Jump to content

Recommended Posts

Analisis del problema de seguridad en los USB, se puede ocultar malware en el firmware:

 

Turning USB peripherals into BadUSB

 

USB devices are connected to – and in many cases even built into – virtually all computers. The interface standard conquered the world over the past two decades thanks to its versatility: Almost any computer peripheral, from storage and input gadgets to healthcare devices, can connect over the ubiquitous technology. And many more device classes connect over USB to charge their batteries.

 

This versatility is also USB’s Achilles heel: Since different device classes can plug into the same connectors, one type of device can turn into a more capable or malicious type without the user noticing.

 

Reprogramming USB peripherals. To turn one device type into another, USB controller chips in peripherals need to be reprogrammed. Very widely spread USB controller chips, including those in thumb drives, have no protection from such reprogramming.

 

BadUSB – Turning devices evil. Once reprogrammed, benign devices can turn malicious in many ways, including:

 

A device can emulate a keyboard and issue commands on behalf of the logged-in user, for example to exfiltrate files or install malware. Such malware, in turn, can infect the controller chips of other USB devices connected to the computer.

The device can also spoof a network card and change the computer’s DNS setting to redirect traffic.

A modified thumb drive or external hard disk can – when it detects that the computer is starting up – boot a small virus, which infects the computer’s operating system prior to boot.

Defenses?

No effective defenses from USB attacks are known. Malware scanners cannot access the firmware running on USB devices. USB firewalls that block certain device classes do not (yet) exist. And behavioral detection is difficult, since a BadUSB device’s behavior when it changes its persona looks as though a user has simply plugged in a new device.

 

To make matters worse, cleanup after an incident is hard: Simply reinstalling the operating system – the standard response to otherwise ineradicable malware – does not address BadUSB infections at their root. The USB thumb drive, from which the operating system is reinstalled, may already be infected, as may the hardwired webcam or other USB components inside the computer. A BadUSB device may even have replaced the computer’s BIOS – again by emulating a keyboard and unlocking a hidden file on the USB thumb drive.

 

Once infected, computers and their USB peripherals can never be trusted again.

Fuente

 

 

En el caso de Windows, algunas medidas de seguridad hasta ahora pasaban por analizar los USB en un ordenador que estuviera fuera de la red de la empresa (y evitar una infección dentro de la red) y desactivar la ejecución automática (autorun) en los equipos y hacer un análisis previo con un antivirus (en ordenadores personales)

 

El problema es que los antivirus no escanean el firmware

Link to post
Share on other sites

Muy hipotético en el mal sentido y ambiguo suena. Podría hacerse ésto, podría hacerse lo otro...

 

Hablando de estas cosas, sería muy guay saber donde quedó eso de los malware que se transmitían por el aire. Lo digo porque ésto me suena mucho al tipo de argumentación de eso del Badbios.

Link to post
Share on other sites

Esto no tiene nada de fantasmada. El riesgo es real. Por rumor mucho, está relacionado con los procedimientos para "jailbreakear" dispositivos iOS, así que ya ves que no es tan hipotético.

 

El problema del USB es que en general no consta que a la hora de desarrollar controladores USB se esté tomando la debida atención a la seguridad, es decir, considerando el USB como un interfaz con un dispositivo potencialmente hostil.

Link to post
Share on other sites

No he dicho que sea ninguna fantasmada ni que el riesgo no sea real. He dicho que está argumentado de una forma muy vaga. Se pueden escribir artículos sobre mil cosas reales sin argumentarlo y demostrarlo un poco.

Pero si te refieres a la comparación con lo de Badbios tienes razón en que obviamente eso estaba en un nivel superior de mala argumentación, rayano en la estafa directamente.

Link to post
Share on other sites

Aqui lo explican mejor:

 

To demonstrate the ubiquitous vulnerability, SR Labs security researchers Karsten Nohl and Jakob Lell created a proof-of-concept called "BadUSB" that can be installed on any universal serial bus device, including memory sticks, keyboards, smartphones and more, to take over a victim's PC, insert or change files, modify DNS settings and otherwise play havoc with host hardware, reports Wired.

 

BadUSB is not a common piece of malware that can simply be copied onto a USB drive's flash memory. Nohl and Lell reverse engineered the standard USB firmware in charge of transporting files on and off a device, finding that malicious code can be inserted and hidden within through a bit of reprograming.

 

"These problems can't be patched," Nohl said. "We're exploiting the very way that USB is designed."

 

Unless the tainted firmware is itself reverse engineered, the malware is protected from being discovered and will remain on a device even after a disk erasure is performed, a routine process for clearing suspected malicious software.

 

Further, BadUSB is bidirectional. In other words, if a malware's payload is coded to do so, a thumb drive can infect a computer's USB firmware, which in turn reprograms the firmware of yet another connected USB device, spreading the code silently across any and all systems. In testing, Nohl and Lell found that basically any USB device is vulnerable to the exploit.

 

As there is no easy fix to malware like BadUSB, the researchers suggest users adopt a new way of thinking about USB hardware. Instead of thoughtlessly transporting files and other data back and forth between machines, Nohl and Lell recommend connecting only to known devices that are user-owned or trusted.

 

"In this new way of thinking, you can't trust a USB just because its storage doesn't contain a virus. Trust must come from the fact that no one malicious has ever touched it," Nohl said. "You have to consider a USB infected and throw it away as soon as it touches a non-trusted computer."

 

Nohl and Lell will present their findings, as well as proof-of-concept software, at the Black Hat conference in Las Vegas this August.

Fuente

 

 

Si los autores del estudio han conseguido programar ese malware, BadUSB, para demostrar la vulnerabilidad puede que ya se esté explotando o que suceda en un futuro si la USB Community no encuentra una solución

Link to post
Share on other sites
  • 2 months later...
  • 2 weeks later...

No sólo es que los dispositivos USB legítimos puedan ser modificados, sino que va más allá. El problema de fondo es que existe una confianza intrínseca en los periféricos USB. Por ejemplo, cuando conectamos un segundo teclado, ningún sistema operativo nos preguntará algo del tipo "Se ha conectado un teclado adicional, ¿desea habilitarlo?". No, en lugar de esto, el teclado entra en funcionamiento al momento, sin preguntar y sin avisar en pantalla al usuario. Un pendrive modificado podría simular un teclado y ejecutar comandos en la máquina objetivo con sólo ser conectado. Otra de las amenazas es simular una tarjeta de red por la que canalizar todo el tráfico y hacer un man-in-the-middle.

 

Pero como he dicho, va más allá. Además de poder modificar buena parte de los periféricos USB existentes, se pueden utilizar otro tipo de dispositivos. Recientemente el equipo de Kali Linux liberó Kali Linux NetHunter, una ROM para dispositivos Nexus (Nexus 5, 7 y 10) que permiten utilizar el chip USB OTG para simular cualquier dispositivo y hacer ataques BadUSB. El ataque puede ser tan simple como "estoy corto de batería, ¿puedo enchufar un rato el móvil a tu PC?". Y mientras le haces un man-in-the-middle de manual.

Link to post
Share on other sites

Que yo sepa, para poder cargar el malware ne el dispositivo usb, es necesario tener acceso físico a él, para poder reescribir el firmware. El único caso en el que esto puede ser perjudicial, sería una de estas fábricas chinas que vende ratones o pendrives a 1-2€, con dudosas condiciones laborales y de calidad, o un técnico de sistemas fanático del hardware que quiera vengarse del edificio.

 

Y como sysadmin, os aseguro que no querré perder mi trabajo por consumar una venganza tongue.gif

Link to post
Share on other sites
  • 3 weeks later...

Lo menos creible de BadUSB es posible, robar datos mediante radiofrecuencia: AirHopper — Hacking Into an Isolated Computer Using FM Radio Signals

 

In order to secure sensitive information such as Finance, many companies and government agencies generally use totally secure computer systems by making sure it aren't connected to any network at all. But the most secure systems aren't safe anymore.

 

Security researchers at the Cyber Security Labs at Ben Gurion University in Israel have found a way to snoop on a personal computer even with no network connection.

 

STEALING DATA USING RADIO SIGNALS

Researchers have developed a proof-of-concept malware that can infiltrate a closed network to lift data from a machine that has been kept completely isolated from the internet or any Wi-Fi connection by using little more than a mobile phone’s FM radio signals.

 

Researcher Mordechai Guri, along with Professor Yuval Elovici of Ben Gurion University, presented the research on Thursday in the 9th IEEE International Conference on Malicious and Unwanted Software (MALCON 2014) held at Denver.

 

This new technology is known as ‘AirHopper’ — basically a keylogger app to track what is being typed on the computer or the mobile phone.

 

AirHopper is a special type of keylogger because it uses radio frequencies to transmit data from a computer, all by exploiting the computer's monitor display, in order to evade air-gap security measures.

 

Se cae el mito de que un ordenador está más seguro si no está conectado a una red

Link to post
Share on other sites

Lo trascendente de lo que has puesto no tiene nada que ver con el USB. El tomate está en que han usado hardware del ordenador como emisora de FM (que obviamente no está diseñado para emitir ni para ser usado con esos fines).

En todo caso, es acojonante :blink:.

No explican (o yo no lo he leído) que es lo que utilizan exactamente como emisora de radio.

Link to post
Share on other sites

Lo trascendente de lo que has puesto no tiene nada que ver con el USB. El tomate está en que han usado hardware del ordenador como emisora de FM (que obviamente no está diseñado para emitir ni para ser usado con esos fines).

En todo caso, es acojonante :blink:.

No explican (o yo no lo he leído) que es lo que utilizan exactamente como emisora de radio.

Si tiene que ver: los primeros artículos sobre BadUSB hablaban de un malware escondido en el Firmware de los USB's capaz de enviar datos del ordenador aún teniendo las redes desactivadas

 

De primeras sonaba ciencia ficción, pero ahora menos

Link to post
Share on other sites
  • 2 weeks later...

Ni lo uno ni lo otro, parad la batidora por favor. ;)

 

Lo de BadUSB significa, ni más ni menos, que no debemos confiar en un dispositivo proporcionado por alguien que no sea de confianza. Nada nuevo bajo el sol.

 

Lo de la FM se refiere a la captación de emisiones electromagnéticas por parte de dispositivos como teclados y/o monitores que en algunos casos podrían permitir recuperar información sensible como contraseñas

 

Nada demasiado nuevo bajo el sol tampoco. Pero un software malicioso instalado en un teléfono comprometido que disponga de radio FM podría, ciertamente, emplearse para captar dichas emisiones y, claro, siendo un teléfono, después enviar los datos a quien haya comprometido el teléfono.

 

La escena de Homeland del ratón en casa de Saul, por ejemplo, no es nada descabellada.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.