Před devíti lety jsem vytvořil to, co považuji za prvního USB červa na světě. Tím, že jsem si pohrával s USB flash diskem a vložil na něj skrytý soubor, jsem byl schopen vytvořit jakýkoli počítač, ve kterém byla zasunuta „infikovaná“ USB jednotka, automaticky rozšířit soubor na hostitelský počítač a poté znovu, když nový USB zařízení bylo připojeno.
Fungovalo to v digitálních fotoaparátech a mobilních telefonech. Byl jsem schopen dostat jakékoli zařízení USB - ve skutečnosti jakékoli zařízení s vyměnitelnými médii - ke spuštění mého souboru s červem. Hrál jsem si s tím spoustu legrace.
Oznámil jsem nález svému zaměstnavateli a zúčastněným prodejcům; oni zase požádali o mé ticho po značnou dobu, aby mohli díru zavřít. Plánoval jsem, že svůj nález představím na velké konferenci o národní bezpečnosti, a musel jsem si vybrat mezi zaslouženým hackerským kreditem a veřejnou bezpečností. Šel jsem s tím druhým.
Po pravdě řečeno, nechtěl jsem naštvat tohoto prodejce, protože to byl možný budoucí zákazník nebo zaměstnavatel. Díra byla opravená a veřejnost nebyla o nic moudřejší. O mnoho let později jsem byl překvapen, když jsem viděl velmi podobnou metodu použitou v malwarovém programu Stuxnet.
Ale moje zkušenost mě přiměla, abych nikdy znovu nevěřil připojenému zařízení. Od té doby jsem nikdy nepřipojil zařízení USB nebo vyměnitelnou paměťovou kartu k počítači, který jsem vlastnil a který nepocházel a nezůstal pod mojí kontrolou. Někdy je vhodná paranoia.
BadUSB je nyní ve volné přírodě vážnou hrozbou
To mě přivádí k dnešku. Na GitHubu je nyní zveřejněn zdrojový kód pro BadUSB (nezaměňujte ho s fauxovým malwarovým programem BadBIOS), díky čemuž můj experiment před devíti lety vypadá jako dětská hra. BadUSB je skutečná hrozba, která má vážné důsledky pro vstupní zařízení počítačového hardwaru.
BadUSB zapisuje - nebo přepisuje - kód firmwaru zařízení USB za účelem provádění škodlivých akcí. BadUSB, který byl poprvé oznámen v červenci 2014, objevila dvojice počítačových výzkumníků v laboratořích Security Research Labs v Berlíně, kteří poté předvedli svůj objev na konferenci Black Hat.
Útoku se obáváme, protože všechny tradiční metody kontroly škodlivosti na úložném zařízení USB nefungují. Škodlivý kód je zasazen do firmwaru USB, který se provede, když je zařízení připojeno k hostiteli. Hostitel nemůže zjistit kód firmwaru, ale kód firmwaru může interagovat a upravovat software v hostitelském počítači.
Škodlivý kód firmwaru může šířit další malware, krást informace, odklonit internetový provoz a další - to vše při obcházení antivirových kontrol. Útok byl považován za tak životaschopný a nebezpečný, že vědci využili pouze explozi. S velkou opatrností nevydali kód ověřeného konceptu ani infikovaná zařízení. Ale dva další vědci využili zpětné využití exploitu, vytvořili demonstrační kód a vydali jej světu na GitHubu.
Postavte drama, které se již objevilo na zpravodajských a spotřebitelských technologických stránkách, jako jsou CNN, Atlanta Journal-Constitution, Register a PC Magazine, a zvolal: „Svět bude plný škodlivých zařízení USB!“
Proč využití BadUSB jde daleko za hranice USB
Nejprve je důležité si uvědomit, že hrozba je skutečná. USB firmware umět být upraven tak, aby dělal to, co vědci tvrdí. Hackeři z celého světa pravděpodobně stahují kód proof-of-concept, vyrábějí škodlivá zařízení USB a používají kód proof-of-concept jako spouštěcí bod pro činy, které jsou mnohem škodlivější než zneužití testů výzkumníků.
Zadruhé, problém se neomezuje pouze na zařízení USB. Ve skutečnosti jsou zařízení USB špičkou ledovce. Jakékoli hardwarové zařízení připojené k počítači s komponentou firmwaru může být pravděpodobně škodlivé. Mluvím o zařízeních FireWire, SCSI, pevných discích, zařízeních DMA a dalších.
Aby tato zařízení fungovala, musí být jejich firmware vložen do paměti hostitelského zařízení, kde je poté spuštěn - takže malware může snadno projít touto jízdou. Mohou existovat zařízení s firmwarem, která nelze zneužít, ale nevím důvod, proč ne.
Firmware ze své podstaty není nic jiného než softwarové pokyny uložené na křemíku. Na základní úrovni to není nic jiného než softwarové programování. A firmware je nezbytný, aby umožnilo hardwarovému zařízení mluvit se zařízením hostitelského počítače. Specifikace API zařízení říká programátorům zařízení, jak psát kód, který zajistí správné fungování zařízení, ale tyto specifikace a pokyny nejsou nikdy sestaveny s ohledem na zabezpečení. Ne, byly napsány proto, aby si navzájem povídaly (podobně jako internet).
Povolení škodlivé aktivity nevyžaduje mnoho programovacích pokynů. Většinu úložných zařízení můžete naformátovat nebo počítač „zdědit“ pomocí několika pokynů. Nejmenší počítačový virus, jaký byl kdy napsán, měl velikost pouhých 35 bajtů. Užitečné zatížení v příkladu GitHub proof-of-concept je pouze 14 kB a zahrnuje spoustu kontrol chyb a jemné kódování. Věřte mi, 14K je v dnešním světě malwaru maličký. Vložit a skrýt malware je snadné do jakéhokoli téměř firmwarového řadiče.
Ve skutečnosti existuje velmi dobrá šance, že hackeři a národy již dlouho věděly a používaly tyto firmwarové zadní vrátka. Pozorovatelé NSA o takových zařízeních dlouho spekulovali a tato podezření potvrdili nedávno vydané dokumenty NSA.
Děsivou pravdou je, že hackeři hackovali zařízení s firmwarem a nutili je k neoprávněným akcím, dokud existuje firmware.
BadUSB je největší hrozbou, kterou můžete odstranit ze seznamu paniky
Realita je taková, že byste měli být po dlouhou dobu alespoň nervózní z jakéhokoli firmwarového zařízení připojeného k počítači - USB nebo jinak. Byl jsem takovým způsobem téměř deset let.
Vaše jediná obrana je, že připojíte zařízení s firmwarem od důvěryhodných prodejců a budete je mít pod kontrolou. Jak ale víte, že zařízení, která jste připojili, nebyla masově kompromitována nebo s nimi nebylo manipulováno mezi prodejcem a vašimi počítači? Úniky informací od Edwarda Snowdena naznačují, že NSA zachytila během přepravy počítače za účelem instalace naslouchacích zařízení. Určitě další špioni a hackeři vyzkoušeli stejnou taktiku k infikování komponent v dodavatelském řetězci.
Přesto si můžete odpočinout.
Škodlivý hardware je možný a může být použit v některých omezených scénářích. Je však nepravděpodobné, že by byla rozšířená. Hackování hardwaru není snadné. Je to náročné na zdroje. Pro různé sady čipů se používají různé sady instrukcí. Pak je tu otravný problém přimět zamýšlené oběti, aby přijaly škodlivá zařízení a vložily je do svých počítačů. U velmi hodnotných cílů jsou takové útoky ve stylu „Mission Impossible“ pravděpodobné, ale pro průměrného Joe ne tolik.
Dnešní hackeři (včetně špionážních agentur ve Spojených státech, Velké Británii, Izraeli, Číně, Rusku, Francii, Německu atd.) Mají mnohem větší úspěch s využitím tradičních metod softwarové infekce. Například jako hacker můžete vytvořit a používat supersofistikovaný a supersnadný hypervizorový nástroj Blue Pill nebo jít s běžným každodenním softwarovým trojským programem, který po celá desetiletí fungoval dobře k hackování mnohem většího počtu lidí.
Ale předpokládejme, že se škodlivý firmware nebo zařízení USB začaly objevovat široce? Můžete se vsadit, že by prodejci odpověděli a problém vyřešili. BadUSB dnes nemá žádnou obranu, ale v budoucnu by se jí dalo snadno bránit. Koneckonců, je to prostě software (uložený ve firmwaru) a software jej může porazit. Orgány standardů USB by pravděpodobně aktualizovaly specifikaci, aby zabránily takovým útokům, prodejci mikrokontrolérů by méně zlobili od firmwaru a prodejci operačních systémů by pravděpodobně reagovali ještě dříve.
Například někteří prodejci operačních systémů nyní zabraňují zařízením DMA v přístupu k paměti před úplným spuštěním počítače nebo před přihlášením uživatele, pouze aby zabránily objeveným útokům pocházejícím ze zařízení DMA připojených k síti. Windows 8.1, OS X (prostřednictvím hesel Open Firmware) a Linux mají obranu proti útokům DMA, i když obvykle vyžadují, aby uživatelé tyto obrany povolili. Pokud se BadUSB rozšíří, budou implementovány stejné druhy obrany.
Nebojte se BadUSB, i když se váš hackerský kamarád rozhodne zahrát na vás trik pomocí jeho škodlivě kódovaného USB disku. Líbí se mi - nepoužívejte zařízení USB, která jste nikdy neměli pod kontrolou.
Pamatujte: Pokud se obáváte hackerství, mnohem více se obávejte toho, co běží ve vašem prohlížeči, než toho, co běží z vašeho firmwaru.
