Video: Isha Sesay: The fight to end violence against women, female genital mutilation and child marriages (Novembre 2024)
Se non hai disattivato la riproduzione automatica USB sul tuo PC, è possibile che il collegamento di un'unità USB infetta possa installare malware sul tuo sistema. Gli ingegneri le cui centrifughe per la purificazione dell'uranio sono state fatte saltare in aria da Stuxnet lo hanno appreso nel modo più duro. Si scopre, tuttavia, che il malware autoplay non è l'unico modo in cui i dispositivi USB possono essere armati. Alla conferenza di Black Hat 2014, due ricercatori di SRLabs di Berlino hanno rivelato una tecnica per modificare il chip del controller di un dispositivo USB in modo che possa "falsificare vari altri tipi di dispositivo al fine di prendere il controllo di un computer, esfiltrare dati o spiare l'utente ". Sembra un po 'brutto, ma in realtà è davvero terribile.
Vai al lato oscuro
"Siamo un laboratorio di hacking in genere focalizzato sulla sicurezza integrata", ha detto il ricercatore Karsten Noll, parlando in una stanza piena. "Questa è la prima volta che guardiamo alla sicurezza di un computer, con un'angolazione incorporata. Come si può riproporre l'USB in modi dannosi?"
Il rivenditore Jakob Lell è passato subito a una demo. Ha collegato un'unità USB a un computer Windows; si presentò come un disco, proprio come ti aspetteresti. Ma poco dopo, si è ridefinito come una tastiera USB ed ha emesso un comando che ha scaricato un Trojan di accesso remoto. Questo ha suscitato applausi!
"Non parleremo di virus nell'archivio USB", ha detto Noll. "La nostra tecnica funziona con un disco vuoto. Puoi persino riformattarlo. Questa non è una vulnerabilità di Windows che potrebbe essere patchata. Siamo concentrati sulla distribuzione, non sul Trojan."
Controllo del controller
"USB è molto popolare", ha detto Noll. "La maggior parte (se non tutti) i dispositivi USB hanno un chip controller. Non interagisci mai con il chip, né il sistema operativo lo vede. Ma questo controller è ciò che" parla USB "."
Il chip USB identifica il tipo di dispositivo sul computer e può ripetere questo processo in qualsiasi momento. Noll ha sottolineato che esistono validi motivi per presentare un dispositivo come più di uno, come una webcam con un driver per video e un altro per il microfono collegato. E identificare veramente le unità USB è difficile, perché un numero di serie è opzionale e non ha un formato fisso.
Lell ha seguito i passi precisi adottati dal team per riprogrammare il firmware su un tipo specifico di controller USB. In breve, hanno dovuto snoopare il processo di aggiornamento del firmware, decodificare il firmware e quindi creare una versione modificata del firmware contenente il loro codice dannoso. "Non abbiamo rotto tutto sull'USB", ha osservato Noll. "Abbiamo retroingegnerizzato due chip controller molto popolari. Il primo ha richiesto forse due mesi, il secondo un mese."
Self-replica
Per la seconda demo, Lell ha inserito una nuovissima unità USB vuota nel PC infetto della prima demo. Il PC infetto ha riprogrammato il firmware dell'unità USB vuota, replicandosi in tal modo. Oh caro.
Successivamente ha collegato l'unità appena infetta a un notebook Linux, dove ha visibilmente emesso comandi da tastiera per caricare codice dannoso. Ancora una volta, la demo ha suscitato applausi da parte del pubblico.
Rubare le password
"Questo è stato un secondo esempio in cui una USB fa eco a un altro tipo di dispositivo", ha detto Noll, "ma questa è solo la punta dell'iceberg. Per la nostra prossima demo, abbiamo riprogrammato un'unità USB 3 per essere un tipo di dispositivo più difficile da rilevare. Guarda da vicino, è quasi impossibile vederlo."
In effetti, non sono riuscito a rilevare lo sfarfallio dell'icona di rete, ma dopo aver collegato l'unità USB, è comparsa una nuova rete. Noll ha spiegato che l'unità stava emulando una connessione Ethernet, reindirizzando la ricerca DNS del computer. In particolare, se l'utente visita il sito Web PayPal, verrà reindirizzato in modo invisibile a un sito di furto di password. Ahimè, i demoni demo hanno rivendicato questo; non ha funzionato.
Affidati a USB
"Parliamo per un momento della fiducia che riponiamo in USB", ha affermato Noll. "È popolare perché è facile da usare. Scambiare i file tramite USB è meglio che utilizzare la posta elettronica o l'archiviazione cloud non crittografata. USB ha conquistato il mondo. Sappiamo come scansionare virus un'unità USB. Ci fidiamo ancora di più di una tastiera USB. Questa ricerca rompe quella fiducia ".
"Non è solo la situazione in cui qualcuno ti dà una USB", ha continuato. "Il semplice collegamento del dispositivo al computer potrebbe infettarlo. Per un'ultima demo, utilizzeremo l'attaccante USB più semplice, un telefono Android."
"Colleghiamo semplicemente questo telefono Android standard al computer", ha detto Lell, "e vediamo cosa succede. Oh, improvvisamente c'è un dispositivo di rete aggiuntivo. Andiamo su PayPal e accedi. Non c'è nessun messaggio di errore, niente. Ma abbiamo catturato il nome utente e la password! " Questa volta, gli applausi furono fragorosi.
"Rileverai che il telefono Android si è trasformato in un dispositivo Ethernet?" chiese Noll. "Il tuo dispositivo controlla o il software di prevenzione della perdita dei dati lo rileva? Nella nostra esperienza, la maggior parte non lo fa. E la maggior parte si concentra solo sull'archiviazione USB, non su altri tipi di dispositivi."
The Return of the Boot Sector Infector
"Il BIOS esegue un tipo di enumerazione USB diverso rispetto al sistema operativo", ha affermato Noll. "Possiamo trarne vantaggio con un dispositivo che emula due unità e una tastiera. Il sistema operativo vedrà solo un'unità. La seconda verrà visualizzata solo nel BIOS, che si avvierà da essa se configurata per farlo. In caso contrario, possiamo inviare qualunque tasto, forse F12, per consentire l'avvio dal dispositivo."
Noll ha sottolineato che il codice rootkit viene caricato prima del sistema operativo e che può infettare altre unità USB. "È la distribuzione perfetta per un virus", ha detto. "È già in esecuzione sul computer prima che qualsiasi antivirus possa essere caricato. È il ritorno del virus del settore di avvio."
Cosa si può fare?
Noll ha sottolineato che sarebbe estremamente difficile rimuovere un virus che risiede nel firmware USB. Tiralo fuori dall'unità flash USB, potrebbe reinfettare dalla tastiera USB. Anche i dispositivi USB integrati nel tuo PC potrebbero essere infetti.
"Sfortunatamente, non esiste una soluzione semplice. Quasi tutte le nostre idee per la protezione interferirebbero con l'utilità dell'USB", ha affermato Noll. "Potresti inserire nella whitelist i dispositivi USB affidabili? Beh, potresti farlo se i dispositivi USB fossero identificabili in modo univoco, ma non lo sono."
"Potresti bloccare del tutto l'USB, ma ciò influisce sull'usabilità", ha continuato. "È possibile bloccare tipi di dispositivi critici, ma è possibile abusare anche di classi molto elementari. Rimuovere quelli e non è rimasto molto. Che ne dici di cercare malware? Sfortunatamente, per leggere il firmware devi fare affidamento sulle funzioni del firmware stesso, quindi un firmware dannoso potrebbe falsificarne uno legittimo ".
"In altre situazioni, i fornitori bloccano gli aggiornamenti del firmware dannoso utilizzando le firme digitali", ha affermato Noll. "Ma la crittografia sicura è difficile da implementare su controller di piccole dimensioni. In ogni caso, miliardi di dispositivi esistenti rimangono vulnerabili."
"L'unica idea realizzabile è stata quella di disabilitare gli aggiornamenti del firmware in fabbrica", ha affermato Noll. "L'ultimo passo, lo fai in modo che il firmware non possa essere riprogrammato. Potresti persino ripararlo nel software. Masterizza un nuovo aggiornamento del firmware che blocca tutti gli ulteriori aggiornamenti. Potremmo riconquistare un po 'la sfera dei dispositivi USB affidabili ".
Noll ha concluso sottolineando alcuni usi positivi per la tecnica di modifica del controller qui descritta. "C'è un caso da fare per le persone che giocano con questo", ha detto, "ma non in ambienti fidati". Io, per esempio, non guarderò mai nessun dispositivo USB come una volta.