CDR.cz - Vybráno z IT

Diskuse k Pozor na kouření!? Elektronické cigarety pomáhají šířit malware do počítačů

Hm zajímavý, dá se to sice logicky asi tušit, ale tak nějak mi to došlo až po přečtení tohoto článku:-)
Tím myslím zneužití "usb nabíjení" pro nežádoucí usb přenos dat.
A tak mne hned napadlo zda není možné přenos dat zakázat přímo na pc/stanici? Aby bylo možné jen nabíjet, ale žádná data na pozadí proudit nemohla. Nebo je to nereálnej nápad protože je nějaký přenos dat potřeba k samotnému zahájení/provozu nabíjení zařízeni? Nevíte prosím? :-)

+1
-31
-1
Je komentář přínosný?

Je nějaký bezpečný a uživatelsky přívětivý způsob detekce BadUSB? Třeba nějaká aplikace, která by ukázala, jaká "zařízení" na připojené krabičce jsou a přitom jim neumožnila se aktivovat?

Přenos dat se dá "zakázat" kabelem, který nemá datové vodiče. Nebo taky připojením k hloupé externí nabíječce.

+1
-34
-1
Je komentář přínosný?

Enumerace USB zařízení je celkem komplexní záležitostí, takže takto jednoduše to udělat nejde. Hlavním problémem jsou tzv. kompozitiní zařízení které sdružují více USB tříd. Toto je moje oblíbené téma, na které bych dokázal hovořit celé hodiny.

Pro bližší seznámení s tím jak funguje USB doporučuji knihy od Jana Axelsona:
- USB Mass storage
- USB Complete

+1
+45
-1
Je komentář přínosný?

Tak Vám teda pěkně děkuju. Ještě mi povězte, co děláte v případě, že potřebujete nové auto. To si taky nastudujete, jak auto funguje, z čeho se skládá, nakoupíte součástky a doma smontujete?

+1
+41
-1
Je komentář přínosný?

Ne auto si raději kopím v celku. Tam žádné zkušenosti nemám. Ohledně avioniky do letadel bych zase posloužit mohl...

+1
-43
-1
Je komentář přínosný?

Nešlo by to trošku rozvést? :-)

+1
+22
-1
Je komentář přínosný?

Ještě jsem se nedozvěděl, jak se pozná nakažený PC? Normálně viry poznám podle toho co se spouští po spuštění. Většinou tam je něco ošklivého. U tohoto je to nějak jinak? Případně by mohl být i nějaký kus HW na detekci těchto USB. Před šoupnutím do PC by se to otestovalo v dané krabičce. To by se prodávala jedna radost ;)

+1
+33
-1
Je komentář přínosný?

da sa to poznat velmi lahko.
nakazeny pocitac zacne kaslat a stupne mu teplota ;)

edit: ok, dost srandy. v zalozke po spusteni viry nenajdes. tam je akurat tak nejaky adware, pripadne nieco ine relativne neskodne.
dobre napisany virus proste nezbadas. a tie zle napisane odchyti antivirus.

+1
+35
-1
Je komentář přínosný?

já ještě neviděl zavirovaný PC, kde nebylo nic divného v registrech "RUN". Zatím tam vždycky něco bylo... možná jsem toho viděl málo, ale jestli někdo má demonstraci viru, kde se něco děje aniž by to tam bylo, tak bych se na to rád podíval ;). Služby taky kontroluji a taky se to tam dá najít ;). Mě přijde, že spíš straší lidi, aby nepoužívali USB flashky a raději si kupovali Cloudové řešení, kde mají vše pod kontrolou. Proč by ne ;)

+1
+40
-1
Je komentář přínosný?

Ja jo a bylo to uz pred tak 20 lety. Skvely virus, slo se ho zbavit tim, ze se vsechny exace prejmenovali na .ex2 ... akorat se pak muselo jeste do io.sys a command.ex2 napsat, ze ex2 je spustitelna pripona, jinak by to nenabootovalo. Poznamka: avg.exe virus nenasel, avg.ex2 po rebootu uz ano.

Zpet k pointe: napsat "stealth" virus da vic prace nez obycejny, takze jich nenajdete tolik, ale slo to pred 20 lety, jde to i dneska.

+1
-50
-1
Je komentář přínosný?

Když se někde dočtu jak někomu vybrakoval vir účet tak ten člověk udělal x postupů co by gramotný PC uživatel nikdy neudělal. Kdyby to šlo neviditelně, tak máme všichni vybrané účty a PC éra by právě skončila. Jinak co já vím tak pokud člověk nepracuje pod Adminem, tak systémové soubory měnit jen tak nejdou. Ale věřím, že někdy ty chyby tam jsou co se dají obejít. Ale jak jsem psal... proč ještě nikomu nevybrali účet aniž by si toho všiml a neudělal x věcí špatně.

+1
+35
-1
Je komentář přínosný?

hm, mate dost neuplne informacie. data platobnych kariet sa kradnu hlavne bud pomocou pishingu alebo utocnik ukradne tie cisla z nejakeho obchodu. ani v jednom pripade nepomoze pouzivanie usera/power usera/nbu123usera.
a samozrejme, ze sa da napadnut mnozstvo pocitacov "neviditelne". keby nie, tak neexistuje tolko vela, takych velkych botnetov ;)
niekde tu bol onehda zverejneny rozhovor s nejakym blackhatom. tam by som doporucil zacat :)

+1
+30
-1
Je komentář přínosný?

Osobně si dovedu představit udělat hardware, který by kontroloval připojená USB zařízení jestli nedělají neplechu. Ovšem ne vše by takto šlo ošetřit. Třeba takové MSC zařízení (tj. USB flasdik) který by svévolně modifikoval DLL a EXE soubory ale takto zjistit nelze.

Většině útoků by bylo možné zabránit pomocí nějakého supervisoru který by hlídal připojování HID zařízení (tj. klávesnice a mys). Další velkou dírou je Mass Storage. Zde by alespoň významně pomohlo deaktivovat autorun ze všech zařízení včetně CD. Není totiž problém emulovat mechaniku.

+1
-33
-1
Je komentář přínosný?

Ano takové ty skryté authorun co uživatel nevidí, ale v TC je vše vidět... to je fakt schovka. Proč nepoužívají něco sofistikovanějšího, když to existuje?

+1
-49
-1
Je komentář přínosný?

Pro zajímavost pár scénářů zákeřných USB zařízení:

1. Flash disk emulující klávesnici - běžný flash disk s upraveným firmware. Pokud je připojen a nějakou dobu nedetekuje žádnou aktivitu, tak provede novou enumeraci a vytvoří ještě HID zařízení (tj. klávesnici). Ta pak už sama naťuká co potřebuje a stáhne zbytek viru z Intrnetu. Aktuálně obrana neexistuje.

2. Nedetekovatelný boot virus - lze zjistit zda flash disk byl připojen z biosu nebo z OS. Pokude flash disk detekuje bootovani tak vrátí MBR s virem. Antiviry toto ošetřit nemohou. Protože za běhu OS vrátí neškodný MBR (master boot record). Aktuálně obrana neexistuje.

3. Automatické zavirování EXE nebo DLL. Při kopírování programu na flash disk se nic neděje. Při jeho čtení však vrátí pozměněný soubor s virem. Zda však už může zasáhnout antivirus. Pokud se budou modifikovat DLL tak to má o poznání těžší. Tato metoda se mi celkem líbí, možná že o vánocích si to napíšu do obecného MCU (asi MSP430 nebo STM32).

4. Cokoliv dalšího nebo různé kombinace předchozích metod...

+1
+32
-1
Je komentář přínosný?

1. No neviem, taka ochrana podla ma existuje a to slusny (nie napr. defaultny firewall vo Win) a normalne nastaveny firewall na desktope. FW nedovoli aby si nejaka (neoverena) aplikacia stahovala nieco z netu.

+1
+27
-1
Je komentář přínosný?

Ani takový firewall tomu nedokáže zabránit. Protože ta "zákeřná klávesnice" si třeba použije Internet Explorer, který už bude mít pravděpodobně vyjímku ve firewallu nastavenou z dřívějška.

+1
-31
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.