image

ISC: Formatteer alle USB-sticks voor gebruik

dinsdag 22 december 2009, 16:35 door Redactie, 16 reacties

Thuisgebruikers die onder de kerstboom USB-sticks of andere datadragers vinden doen er verstandig aan die voor gebruik te formatteren, wat ook geldt voor bedrijven, zo waarschuwt het Internet Storm Center (ISC). "Het blijft een favoriete truc van pentesters om met malware geïnfecteerde USB-sticks te verspreiden, als low-tech aanvalsvector op organisaties", zegt ISC-handler John Bambenek. Hij verwijst naar een collega die op de USB-stick schreef dat het om foto's van een vrijgezellenfeestje ging, wat voor de mensen die de stick vonden een extra stimulans was.

"Ben je een organisatie en ontvang je USB-sticks, zelfs promotionele rommel, doe dan eerst een low-level format. Koop je een USB-opslagapparaat in de winkel, wipe die dan eerst, helemaal als het die vervelende U3 apparaten zijn." In sommige gevallen is zelfs de firmware besmet of gaat het om apparatuur waarvan je het niet verwacht, zoals fotolijstjes. "Er is geen gratis lunch, maar er is wel zoiets als gratis malware." Bambenek waarschuwt naar aanleiding van onbevestigde berichten dat sommige organisaties en overheidsinstanties "onverwachte" ladingen met USB-sticks hebben ontvangen.

Reacties (16)
22-12-2009, 17:00 door Preddie
Precies ..... je geinfecteerde USB-stick eerst formateren.... en dat doen we als volgt:

Stap 1. eventuele verpakking verwijderen net als het afschermkopje dat zich vaak op de aansluiting van de stick bevindt...

Stap 2. Start uw standaard geinstalleerd Windows machine op.

Stap 3. U verbind de USB-stick met de daarvoor bedoelde aansluiting aan uw machine.

Stap 4. Formaateer nu uw USB-stick

Stap 5. U kunt nu beginnen met het verwijderen van de kwaardaardige programmatuur die uw computer besmet heeft voordat u de USB-stick geformateerd had. Veel suc6 ! ;)


Voor de mensen die van die lastige U3 software op hun stick af willen is een tooltje te download @ de website van Sandisk.
22-12-2009, 17:16 door Anoniem
Ik zou de USB eerder formatteren met een linux live cd, om te voorkomen dat je, je pc alsnog infect als je hem er voor het eerst insteekt. Gebruik je wel windows, dan moet je natuurlijk in ieder geval auto-run uitzetten (maar dat moet je sowieso gewoon doen).
22-12-2009, 17:29 door lievenme
formatteren: via verkenner de USB-stick selecteren, rechtermuisknop, klik op formatteren

voor velen wellicht overbodige info, maar toch....
22-12-2009, 17:30 door lievenme
formatteren: via verkenner de USB-stick selecteren, rechtermuisknop, klik op formatteren

voor velen wellicht overbodige info, maar toch....
22-12-2009, 17:37 door Anoniem
"Ben je een organisatie en ontvang je USB-sticks, zelfs promotionele rommel, doe dan eerst een low-level format. Koop je een USB-opslagapparaat in de winkel, wipe die dan eerst, helemaal als het die vervelende U3 apparaten zijn."

Dit riep de vraag bij me op wat ze met een low-level format van een USB-stick bedoelen. Bij harde schijven is dat het aanbrengen van sectormarkeringen, iets wat je in de jaren '80 nog zelf moest initiëren. Flashgeheugen heeft dat niet nodig. Na wat rondgoogelen heb ik de indruk dat mischien het herschrijven van MBR en partitietabellen bedoeld wordt, maar helemaal zeker van mijn zaak ben ik niet, en dat zou ik MBR overschrijven en herpartitioneren noemen persoonlijk.

Verder vraag ik me af waarom USB-sticks uit een winkel anders behandeld moeten worden dan USB-sticks die een organisatie ontvangt, is er verschil in de manier waarop je ze niet kan vertrouwen?
22-12-2009, 18:45 door Syzygy
Door Predjuh: Precies ..... je geinfecteerde USB-stick eerst formateren.... en dat doen we als volgt:

Stap 1. eventuele verpakking verwijderen net als het afschermkopje dat zich vaak op de aansluiting van de stick bevindt...

Stap 2. Start uw standaard geinstalleerd Windows machine op.

Stap 3. U verbind de USB-stick met de daarvoor bedoelde aansluiting aan uw machine.

Stap 4. Formaateer nu uw USB-stick

Stap 5. U kunt nu beginnen met het verwijderen van de kwaardaardige programmatuur die uw computer besmet heeft voordat u de USB-stick geformateerd had. Veel suc6 ! ;)


Voor de mensen die van die lastige U3 software op hun stick af willen is een tooltje te download @ de website van Sandisk.

Jammer , er stond net een cursus Nederlands op en die loop je nu mis ;-)
22-12-2009, 18:46 door Syzygy
Door lievenme: formatteren: via verkenner de USB-stick selecteren, rechtermuisknop, klik op formatteren

voor velen wellicht overbodige info, maar toch....

de 2x zeker ;-)
22-12-2009, 18:47 door [Account Verwijderd]
[Verwijderd]
22-12-2009, 19:44 door Bitwiper
Verstandiger is om eerst het gratis programma H2testw te draaien (download: http://www.heise.de/software/download/h2testw/50539). H2Testw is geschreven door één van de vaste auteurs in het Duitstalige tijdschrift c't (twee-wekelijks), waar ook een maandelijkse NL vertaling van verschijnt.

Er zijn nogal wat goedkopere USB memorysticks in omloop waarvan de ingebouwde controller aan het besturingssysteem meldt dat er bijv. 2GB beschikbaar is, terwijl er bijv. maar 1GB aan boord is. Resultaat: na enige tijd corrupte bestanden!

Zie bijv. http://www.heise.de/ct/meldung/Datenverluste-durch-manipulierte-USB-Sticks-173028.html en http://www.heise.de/newsticker/meldung/Hama-ruft-manipulierte-USB-Sticks-zurueck-Update-178610.html voor voorbeelden van foute sticks (beide artikelen Duits, sorry ;)

H2testw is om drie redenen handig:
1) het overschrijft al het flashgeheugen, eventuele malware op de stick wordt onherstelbaar (voor gangbare undelete software) gewist
2) je weet na afloop zeker dat de stick daarwerkelijk de "beloofde" capactiteit aan boord heeft
3) eventuele bad blocks worden herkend, zo voorkom je dat je bestanden op een brakke stick zet

Het programma is standaard Duitstalig maar direct na opstarten kun je naar Engels omschakelen.

BELANGRIJK: draai H2Testw NIET op een stick met belangrijke bestanden die je niet ook elders hebt opgeslagen: alles op de stick wordt overschreven! Maar dat geldt natuurlijk ook voor sticks die je formatteert...
22-12-2009, 20:02 door spatieman
grappig.
je steekt een geinfecteerd stick dus in je machine.
autorun wordt gestart.
en dan moet je,je geinfecteerd machine de USB stick formateren.
cool...
22-12-2009, 23:40 door MrBil
Door spatieman: grappig.
je steekt een geinfecteerd stick dus in je machine.
autorun wordt gestart.
en dan moet je,je geinfecteerd machine de USB stick formateren.
cool...
Je kan ook AutoRun uitschakelen.. Maar ik vind het ook een domme uitspraak!
23-12-2009, 07:55 door Anoniem
Volgens mij is het zo dat er tijdje terug een update is geweest dat autorun automatisch uitgeschakeld heeft. Dus dan heb je geen last van de auto run.

Groetjes T
23-12-2009, 08:50 door Anoniem
Formateren/wissen van sticks van onbekende oorsprong oke, maar eigenlijk zouden sticks in de winkel gegarandeerd vrij van troep moeten zijn.

Is dat niet, moet er maar regelgeving komen, dat de fabrikant van de stick opdraait voor de herstelkosten. Hij moet het spul schoon aanleveren en zo verpakken, dat eventuele besmetting alleen kan met direct zichtbare, blijvende schade aan de verpakking. Voor sticks met reclame-opdruk en/of -bestanden geldt, dat de uitdelende partij dit moet doen, maar ook, dat deze ze weer op een duidelijke manier moet verpakken.

Alles wat dan niet verpakt is (of in beschadigde verpakking zit) moet je dan als onbetrouwbaar behandelen. En heb je de mogelijkheid, gebruik dan een pc die bij de minste verdenking meteen volledig gerebuild kan worden. Evt. zelfs inclusief flashen van de bios
23-12-2009, 14:28 door Bitwiper
Door Anoniem: Volgens mij is het zo dat er tijdje terug een update is geweest dat autorun automatisch uitgeschakeld heeft. Dus dan heb je geen last van de auto run.
Nee, in elk geval voor XP-SP2 en XP-SP3 is er, bij mijn weten, nooit een automatische verspreide update geweest die Autorun op FAT/NTFS partities op USB sticks uitzet. Onder XP-SP1 en ouder stond Autorun voor FAT/NTFS partities op removable media uit maar door bugs kon \Autorun.inf daarop onder bepaalde omstandigheden toch worden uitgevoerd.

Uitzetten van Autorun op CDFS partities is extra lastig (een CDFS partitie is te vinden op U3 sticks, maar mogelijkerwijs ook op speciaal geprepareerde sticks. Zie het -uitstekende- AIVD artikel, te vinden via op http://www.security.nl/artikel/31671/1/AIVD_waarschuwt_voor_onveilige_USB-sticks.html).

Om onder XP Autorun op USB sticks uit te zetten moet je nog steeds handwerk verrichten. Je kunt bij het insteken de shift-toets ingedrukt houden (dat werkt NIET onder Vista en waarschijnlijk ook niet onder W7). Veiliger is het draaien van KB971029 (download vanaf http://support.microsoft.com/?scid=kb%3Bnl%3B971029&x=9&y=9, die pagina is zo te zien gisteren nog bijgewerkt).

Let op: ook deze update, KB971029, blokkeert Autorun op CDFS partities niet, ook niet die op (geprepareerde) USB sticks.

Ik heb begin december wat onderzoek naar KB971029 gedaan. Er wordt hierdoor een nieuwe, totaal ongedocumenteerde, register variabele toegevoegd (joepie, hoe maken we de verwarring compleet): IsAutorunForCDROMOnly
(Google levert bij mij nu 2 links op: 1 Chinees o.i.d. en 1 Russisch vermoed ik). Tevens wordt een update van shell32.dll geïnstalleerd (oudere versies van shell32.dll negeren die nieuwe registervariabele, dus alleen die toevoegen heeft geen zin).

Ik zal binnenkort een artikeltje over KB971029 schrijven op deze site. Ongelofelijk hoeveel verwarring Microsoft kan zaaien...
23-12-2009, 16:46 door Anoniem
"Volgens mij is het zo dat er tijdje terug een update is geweest dat autorun automatisch uitgeschakeld heeft. Dus dan heb je geen last van de auto run. "

Tja, als iedereen alle updates had geinstalleerd, dan had de wereld een stuk minder last van malware. Helaas is het zo dat het feit dat deze update beschikbaar is niet betekent dat iedereen deze update ook heeft geinstalleerd. Daarnaast is de update niet voor ieder Windows OS beschikbaar.

"Ik heb begin december wat onderzoek naar KB971029 gedaan. Er wordt hierdoor een nieuwe, totaal ongedocumenteerde, register variabele toegevoegd (joepie, hoe maken we de verwarring compleet): IsAutorunForCDROMOnly"

Dus wanneer mensen cdtjes of dvdtjes met malware verspreiden dan helpt de update niet ? Lekker slim van Microsoft.
23-12-2009, 21:05 door Anoniem
Door Anoniem: Dus wanneer mensen cdtjes of dvdtjes met malware verspreiden dan helpt de update niet ? Lekker slim van Microsoft.

Als ze dat wel hadden gedaan zouden de dames en heren op allerlei helpdesks helemaal gek worden van de telefoontjes van mensen waarvan hun "CD-ROM/DVD speler kapot is" Hele volksstammen zijn het gewend dat als je een cd/dvd in een drive propt dat het installatieprogramma automatisch start. Sommige mensen weten niet eens dat je de installatie ook zelf kunt starten door via de verkenner op setup.exe (oid) te klikken..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.