image

Onderzoekers demonstreren nieuwe USB-aanval op Black Hat conferentie

donderdag 31 juli 2014, 10:17 door Redactie, 13 reacties

Twee onderzoekers zullen volgende week tijdens de Black Hat conferentie in Las Vegas demonstreren hoe USB-sticks een computer volledig kunnen overnemen, door malware die niet op de stick zelf staat, maar in de firmware van het apparaat is verstopt en nauwelijks te detecteren.

Ook zullen onderzoekers Karsten Nohl en Jakob Lell een zichzelf verspreidend USB-virus laten zien. "USB is inmiddels zo gewoon dat we nog nauwelijks stilstaan over de veiligheidsgevolgen. USB-sticks worden af en toe op virussen gescand, maar we beschouwen USB gewoon als veilig, tot nu toe", zo laten de onderzoekers in hun aankondiging over BadUSB weten, zoals de aanval wordt genoemd.

De onderzoekers zijn maanden bezig geweest met het reverse engineeren van de firmware, die wordt gebruikt voor de besturing van de USB-stick. Ze ontdekten dat de firmware geherprogrammeerd kan worden om malware te verbergen. Het probleem is echter niet alleen beperkt tot USB-sticks, ook andere USB-apparaten zoals toestenborden, muizen en smartphones zouden kwetsbaar zijn.

Geen patch

"Deze problemen kunnen niet worden gepatcht", zo laten de onderzoekers tegenover Wired weten. "We maken misbruik van precies de manier hoe USB is ontworpen." Volgens Nohl moeten gebruikers een USB-stick dan ook als besmet beschouwen en weggooien zodra die in een onbetrouwbare computer is geweest. "Je kunt het aan je security-mensen geven, ze scannen het, verwijderen sommige bestanden en geven het terug met de boodschap dat die schoon is", zegt Nohl.

Tenzij de IT'ers de firmware kunnen analyseren blijft de besmetting van de firmware gewoon onopgemerkt. Via een besmet USB-apparaat kunnen allerlei aanvallen op de computer worden uitgevoerd. Zo is het mogelijk om software die wordt geïnstalleerd te vervangen door een versie met een backdoor. Ook kan de malware zich als een USB-toetsenbord voordoen en allerlei commando's uitvoeren, of bijvoorbeeld de DNS-instellingen aanpassen en zo het internetverkeer langs de servers van de aanvaller laten lopen.

Verder kan de malware de pc infecteren zodat allerlei nieuw aangesloten USB-apparaten ook besmet raken. De onderzoekers waarschuwden een Taiwanese fabrikant van USB-apparaten over hun BadUSB-onderzoek, maar het bedrijf ontkende steeds dat de aanval mogelijk was. Nohl zegt tegenover Reuters dat hij niet verrast is als inlichtingendiensten zoals de National Security Agency ook met de aanvalstechniek bekend zijn en weten hoe ze die moeten toepassen.

Oplossing

Het USB Implementers Forum, een nonprofit-onderneming die toeziet op de USB-standaard, adviseert consumenten om alleen USB-apparaten van een betrouwbare bron te gebruiken. Een advies waar ook Nohl zich in kan vinden. De beste oplossing voor de korte termijn is dan ook geen technische patch, maar een fundamentele verandering in de manier waarop USB-apparaten worden gebruikt. "Je moet een USB als besmet beschouwen en weggooien zodra die op een onbetrouwbare computer is geweest. En dat is niet compatibel met de manier hoe we USB-apparaten nu gebruiken", zegt Nohl.

De onderzoekers weten niet niet welke BadUSB-aanval ze tijdens de Black Hat conferentie volgende week zullen vrijgeven. Nohl zou bang zijn dat de kwaadaardige firmware zich snel kan verspreiden. Aan de andere kant moeten gebruikers wel bewust van de risico's worden, aldus de onderzoeker.

Reacties (13)
31-07-2014, 10:27 door Anoniem
"Je kunt het aan je security-mensen geven, ze scannen het, verwijderen sommige bestanden en geven het terug met de boodschap dat die schoon is", zegt Nohl.

Binnenkort kun je bij onze servicedesk je stick, samen met een nieuwe stick, inleveren. De data wordt via http://circl.lu/projects/CIRCLean/ gekopieerd. We kijken nog of we de oude stick kunnen wissen, maar met bovenstaande informatie weet ik niet of ik dat nog wel wil doen.

Peter
31-07-2014, 11:38 door [Account Verwijderd] - Bijgewerkt: 31-07-2014, 11:39
[Verwijderd]
31-07-2014, 11:47 door User2048
De onderzoekers hebben aangetoond dat ze de firmware kunnen aanpassen en allerlei nare dingen kunnen verstoppen. Maar het is natuurlijk ook goed mogelijk dat zulke narigheid al in de fabriek wordt ingebouwd. Dat geldt voor alle (rand)apparatuur. We weten dat een bepaald land graag spiekt bij de concurrentie en dat in dat land veel elektronica wordt geproduceerd.

Nog even en ik grijp weer naar de typemachine...
31-07-2014, 13:50 door Anoniem
nog even en een buitenlandse veiligheidsdienst zorgt dat dit bij de fabrikant al gebeurd zodat ze overal in kunnen en bij kunnen

http://circl.lu/projects/CIRCLean/ dan werkt dit ook niet meer want dan zet je de info dus op een besmette stick zonder dat je het eenvoudig kunt controleren.
31-07-2014, 15:10 door Anoniem
Tja, dit kan ook al jarenlang met DVD-ROMs, videokaarten, BIOS, WiFi routers en NAV-systemen en eigenlijk alles dat een schrijfbare firmware hebben ...
31-07-2014, 15:25 door Anoniem
Door Anoniem: nog even en een buitenlandse veiligheidsdienst zorgt dat dit bij de fabrikant al gebeurd zodat ze overal in kunnen en bij kunnen

Als dergelijke zaken anaf de fabriek er op zowrden gezet, zijn er vele mensen die dat op zullen merken. Die hebben in de gaten dat er vreemde zaken op hun PC gebeuren om dat vervolgens verder uit te zoeken. Kijk naar wat met Sony gebeurde toen ze backdoors installeerden.

Voor USB leveranciers is het nog veel erger, want daar schakel je eenvoudig over naar een andere fabrikant.

Peter
31-07-2014, 16:51 door Eric-Jan H te D
Er is toch wel een hardware oplossing te bedenken waardoor firmware niet zonder een fysieke handeling kan worden geflashed?
31-07-2014, 19:10 door Anoniem
Door Eric-Jan H te A: Er is toch wel een hardware oplossing te bedenken waardoor firmware niet zonder een fysieke handeling kan worden geflashed?

Natuurlijk. Als je een USB controller ontwerpt kun je zo iets toevoegen.

Het wordt al vervelender gebruiken als het flashen van de firmware veel verderop in het productie proces moet gebeuren, misschien zelfs na packaging door de klant van een batch 'blanco' devices.

Het naar buiten brengen van zo'n hardware beveiliging (dip switch ? jumper ? ) wordt al lastig bij de formfactor van usb stickjes , en zeker als die eerst ingegoten worden .
Idem voor allerlei andere USB devices.

Ja, is te bedenken, maar krijg je niet makkelijk 'standaard' beschikbaar.

Iets bedenken waarbij de host computer minder automatisch met USB omgaat is waarschijnlijk wel mogelijk.
De data die een 'besmette' usb stick levert is dan nog steeds onbetrouwbaar maar de computer moet er beter tegen kunnen.
31-07-2014, 19:15 door Anoniem
Tsja, dit is waar ooit NGSCB/TCG voor bedacht was. Het idee dat alle onderdelen van een systeem zich met behulp van in hardware opgeslagen certificaten moeten identificeren.

Mooi bedacht, maar niet verder gekomen dan de TPM-chip, onder andere door big brother en DRM angst (die trouwens ook nog steeds speelt rondom TPM).

Sindsdien hebben FaceBook et al Big Brother ingehaald, dus misschien moeten we toch nog eens kijken naar Trusted Computing... http://en.wikipedia.org/wiki/Trusted_Computing
31-07-2014, 22:29 door Eric-Jan H te D
Door Anoniem:Natuurlijk. Als je een USB controller ontwerpt kun je zo iets toevoegen.
Ik dacht meer aan de hostcontroler kant, maar ik zie het dilemma. Dat voorkomt wel besmetting door dat hostdevice, maar van een willekeurige USB-client ben je nog steeds niet zeker.
01-08-2014, 00:11 door Anoniem
Door Peter V.: Je bedoelt natuurlijk: http://circl.lu/projects/CIRCLean/ (zonder het woord gekopieerd) anders werkt de link niet.

Of misschien bedoelde Anoniem Peter wel:
"De data wordt via http://circl.lu/projects/CIRCLean/ gekopieerd." ;-)
01-08-2014, 07:48 door Anoniem
Weet iemand ook of dit alleen voor USB1 en USB2 geldt? Of ook voor USB3?
01-08-2014, 19:35 door Anoniem
Door Anoniem: Weet iemand ook of dit alleen voor USB1 en USB2 geldt? Of ook voor USB3?

Let op de zin: "Deze problemen kunnen niet worden gepatcht", zo laten de onderzoekers tegenover Wired weten.
"We maken misbruik van precies de manier hoe USB is ontworpen."


Het lijkt er afgaand op deze zin verdraaid veel op dat het voor alle huidige USB-types geldt, aangezien ze systematisch
op dezelfde soort manier werken. De verschillen tussen USB1, 2 & 3 hebben naar mijn weten betrekking op verschillen
in maximale USB-snelheid, en misschien nog wat andere kleinigheden. Maar principes blijven hetzelfde.

Je kunt je ook wel voorstellen dat een USB-device zich zowel in USB1, 2 als 3 kan voordoen als een USB-toetsenbord,
(dit wordt namelijk in het configuratiedeel van de firmware van het USB-device vastgelegd).
Meteen daarna kunnen automatisch vanuit de firmware toetsaanslagen naar de host worden gestuurd die door de host als commando's worden geïnterpreteerd. Net alsof jij van achter een USB-toetsenbord deze commando's intypt. (de host ziet geen verschil, en gelooft alles wat hij op USB ziet binnenkomen, ongeacht of het een USB1, USB2 of USB3-poort is...)

Het lijkt me wel dat het moet opvallen bij de oplettende gebruiker indien een USB-memorystick zich (ook) aanmeldt als
bijv. een "human interface device". Door hier op te letten is het misschien nog te detecteren dat er iets niet klopt.
Mvg, cluc-cluc
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.