Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Twee beveiligingsonderzoekers hebben op GitHub code geplaatst waarmee usb-controllers gemanipuleerd kunnen worden. Met usb-sticks kunnen zo computers veelal ongemerkt aangevallen worden. De onderzoekers zeggen met de publicatie het gevaar van 'badusb' te willen onderstrepen.

In augustus deden Duitse onderzoekers tijdens Black Hat een aanvalsmethode uit de doeken door Windows- en Linux-pc's over te nemen na manipulatie van de firmware die in usb-controllers wordt gebruikt. De code voor de zogeheten 'badusb-hack' werd echter niet openbaar gemaakt omdat de onderzoekers van mening waren dat het gevaar te groot was en bovendien zeer moeilijk te patchen.

De onafhankelijke onderzoekers Adam Caudill en Brandon Wilson waren het met deze terughoudendheid niet eens en hebben op GitHub code geplaatst waarmee veelgebruikte usb-microcontrollers van de Taiwanese firma Phison geherprogrammeerd kunnen worden. Met een gemanipuleerde usb-stick wisten zij onder andere toetsaanslagen te emuleren. De gebruikte aanvalscode zou door het toepassen van verborgen partities en andere trucs vrijwel onzichtbaar zijn voor beveiligingssoftware en hierdoor zeer moeilijk te detecteren.

De twee onderzoekers zeggen de code in hun zogeheten Psychson-project doelbewust te hebben vrijgegeven om het werk aan mogelijke verdedigingen tegen badusb in een stroomversnelling te krijgen. Een eerder voorstel, het whitelisten van usb-apparatuur, zou te veel tijd vergen om effectief te zijn. De twee zouden echter ook bepaalde code niet willen vrijgeven, schrijft Wired, zoals een potentieel zeer gevaarlijke aanvalsmethodiek waarbij usb-sticks die in een pc zijn geplugd ook elkaar zouden kunnen besmetten.

Usb-stick

Moderatie-faq Wijzig weergave

Reacties (46)

Dat kan met veel meer apparaten.
Bijvoorbeeld de Cypress FX2LP chip, die in echt heel erg veel apparaten zit, is relatief makkelijk om te programmeren om compleet andere dingen te doen. Daarmee kun je zelfs de USB-controller zelf rebooten met nieuwe code en nadat 'ie spanningsloos is geweest weer gewoon z'n werk laten doen zodat het vrijwel niet te detecteren is.
Echter bij de doorvoer van bepaalde codes kun je 'm laten triggeren een andere ROM te starten.

Zo zijn er veel meer apparaten die eigenlijk niet te vertrouwen zijn, maar waar we dat toch wel doen.
Denk aan Sprite_TM's geniale hack waarbij 'ie "Linux op een hdd heeft geïnstalleerd". Als je dat doet in special geprepareerde firmware van harde schijven, kun je vrijwel niet detecteerbaar ineens andere code uit gaan voeren.

Het echte probleem zit 'm hier in dat firmware vaak niet afgeschermd is en ook niet gecontroleerd wordt. Door niemand. Dus ook niet om te kijken of er hetzelfde in zit als wat de fabrikant heeft geschreven, maar ook niet om na te gaan _wat_ de fabrikant heeft geschreven.
Zo zijn er veel meer apparaten die eigenlijk niet te vertrouwen zijn, maar waar we dat toch wel doen.
Denk aan Sprite_TM's geniale hack waarbij 'ie "Linux op een hdd heeft geïnstalleerd". Als je dat doet in special geprepareerde firmware van harde schijven, kun je vrijwel niet detecteerbaar ineens andere code uit gaan voeren.
De reden waarom dat soort hacks niet grootschalig worden toegepast, is omdat je custom firmware voor elke vendor opnieuw zal moeten schrijven. In tegenstelling tot een OS wat bij het grootste aandeel van de desktops bijna hetzelfde is en dezelfde API's aan de buitenkant aanbiedt, waardoor je dus op elk systeem hetzelfde 'misbruik' kan maken, moet je voor elke firmware-chip een ander stuk firmware ontwikkelen en testen.

Dat is ook waarom het BadBIOS-virus verder weinig effect had, want het kon maar met een heel beperkte set van doelwitten overweg. Rol je zo'n virus uit op een ander platform, dan zal het ander gedrag vertonen of in het gunstigste geval het systeem crashen.

Een hack als dit is alleen nuttig als je een gericht doelwit hebt, net zoals met Stuxnet.
Nou ja, als je alle PC's zou kunnen aanvallen die een WD harde schijf hebben... Ook als de PC gehacked is is dit vreselijk: je kan alles zero'en (of - zoals experts zouden moeten doen - SECURE ERASE uitvoeren) en de malware blijft lekker op de harde schijf kamperen. Plek zat - als het weer een OS aan treft: "tadah!", daar istie weer.

Merk op dat het aanvallen via een fysieke interface natuurlijk niet mogelijk is op afstand.

[Reactie gewijzigd door owlstead op 4 oktober 2014 13:24]

De manieren hoe ze de code hebben gemanipuleerd wordt duidelijk uitgelegd in een presentatie van de onderzoekers. Erg interessant om te zien hoe een usb stickie van een paar euro zomaar gebruikt kan worden voor andere doeleinden.

Link naar presentatie.

[Reactie gewijzigd door VickyNick op 3 oktober 2014 09:12]

Dit bestaat al veel langer, namelijk de USB Rubber Ducky van Hakshop. Heb die ook thuis liggen en daarmee kun je precies wat hier boven staat beschreven.
Bron: https://hakshop.myshopify.com/ & http://hakshop.myshopify....-deluxe?variant=353378649
Rubber Ducky lijkt me anders: naast een Mass Storage Device een HID device die keystrokes kan sturen. Rubber Ducky maakt gebruik van een standaard functie van USB HID en dus geen hack van de USB stack zelf.

[Reactie gewijzigd door ritsaert op 3 oktober 2014 08:02]

Dat is ook precies wat deze hack doet. Firmware van een storage device aanpassen zodat het ook een hid device wordt en vervolgens staan de deuren van de hemel voor je open..
Dat is ook precies wat deze hack doet. Firmware van een storage device aanpassen zodat het ook een hid device wordt en vervolgens staan de deuren van de hemel voor je open..
Dat kan alleen als zowel de storage-controller van het doelwit áls de USB-controller van de host ook van een kwetsbare chipfabrikant zijn. En dat is redelijk hardware-specifiek.
Punt is dat kwaadaardige software met deze methode usb sticks kan infecteren en aangezien usb sticks nogal veel gebruikt worden voor doorgeven bestanden ook weer andere computers kunnen infecteren door firmware die andere code uitvoert dan je zou willen en verwacht.
Precies, net als vroeger toen virussen veelvuldig via Floppy disks verspreid werden. Deze software verander je usb-stick in een rubberducky als het in aanraking komt met een besmette PC.

Overigens zijn er veel meer security risks dankzij het steeds kleiner en toegankelijker worden van hardware. Hardware USB Keyloggers met ingebouwde wifi worden gewoon verkocht.

https://www.keelog.com/

De noodzaak om meer security te hebben voor input devices wordt dus steeds groter.
Met een gemanipuleerde usb-stick wisten zij onder andere toetsaanslagen te emuleren.
Dit soort "USB sticks" worden al jaren verstrekt als gimmicks door bedrijven aan klanten en andere gegadigden. Deze zien er exact het zelfde uit als een usb stick, maar doen zich in het echt voor als USB toetsendbord waarop wordt getypt. Zo openen deze bv een browser (Windowsbutton + E) waarna een url met reclame/informatie van het betreffende bedrijf wordt geopend dmv het "intypen" van de url en op enter te drukken.

Het bedrijfsleven blijkt dus een keertje de wetenschap voor te zijn, maar dan wel zonder het echt door te hebben ;)
Dit is helemaal niet hetzelfde.
Dat soort usb-sticks doen zich inderdaad slechts voor als usb-keyboard, en moeten dan ook in de pc blijven steken.

De usb-stick in dit artikel doet een firmware-update van je usb-controller, waarna het je usb-controller is die andere code kan uitvoeren (zoals het emuleren van een usb-keyboard)
Vervolgens is echter de stick niet meer nodig, en is het dus haast onmogelijk om te detecteren.
[...]


Dit soort "USB sticks" worden al jaren verstrekt als gimmicks door bedrijven aan klanten en andere gegadigden. Deze zien er exact het zelfde uit als een usb stick, maar doen zich in het echt voor als USB toetsendbord waarop wordt getypt. Zo openen deze bv een browser (Windowsbutton + E) waarna een url met reclame/informatie van het betreffende bedrijf wordt geopend dmv het "intypen" van de url en op enter te drukken.

Het bedrijfsleven blijkt dus een keertje de wetenschap voor te zijn, maar dan wel zonder het echt door te hebben ;)
De USB stick gedraagt zich niet als een toetsenbord. Op dat soort USB sticks staat vaak gewoon een extra partitie met daarop een autostart scriptje die dit doet. Afgelopen kerst heb ik ook nog een usb kerstmannetje in mijn kerstpakket gehad wat dit deed.
Dan mag jij eens uitleggen waarom zo'n stick waar Electrowolf het over heeft in je apparaatbeheer als een HID device staat...
Hetgeen jij zegt zal ook wel bestaan, maar de als memory stick uitziende HID devices die gewoon een URL openen bestaan ook weldegelijk.
Werkte alleen op Windows en niet op Linux ;) en ja we hadden het getest. Wat er in het artikel staat werkt (helaas) ook op Linux en is toch iets meer barebone.
Windows + E werkt indd alleen opwindows, maar als je ze iets slimmer maakt dan lijkt het me dat andere OS'en zal gaan werken. Toetsenborden doen het, voor zo ver ik weet, altijd direct ;).
Stuxnet verspreidde zich toch ook op deze manier?
Stuxnet is verspreid met een USB stick maar maakte gebruik van een lek in shortcuts, printer sharing en twee privilege escalation vulnerabilities.
http://spectrum.ieee.org/...the-real-story-of-stuxnet
Laten we anders mensen gaan besmetten met ebola zodat er harder gewerkt gaat worden aan een genezingsmiddel 8)7

Wat een idioten. In plaats van een constructieve bijdrage te leveren door zelf aan een fix te werken publiceren ze alleen code die potentieel voor een heel groot probleem kan zorgen, zodat nu ook de scriptkiddies ermee aan de slag kunnen.
[...] Wat een idioten. In plaats van een constructieve bijdrage te leveren door zelf aan een fix te werken publiceren ze alleen code die potentieel voor een heel groot probleem kan zorgen, zodat nu ook de scriptkiddies ermee aan de slag kunnen.
Ik ben het ook niet eens met het vrijgeven van dergelijke proof-of-concept code.
Maar aan de andere kant hebben ze wel een punt, dat het eigenlijk nog steeds diep triest is hoe slecht er wordt omgesprongen met beveiliging, of eigenlijk hoe diep dingen in een systeem kunnen ingrijpen die er eigenlijk niets te zoeken hebben.
Neem het concept van een PCI-kaart. Vroeger (zeg tot een jaar of 3 geleden), kon je met een PCI-kaart eigenlijk het hele werkgeheugen van een PCI inspecteren.
Men neme een simpele TV-kaart met een BT878 of BT848 chip (productie vanaf '94 meen ik) en je kunt de PCI controller die daar op zit vrij simpel van nieuwe firmware voorzien om net even wat meer te doen dan via DMA data weg te schrijven in een buffertje in 't geheugen of op de videokaart. Zo zijn er veel meer kaarten die vermomd als een driver update, of soms zelfs dat niet eens, een heel systeem kunnen sniffen.

Met PCI-express, meer dan 4 GB geheugen, 64-bit OS en verlies van native-PCI, is dat met die BT878 chip niet meer mogelijk. Maar dergelijke gaten zullen in talloze andere gangbare chips nog steeds aanwezig zijn. Kennelijk ook in de USB-hostcontrollers.
Sprite_TM heeft in elk geval aangetoond dat het bij harde schijven ook al treurig gesteld is. (blijf het herhalen, omdat het zo'n geniale hack is ;) )
Neem dan firewire .. ook een device wat DMA'en mag .. maar dan hotpluggable en wat makkelijker vanaf de buitenzijde toegankelijk .. wordt niet voor niets gebruikt als "debug port".

Maar het komt er op neer dat bij het ontwerpen van de gemiddelde bus, er geen of onvoldoende rekening is gehouden met randapparatuur die zich moetwillig niet zo gedraagd als zou moeten / verwacht. DMA is een mooie goedkope oplossing geweest om een aantal performance bottlenecks te omzeilen. Maar we betalen daar nog steeds wel de prijs voor.

Wat dat betreft is het hele PC platform een constante stroom aan (hardware)hacks .. waarbij het semi backwards compatible blijft .. dus alle zooi uit het verleden ook tot in lengte van jaren blijft bestaan.
Pci is niet de enige. FireWire heeft/had het probleem ook. Hoef je niet eens in de computer te zijn
Nou je vergelijking is verkeerd, want ebola "is" er al.
Als je het zou willen vergelijken moet je zeggen dat een paar onderzoekers zeggen dat er een een ziekte is, maar niemand heeft er nog iets van gezien. Dan moet je het natuurlijk wel kunnen bewijzen.

Ik denk dat deze publicatie (iig gedeeltelijk) om dezelfde reden wordt gedaan. Ze kunnen wel leuk beweren dat het lek er is, maar pas als het "gevaarlijk" wordt zullen fabrikanten getriggert worden om een oplossing te zoeken.

Het niet publiceren van de methode om usb sticks elkaar te laten besmetten is daarin imo ook wel een goede stap.


Zelf een usb stick kunnen prepareren is lang niet zo gevaarlijk als een systeem dat zichzelf uitbreid natuurlijk
Denk je oprecht dat dit de eersten zijn die een dergelijke exploit geschreven hebben? Alleen maar omdat het nog niet 'in het wild' gespot is wil niet zeggen dat het niet bestaat. Zeker met de resources van de NSA lijkt het me nogal stug dat deze twee heren de NSA voor zijn.
Dat beweer ik nergens.

Maar nu is het ineens iets waar veel mensen aan kunnen komen. Dan wordt het wel gevaarlijker voor hard- en software bouwers.

Zij maken gewoon dezelfde afweging als bijvoorbeeld een autofabrikant. Als het niet ernstig genoeg is is het te duur om snel te fixen.
Nou bij deze, het IS nu ernstig genoeg....
Klopt, en dat is denk ik ook (mede) reden geweest van deze publicatie
Laten we anders mensen gaan besmetten met ebola zodat er harder gewerkt gaat worden aan een genezingsmiddel 8)7

Wat een idioten. In plaats van een constructieve bijdrage te leveren door zelf aan een fix te werken publiceren ze alleen code die potentieel voor een heel groot probleem kan zorgen, zodat nu ook de scriptkiddies ermee aan de slag kunnen.
Technisch heb je wel gelijk, alleen de rijken kunnen er vooralsnog van profiteren
( onderzoekers uit de westerse landen die teruggehaald worden ... en medicatie toegediend krijgen )
Maar dat is een héél ander vraagstuk, dat heeft echt met productie en geld te maken.
Ik snap het niet helemaal, wellicht kan iemand mij overtuigen.

Waarom is het 'goed' om deze code vrij te geven, ipv het al erg genoeg gemaakt te hebben door het lek überhaupt naar buiten te brengen..... Immers kun je er toch vanuit gaan, ondanks dat er nu misschien sneller een patch ofzo komt, dat het gat ook 100% gegarandeerd over 2-3 werken aktief misbruikt wordt...??

Why |:(

Statistisch ga je er toch gegarandeerd op achteruit? Ondanks de (twijfelachtige) kleine tijd winst die je haalt voor een patch?

[Reactie gewijzigd door 513559 op 2 oktober 2014 23:56]

De onderzoekers gaan ervan uit dat het gat nu al wordt misbruikt, bv door de NSA. Zij hopen dat het gat na deze publicatie sneller wordt gedicht, omdat er meer druk komt op de leveranciers.
De onderzoekers gaan ervan uit dat het gat nu al wordt misbruikt, bv door de NSA. Zij hopen dat het gat na deze publicatie sneller wordt gedicht, omdat er meer druk komt op de leveranciers.
Maar er is heel veel apparatuur die nooit gepatched zal worden. Ik heb liever dat alleen de NSA bij iets kan dan NSA en elke 14 jarige puber zoals nu het geval.
Nou precies, dat is mijn punt dus ook.

Veel apparaten kunnen niet gepatched worden, dus het wordt alleen maar erger zo
Ook begrijpelijk. En dat heeft dus te maken met wie of wat je als grootste bedreiging beschouwt:

Criminelen die vooral zoeken naar gemakkelijk geld, gekken die het voorzien hebben op kinderen of terroristen die de ongelijke machtsverdeling in de wereld willen aanpassen?

Of een overheid die al heel veel macht heeft (Amerika, Rusland, China), niet alleen op IT gebied maar ook bv wapens? En die macht waar mogelijk verder wil uitbreiden, de wapenwedloop ook op informatiegebied.

Het is een lastig dilemma. Wie vertrouw je? En is dat vertrouwen grenzeloos, ook als je constateert dat een overheidsinstantie zich onttrekt aan democratische controle en wetgeving?
Sympathiek van deze onderzoekers. Alvast voorbeelden online zetten zodat de eerste malware er straks al is terwijl de oplossing nog getest moet worden. Dat is tenslotte een stap die malware wat minder streng hoeft te doen. So what dat de eerste versie een paar systemen en of USB apparaten beschadigd?
Tja, het lijkt erop dat de truc al bekend was, en als deze heren het kunnen, kan een smeerlap het ook, en er daarna een virus van maken. Nu is iedereen weer even ver, en misschien pusht dit fabrikanten om een oplossing te bedenken in plaats van hun kop in het zand te steken. Het probleem is nu gedetailleerd bekend, dus het is niet meer alleen maar een potentiele aanval, wat het tot vorige week eigenlijk wel was.
Ik hoorde deze berichten al een maand geleden op BNR, De verdere berichtgeving in dat programma was niet uitermate hoog intelligent ( bespreken van website's en gevaar van Bitcoin ) dus ook zij zullen het geheel 'ergens' opgepikt hebben.

De onderzoekers zullen het vast hebben aangeboden op de juiste plekken, maar uiteindelijk heeft het lang genoeg geduurd, en is deze "chantage" wel de manier om ook sneller een oplossing te (laten) vinden.
Ja, een maand of twee geleden is het inderdaad op BlackHat uit de doeken gedaan. Dit nieuws gaat er echter over dat er nu ook een voorbeeld online is gezet over hoe je dat kan doen.
Dus waarschijnlijk omdat er ondertussen in de ogen van de ontwikkelaars teveel tijd tussen zou zitten.
Het enige waar ik aan moet denken is de zak aan USB-sticks die van menig een heb gehad, als promotiemateriaal, les of gewoon gekocht. Wat nu als een van die sticks ook besmet is?

Wat is de fix? Alle sticks weggooien en USB bannen?

Is het eigenlijk geen natte droom van een ICT-beheerder om een aanleiding te hebben om USB-sticks te bannen? Onveilig, dus het komt er niet in. |:(

Gaan we dan allemaal over op de "oh zo veilige" cloud.....O-)
Oh wacht even; die hebben ook baat bij een dergelijke posting...

- paranoia mode uit - 8)7
Je moet sowieso USB-sticks bannen als ICT-beheerder. Gewoon een centrale interne cloud/share om bestanden te delen.

Die kan ook worden gebackupped en beveiligd.
Een ICT beheerder die dat doet zou verbannen moeten worden. Het is typisch gedrag van beheerders die de baas willen spelen en geen rekening houden met wat gebruikers graag willen.
Met een dergelijke houding lok je "computer terrorisme" uit, wat, als je ook wat simmere gebruikers hebt, niet zo slim is.
De juiste houding is er 1 van elkaar serieus nemen en verantwoordelijkheid gunnen. Een slimme beheerder weet dat de zwakste schakel in de beveiliging de individuele medewerkers zijn. Het informeren en motiveren van die groep zou dan ook prioriteit nummer 1 moeten zijn, i.p.v. stompzinnig verbieden van zaken.
Is er ook geen manier om te zien of je pc überhaupt besmet is?
Zoals ik het begrijp wordt dit gedaan doormiddel van een RAT(remote administrative tool).
Deze kan je meest lastig verwijderen van je systeem en kunnen meestal niet gevonden worden.

Of in ieder geval ik dacht dat het zo zat naar eigen begrijpen(ben er geen expert op)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True