Da bi izvršili pritisak na proizvođače USB uređaja, istraživači objavili kod BadUSB malvera

Vesti, 07.10.2014, 09:15 AM

Kada su pre dva meseca demonstrirali novu i potencijalno veoma opasnu vrstu napada pokrenutog pomoću malvera ubačenog u firmware USB uređaja, istraživači nemačke konsultantske firme SR Labs Karsten Nol i Jakob Lel nisu želeli da podele sa javnošću napadački kod.

“Ne postoji efikasna odbrana od USB napada. Malver skeneri ne mogu da pristupe firmwareu na USB uređajima. USB firewall koji blokira određene uređaje ne postoji, još uvek”, rekli su tada istraživači.

I detekcija ponašanja je takođe ćorsokak, jer kada se maliciozni USB uređaj reprogramira tako da se ponaša kao uređaj druge vrste, sistem za monitoring sistema će samo zabeležiti da je priključen novi USB uređaj.

“Da stvar bude gora, čišćenje nakon incidenta je teško: jednostavno ponovno instaliranje operativnog sistema - standardni odgovor na malvere koji su neiskorenjivi na drugi način - ne rešava BadUSB infekcije u korenu.”

Istraživači kažu da problem može biti rešen a napadi sprečeni samo ako bi proizvođači mikrokontrolera na ovim uređajima ih pravili tako da firmware ne može da se menja neovlašćeno.

Zaštita firmwarea od izmena moguća je na dva načina. Jedan podrazumeva digitalni potpis koji bi potvrđivao da novi firmware koji treba da bude primenjen dolazi iz pouzdanog izvora. Drugi način je zaključavanje uređaja tako da kada uređaj napusti fabriku firmware ne može biti promenjen.

U ovom trenutku samo neki proizvođači primenjuju jedno od ova dva rešenja. Međutim, sa većinom to nije slučaj.

Obični korisnici ne mogu da urade ništa da bi se zaštitili, osim da nikada ne koriste pozajmljene USB uređaje i da nikada ne pozajmljuju svoje.

Istraživači su u ono vreme rekli da su svesni toga da proizvođači nisu u stanju da odmah naprave tako drastičnu promenu, a čak i da jesu, potrebne su godine za rešavanje svih problema koje bi takva promena donela, i to na način koji bi obezbedio adekvatnu bezbednost korisnicima. Iz tih razloga istraživači SR Labsa nisu želeli da objave kod za napad.

Međutim, dvojica nezavisnih istraživača Adam Kadul i Brendon Vilson, se ne slažu sa tim. Oni veruju da je takva vrsta napada verovatno već u arsenalu obaveštajnih agencija.

“Ako su ljudi koji mogu da urade to oni sa značajnim budžetima, proizvođači nikada neće učiniti ništa u vezi sa tim”, rekao je Kadul za Wired. “Morate da pokažete svetu da je to izvodljivo, da svako može to da uradi. To je pritisak na proizvođače da reše stvaran problem.”

I zaista su njih dvojica to uradili. Sledeći isti postupak koji si primenili istraživači iz SR Labsa koji podrazumeva reverzni inženjering firmwarea uređaja i njegovo reprogramiranje tako da na kraju sadrži kod za napad. Na kraju, njih dvojica su uspeli da ponove napad.

Oni su uradili reverzni inženjering firmwarea za mikrokontrolere koje proizvodi kompanija Phison sa Tajvana, koji su integrisani u većini USB uređaja koji se trenutno prodaju u svetu. Zbog njihove popularnosti, funkcionalnost stotina miliona USB uređaja može biti izmenjena.

Istraživači su demonstrirali kako na USB jedinici može biti napravljen skriveni prostor za skladištenje kome može biti pristupljeno na određenu komandu. Skrivena particija nije vidljiva ni kada se koriste namenski alati za analizu, što omogućava napadaču da, na primer, lakše izvuče podatke iz kompanije.

Pošto su svoje istraživanje prezentovali na hakerskoj konferenciji koja je održana prošle nedelje, oni su objavili alate i uputstva za izmenu firmwarea na Github, jer kako su istakli, da bi ovaj problem bio rešen, potrebno je više od govora na hakerskim konferencijama.