Cześć,
technologie.gazeta.pl szuka kogoś, kto skomentuje info o http://technologie.gazeta.pl/internet/1,104530,16744473,Puszka_Pandory_otwar...
Cytuję maila od dobrej duszy tamże: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Chodzi o wypowiedź eksperta, który bez perorowania opowie co może się potencjalnie stać? Np Allegro Ebay zalewają zainfekowane kamery, aparaty. Producenci korzystajacy z małych podwykonawców nagle przekonują się, że dostali zainfekowane podzespoły. Nagle okazuje się, że na rynku jest masa podróbek - co podrobione to z malwarem. Chodzi o takie realne zagrożenia, plus może komentarz: kto może infekować (np. czy można podpiąć jakieś urządzenie, nagrzebać w firwarze i komuś podsunąć?), czy takie coś jest możliwe tylko na etapie określonych układów? Jakich? kto to może infekować? producent mp3 czy jego dostawca a konkretnie dostawca czego? Jak to wygląda w praktyce? To tylko teoretyzowanie czy to całkiem całkiem realne i w miarę proste
powyższy artykuł powędruje "na jedynkę" tylko z wypowiedzią eksperta, bez niej ginie "na dole" czyli 100x mniej klików.
O ekspercie napiszemy ładnie i wyjaśnimy że haker to haker a łobuz to łobuz - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
To ostatnie jest highly relevant to our comont Internets. Ktoś ma ochotę? Albo może wspólnym trudem wydyskutujmy w niniejszym wątku coś, co będzie cytowalne? ;)
Discuss!
On 10/3/14, rysiek rysiek@hackerspace.pl wrote:
Cytuję maila od dobrej duszy tamże:
kto może infekować (np. czy można podpiąć jakieś urządzenie, nagrzebać w firwarze i komuś podsunąć?)
kazdy majacy pod kontrola komputer/system (wiec takze np drukarke z portem usb na pendrive) do ktorego jest wpiete wrazliwe urzadzenie usb komputer ofiary z odpalonym malware tez moze infekowac wrazliwe urzadzenia usb. *Ciekawe w tym momecie moze byc np wymog uruchomienia laptopa na przejsciach granicznych USA.
czy takie coś jest możliwe tylko na etapie określonych układów?
? dziwnie sformulowane pytanie, pewnie chodzilo o konkretne chipy/uklady scalone? tak - rozpracowanych, tz trzeba pisac oddzielny firmware dla kazdego osobnego kontrolera USB. Jest to jednak o wiele latwiejsze/szybsze niz przygotowanie zainfekowanych wkladow pod bios kazdego modelu plyty glownej/laptopa.
Jakich?
Podatne sa nie tylko urzadzenia przechowywujace dane. Praktycznie 100% laptopow ma wbudowana kamere usb.
Skala problemu? hmmm ~95%? pozostale ~5% to kontrolery bez mozliwosci przeprogramowania (np mostki usb-serial), badz takie bez pamieci nieulotnej wgrywajace firmware z komputera w momencie podlaczenia (np Cypress FX2)
kto to może infekować?
kazdy
producent mp3 czy jego dostawca a konkretnie dostawca czego? Jak to wygląda w praktyce?
nie ma znaczenia, kazdy po drodze moze infekowac od producenta po _celnika na lotnisku_ (wystarczy wpiecie na kilkanascie sekund), urzadzenia NIE MAJA ZADNEGO zabezpieczenia, zadnych handshejkow, zadnych podpisow krypto Przeprogramowanie firmware (jesli mamy juz rozpracowany dany kontroler) jest tak samo proste i szybkie jak zapisanie pliku na pendrive.
Jak to wygląda w praktyce? To tylko teoretyzowanie czy to całkiem całkiem realne i w miarę proste
w praktyce to juz sie dzieje od kilku dobrych lat, z http://www.irongeek.com/i.php?page=security%2Fplug-and-prey-malicious-usb-de...: Mariposa botnet client on the Vodafone (Bustamante, 2010) Malware shipped on Apple Video iPods (SophosLabs, 2006) Digital Photo Frames and Other Gadgets Infected with Malware (Zetter, 2008)
Atak z poziomu firmware to tylko nowy wektor ataku poszerzajacy pule niebezpiecznych urzadzen. Do niedawna byly to tylko pamieci przenosne, obecnie jest to wszystko wpinane w usb, np kamera wbudowana w laptop:
Disabling the MacBook Webcam Indicator LED https://jscholarship.library.jhu.edu/bitstream/handle/1774.2/36569/camera.pd... "reprograms the camera to act as a USB Human Interface Device (HID) keyboard which executes code in the host operating system"
2014-10-04 4:28 GMT+02:00 Rasz citizenr@gmail.com:
On 10/3/14, rysiek rysiek@hackerspace.pl wrote:
Cytuję maila od dobrej duszy tamże:
kto może infekować (np. czy można podpiąć jakieś urządzenie, nagrzebać w firwarze i komuś podsunąć?)
Tak, o ile jest programowalny.
kazdy majacy pod kontrola komputer/system (wiec takze np drukarke z portem usb na pendrive) do ktorego jest wpiete wrazliwe urzadzenie usb komputer ofiary z odpalonym malware tez moze infekowac wrazliwe urzadzenia usb. *Ciekawe w tym momecie moze byc np wymog uruchomienia laptopa na przejsciach granicznych USA.
Uruchomienie laptopa nie robi kłopotu - nie ma wymogu podłączania jakiegokolwiek sprzętu do niego.
czy takie coś jest możliwe tylko na etapie określonych układów?
? dziwnie sformulowane pytanie, pewnie chodzilo o konkretne chipy/uklady scalone? tak - rozpracowanych, tz trzeba pisac oddzielny firmware dla kazdego osobnego kontrolera USB. Jest to jednak o wiele latwiejsze/szybsze niz przygotowanie zainfekowanych wkladow pod bios kazdego modelu plyty glownej/laptopa.
Tak, i trzeba taki specjalny wkład zaprojektować pod konkretny system operacyjny.
Jakich?
Podatne sa nie tylko urzadzenia przechowywujace dane. Praktycznie 100% laptopow ma wbudowana kamere usb.
Prawda. Dlatego IOMMU (VT-d/AMD-Vi) powinny być używane do separacji urządeń. Trochę problematyczne jest niestety uruchomienie wielu urządzeń na jednym hubie USB. Weryfikacja adresów mapowanych DMA w OHCI i XHCI, czyli modyfikacje kontrolerów i/lub ich sterowników. Trzeba także wyłączyć automatyczny Plug'n'Play urządzeń. Niestety, na głupotę użyszkodnika w tym zakresie nie ma rady.
Powinniście się spytać Rutkowskiej, jak z tym walczyć: https://twitter.com/rootkovska/status/497676536775208960 http://theinvisiblethings.blogspot.com/2011/06/usb-security-challenges.html
Urządzenia USB powinny być zmodyfikowane tak, aby przyjmować w normalnych warunkach (np. noga "release" załączona) tylko podpisany firmware.
And more. Sensacjonalizm.
On 10/4/14, Radoslaw Szkodzinski astralstorm@gmail.com wrote:
Uruchomienie laptopa nie robi kłopotu - nie ma wymogu podłączania jakiegokolwiek sprzętu do niego.
wymogu nie ma, ale 'bend over while I pack that laptop for you sir' moze byc
Tak, i trzeba taki specjalny wkład zaprojektować pod konkretny system operacyjny.
tutaj bym polimeryzowal, wystarczy przyczolek zaszyty w biosie dzwoniacy (wbudowana karta sieciowa) do C&C z fingerprintem odpalonego systemu, ala evul Intel AMT
Prawda. Dlatego IOMMU (VT-d/AMD-Vi) powinny być używane do separacji urządeń. Trochę problematyczne jest niestety uruchomienie wielu urządzeń na jednym hubie USB.
no wlasnie, w ten sposob odseparujesz raptem kontroler usb sztuk jeden, a nie urzadzenia na nim wiszace
Trzeba także wyłączyć automatyczny Plug'n'Play urządzeń.
jak juz inni proponowali pare lat temu jakas whitelista powinna wstepnie zalatwic sprawe urzadzen niespodzianek, do tego handshake na dziendobry
Urządzenia USB powinny być zmodyfikowane tak, aby przyjmować w normalnych warunkach (np. noga "release" załączona) tylko podpisany firmware.
Jesli sprawa sie rozkreci to pewnie pojawia sie pacze wycinajace mozliwosc modyfikacji firmware z wykasowana porcja odpowiadajaca na custom komendy scsi (np 06 c6 c7 dla phisona).
Propo Alcor to kolejny ogromnie popularny producent kontrolerow mass storage z dziurawym oprogramowaniem czekajacym tylko na atak http://linuxehacking.blogspot.com/2014/07/alcor-ufd-controller-hacking-updat...
Generalnie mozna to porownac do sprzedawania urzadzen sieciowych ze standardowo sluchajacym telnetem (bez hasla) na prawach roota - jesli znasz port i os to masz pelna kontrole nad urzadzeniem.
-
Radoslaw Szkodzinski -
Rasz -
rysiek