Security Professionals - ipfw add deny all from eindgebruikers to any

Security hardware tool bij de Action

07-08-2015, 00:25 door Anoniem, 11 reacties
Bij de Action winkelketen liggen op het moment van schrijven digitale USB volt- en amperemetertjes ter grootte van een USB stick in de schappen voor € 2,50. Onder de naam maxxter USB power meter.

Spanning en stroom van het USB guest device wordt afwisselend in realtime weergegeven op een LED display.

Hiermee kun je dus controleren of een USB device verdacht gedrag vertoond. Lijkt het of een USB stick die gemount is, idle is, maar zie je grote fluctuaties in de stroom, dan kan dat een indicator zijn dat er toch naar het flash geheugen wordt geschreven. Bij een besmette USB stick (firmware) zal een mogelijk indicatie LED namelijk niet oplichten.

Maar ook het stroomverbruik van kleine ARM devices die op een 5v adapter (max 3 A) max 15 watt dus, werken zou je b.v. soortgelijk kunnen onderzoeken. Resolutie van het ding is 1 mA en 10 mV.

Voor een habbekrats een handig tooltje in de tas van elke security minded IT-er leek me...

En o ja, de datalijnen van dit apparaatje zijn op de print direct doorverbonden en lopen niet via een bridge IC.
Reacties (11)
07-08-2015, 07:10 door Anoniem
Door Anoniem: Bij de Action winkelketen liggen op het moment van schrijven digitale USB volt- en amperemetertjes ter grootte van een USB stick in de schappen voor € 2,50. Onder de naam maxxter USB power meter.

Spanning en stroom van het USB guest device wordt afwisselend in realtime weergegeven op een LED display.

Hiermee kun je dus controleren of een USB device verdacht gedrag vertoond. Lijkt het of een USB stick die gemount is, idle is, maar zie je grote fluctuaties in de stroom, dan kan dat een indicator zijn dat er toch naar het flash geheugen wordt geschreven. Bij een besmette USB stick (firmware) zal een mogelijk indicatie LED namelijk niet oplichten.

Maar ook het stroomverbruik van kleine ARM devices die op een 5v adapter (max 3 A) max 15 watt dus, werken zou je b.v. soortgelijk kunnen onderzoeken. Resolutie van het ding is 1 mA en 10 mV.

Voor een habbekrats een handig tooltje in de tas van elke security minded IT-er leek me...

En o ja, de datalijnen van dit apparaatje zijn op de print direct doorverbonden en lopen niet via een bridge IC.

Helaas. Er is altijd sterk wisselende activiteit op data dragers. De pc controleert b.v. met regelmaat de locatie van de software, De virusscanner checkt af en toe. Er gebeuren legio dingen op de dragers waar u normaal geen weet en last van heeft.

Het idee is leuk maar het zou te makkelijk zijn.
07-08-2015, 16:13 door Anoniem
Bedankt voor de tip!
Het is best een handig en voordelig tooltje om je USB power te controleren, maar verder moet je er denk ik niet teveel van verwachten. De meetcyclus van dit tooltje "made in China" duurt haast 0,7 seconde.
Verschillen door korte toegangsbursts i.g.v. flash worden daarom waarschijnlijk bijna weggemiddeld.
Alleen bij langdurige toegang kan je een duidelijk verschil in stroom meten, maar dan weet je niet altijd zeker
of het door een normaal systeemproces kwam of door malware/virus.
Verder kan je 1/3 van de tijd geen stroom meten omdat de spanning in beeld is.

Verder mooi rustig display: 4-cijferige ("7-segments + decimale punt" -type) rode LED-module met cijfers van 9mm hoog, waarvan 3 cijfers voor de meetwaarde, en laatste "cijfer" Volt of Ampere aangeeft.
Voor zijn doel voldoende nauwkeurig. (spanningsafwijking max. 1%, stroomafwijking max. 2%)
Van enkele meters afstand nog prima uit te lezen als er geen fel licht op schijnt.
Meetshunt zo te zien 50 milliohm is lekker laag zodat je niet teveel spanning verliest.
En een niet al te hoog totaalverbruik (voor een device met LED-module) van zo'n 23mA bij 5 Volt.
Wisselt automatisch van spanning naar stroom (ca. 4 1/2 seconden is de spanning (v) in beeld,
daarna ruim 9 seconden lang de stroom(A) in beeld).
Best een geinig dingetje voor die prijs. Zou in sommige probleemsituaties zijn nut kunnen bewijzen
Maar het security nut lijkt me beperkt.

Goeroehoedjes
11-08-2015, 17:50 door Anoniem
Ha kijk, iemand die zelf op onderzoek uit gegaan is; heel goed :)

Dat de tool geen geavanceerde rootkit scanner is, en een geheugenscope met software voor patroonherkenning beter werkt dat ben ik zeker met je eens.

Maar dat het totaal nutteloos is op het gebied van beveiligingsonderzoek, dat weer niet.

Stel je voor; een USB stick (of nog beter, USB HD) is firmware-besmet met spyware welke ervoor zorgt dat de aangegeven disk size kleiner is dan werkelijk, en al die geheime ruimte vol propt met data welke deze van het host device afplukt. In je procesbeheer kun je dat niet zien, met het HD lampje kun je dit niet opmerken en aan je partitietabel kun je ook niets afleiden.

Als er dan megabytes of zelfs gigabytes richting de schijf vliegen dan kun je dat aan het verhoogde stroomverbruik zien, terwijl je I/O monitor bv 0 bytes/sec aangeeft.

Ook een substantieel hoger 'idle' verbruik voor dezelfde schijf met dezelfde firmware, zou verdacht kunnen zijn.

Voor die € 2,50 is dat dan toch weer een goedkoop extratje in de meten-is-weten-diagnostiek.

Ik ben het wel met je eens dat het lastig is dat het device gemeten stroom ook afwisseld met de gemeten spanning. Maar dat kan met een hardware hack misschien opgelost worden... Zenuwcentrum van het ding blijkt een atmell microcontroller. Misschien wil de leverancier de assembler file vrijgeven of zelfs voor ons aanpassen... Dan kan je hem via isp zelf flashen.

Anyway het was goed bedoeld. Iedereen die er zijn (beperkt) voordeel mee kan doen, heeft er iets mee opgeschoten.
12-08-2015, 11:55 door Anoniem
Zenuwcentrum van het ding blijkt een atmell microcontroller.
Is volgens mij geen Atmel maar een "OTP" (dus helaas niet herprogrammeerbaar) van Elan Microelectronics.
(hoewel... met al dat plagiaatgedrag van chinezen weet je het maar nooit;
dus mocht jij weten met welk Atmel type hij overeenkomt, dan hoor ik het graag)

Niet totaal nutteloos, maar zoals ik al zei: "beperkt".
Desalnietemin het reeds gegeven bedankje voor de tip best waard. ;-)

Goeroehoedjes
12-08-2015, 12:56 door Anoniem
Ik moet toegeven dat ik te lui ben geweest om het ding zelf open te slopen en alleen een felle lamp gebruikt heb voor het 'onderzoekje'.

Maar hè, ik had eigenlijk een gaat-niet-bestaat-niet antwoord verwacht op een digitaal plein als security.nl :)

Als dit geen uC is maar een dedicated IC dan helpt misschien de klokgenerator stilleggen. Alleen is het led display gemultiplext, dus dat gaat ook niet werken.

Iemand nog een idee ?

Anders maar gewoon als normale diagnostisch tooltje gebruiken... :|
13-08-2015, 12:16 door Anoniem
Anders maar gewoon als normale diagnostisch tooltje gebruiken... :|
Vrees dat er niets anders op zit...
Of nabouwen in een zelfbouw project waarbij je zelf een geschikte microcontroller kiest?

Tip:
je kan er extra powerdraden aan solderen met passende powerconnectoren zodat je ook je interne harde schijf kan monitoren.

Goeroehoedjes
13-08-2015, 14:28 door Anoniem
Ja dat kan inderdaad, maar dan heeft het niet veel zin om het hier te posten zodat iedereen er een kan kopen en iedereen er wat aan heeft...

Maar toch, het concept is niet verkeerd; mallware detecteren met power signatures. Je zou je eigen AV bedrijf kunnen beginnen en definities gaan uitbrengen voor een raspberry achtige power analyser.

Om een begin te maken zul je wel aan (geavanceerde) mallware moeten komen en stapels test devices. Vreemd dat huidige AV boeren hier niet mee komen nu AV software een bijna uitgemolken iets is.

Als je voor de controller van het USB power metertje een aparte voeding gebruikt (lm 78L05) dan kun je hem ook voor een groter spanningsbereik geschikt maken. Voor een DIY labvoedinkje met een lm 317 bv is het een spotgoedkoop alternatief voor 2 losse paneelmeters.

Of in de auto voor het meten van de accuspanning en de stroom door de ingebouwde gsm receiver (als deze er een heeft). Zo kan je wellicht meten of je auto data aan het ontvangen of verzenden is.
13-08-2015, 20:19 door Anoniem
Door Anoniem: ......Of in de auto voor het meten van de accuspanning en de stroom door de ingebouwde gsm receiver (als deze er een heeft). Zo kan je wellicht meten of je auto data aan het ontvangen of verzenden is.
Dat wordt alleen wel "uren dispaytje turen"! ;-)
Niet aan te bevelen als ogen en aandacht op de weg horen te zijn.

Goeroehoedjes
25-08-2015, 19:29 door SPlid
Is dit een veilig device'je ? keylogger ?
26-08-2015, 10:37 door Anoniem
Hier gaat het om: http://www.action.nl/maxxter-usb-power-meter-met-led-display
26-08-2015, 12:28 door Anoniem
Door SPlid: Is dit een veilig device'je ? keylogger ?
Ja, in principe wel. De USB-datalijnen zijn direct doorgelust, en zijn op geen enkele manier met de interne electronica verbonden. T.S. schreef dit ook al: "de datalijnen van dit apparaatje zijn op de print direct doorverbonden"
Het zijn dus alleen de USB voedingslijnen die met de interne elektronica zijn verbonden.
Hij is nl. bedoeld om de spanning van een USB-poort, en de stroom naar een USB apparaat te controleren.

Goeroehoedjes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.