že ano? Realisté si mohou ťukat na čelo, protože žádný masově rozšířený malware na tomto principu není zatím evidován. Kód je ale už venku na Githubu a je tedy v podstatě jen otázkou času, až se nějaký reálný malware na tomto principu objeví.

BadUSB: Pouhých osmnáct let stará bezpečnostní slabina

Problém s USB je v tom, že představuje nepříjemně účinný „útočný vektor", jak tomu poeticky říkají odborníci na bezpečnost. Malware šířený přes internet musí procházet spoustou filtrů a přístup ze sítě do počítače patří mezi ty nejzabezpečenější. Jenomže jak víte, kde se toulala flashka, kterou vám do počítače zasune váš potomek? Možná byla před dvěma hodinami v počítači kamaráda, který je prolezlý malware od stropu po půdu anebo se účastnila výměnných orgií na školní síti. Chytil jsem jen málo infekcí, ale většina z nich přišla s USB diskem, na který se prostě... nějak dostaly.

Nejstrašidelnější bylo chytit „ranou" infekci, kterou nezadetekovaly antiviry, protože na ni ještě neměly záznam v databázi. A teď si představte, že BadUSB představuje třídu malware, které současné antiviry vůbec nedokážou zachytit. Zatím neexistuje ani účinná obrana, ani spolehlivá detekce.

Jako opatření padly nápady typu USB firewall, ve kterém byste autorizovali (whitelistovali) zařízení, ten ale neřeší malware, který detekuje boot a umí podstrčit škodlivý program jen ve chvíli, kdy žádný USB firewall nepoběží. Navíc jsou sériová čísla u USB zařízení jenom volitelná, takže si často nemůžete whitelistovat jedno konkrétní zařízení (vaši klávesnici), ale jen zařízení jedné série (všechny klávesnice stejného modelu).

Snaha skenovat firmware mikrokontrolérů může být taky zcela marná. Pokud je už mikrokontrolér přeprogramovaný, nemusí být podle lidí ze SRLabs možné na napadení přijít prostě proto, že samotný sken probíhá jako odpovědi mikrokontroléru na žádosti počítače. Hacker tak může hacknutý firmware upravit tak, aby odpovídal stejně jako normální.

Další možnost je zamčení firmware proti přepisu anebo vyžadování digitálního podpisu, jenomže to neřeší problémy s obrovským množstvím stávajících zařízení. A i kdyby se nakrásně všechno zamklo a tím se vyloučila třída USB virů napadajících jiné USB disky, stále zůstane možnost vytvořit speciální „delivery system", tedy zařízení, jehož úkolem je doručit malware do cílového systému.

Instalace malware do cizích systémů pomocí USB je přitom rychlá a efektivní. Podívejte se po kancelářích, po prodejnách, po všech těch elektronických pokladnách všude a zvažte, kolik času potřebujete na zasunutí jedné malé nano USB flešky. Jak moc bude nápadné zasunutí prcka jako je SanDisk Cruzer Fit či Verbnatim Audio Nano? Myslíte si, že nikdo nebude mít zájem podstrčit do firemních sítí malware, který si zaznamená data z kreditek anebo bude vysávat další zajímavá data? To už se stalo a BadUSB dává šanci propašovat podobný náklad do konkurenčních firem nejen nedetekovatelně, ale taky opravdu nenápadně, třeba v podobě myši, klávesnice anebo tiskárny.



 
Komentáře naleznete na konci poslední kapitoly.
191 čtenářů navrhlo autorovi prémii: 91.5Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.