The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новый вид атак с использованием перепрограммированных USB-ус..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от opennews (ok) on 31-Июл-14, 23:58 
На следующей неделе на конференции Black Hat запланирована (http://arstechnica.com/security/2014/07/this-thumbdrive-hack.../) демонстрация новой атаки BadUSB, для совершения которой используются USB-устройства со специально модифицированной прошивкой. В результате внесённых изменений USB-устройство может сэмулировать работу совершенно другого типа USB-устройств и вклиниться в работу системы.


Например, USB-накопитель или web-камера с интерфейсом USB в определённый момент могут сэмулировать работу USB-клавиатуры и осуществить подстановку ввода. Источником проблем также может оказаться штатная USB-клавиатура с изменённой прошивкой. Выявить факт модификации прошивки, до момента совершения атаки, проблематично, что затрудняет обнаружение и предотвращение атаки.

Возможные варианты атаки могут меняться в достаточно широком диапазоне, например, вместо клавиатуры может быть симулирован сетевой адаптер, который может применяться для подмены запрашиваемого контента. Вместо специализированных USB-устройств в качестве звена для проведения атаки могут применяться и смартфоны. Например, на Black Hat будет продемонстрирована атака с использованием смартфона под управлением платформы Android.


URL: http://arstechnica.com/security/2014/07/this-thumbdrive-hack.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40309

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новый вид атак с использованием перепрограммированных USB-ус..."  +3 +/
Сообщение от Crazy Alex (ok) on 31-Июл-14, 23:58 
Не понял, что в такой атаке нового? Даже здесь на опеннете с год назад подобное пробегало
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Новый вид атак с использованием перепрограммированных USB-ус..."  +3 +/
Сообщение от EuPhobos (ok) on 01-Авг-14, 00:03 
Ну это же конференция, решили поднять проблему на обсуждение. Видать были прецеденты..
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от ford15focus email(ok) on 01-Авг-14, 09:24 
ну, емнип, PS3 так и ломали
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от vitalif (ok) on 01-Авг-14, 00:14 
Не то что на опеннете - чуть ли не на АВТОВАЗе по-моему это было))
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Новый вид атак с использованием перепрограммированных USB-ус..."  +2 +/
Сообщение от Аноним (??) on 01-Авг-14, 00:32 
Вы путайте, раньше эксплуатировались конкретные уязвимости в конкретных ОС и программах. Эксплуатация была через запись неперевариваемых опрелелёнными программами данных. Например, можно было организовать запуск кода при попытке создания миниатюры вредоносной картинки.
В упоминаемом в текущей новости случае, вредоносный код интегрируется в прошивку и он абсолютно не заметен для внешнего наблюдателя.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Новый вид атак с использованием перепрограммированных USB-ус..."  –2 +/
Сообщение от Аноним (??) on 01-Авг-14, 04:52 
Такая неожиданность, пля: контроллер клавиатуры может самодурничать, контроллер флехи, винча и прочих сидиромов может сектор подменить, etc. Эта тема Б-А-Я-Н, известный с еще досовых времен.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "Новый вид атак с использованием перепрограммированных USB-ус..."  +14 +/
Сообщение от Ordu email(ok) on 01-Авг-14, 05:44 
> Такая неожиданность, пля: контроллер клавиатуры может самодурничать, контроллер флехи,
> винча и прочих сидиромов может сектор подменить, etc. Эта тема Б-А-Я-Н,
> известный с еще досовых времен.

Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Xaionaro email(ok) on 01-Авг-14, 09:23 
> Вам следует съездить на конференцию и окунуть в дерьмо с головой всех тех "специалистов", рассказав им про боянность их работы. Ну, знаете, чтобы они не зазнавались, и просто ради смеха.

Ну, справидливости ради, такие идеи действительно высказывались уже много лет назад. Скорее всего на конфенерции будет предостаточно интересной и новой информации, однако в тексте новости ни о чём новом не поведали.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Новый вид атак с использованием перепрограммированных USB-ус..."  +3 +/
Сообщение от YetAnotherOnanym (ok) on 01-Авг-14, 10:48 
Высказать идею и продемонстрировать атаку - это не одно и тоже.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

54. "Новый вид атак с использованием перепрограммированных USB-ус..."  –3 +/
Сообщение от linux must _RIP__ on 01-Авг-14, 14:23 
а чем принципиально отличается атака от старых вирусов из DOS? помечаем блок как сбойный, копируем начало com файла в этот блок, на место начала копируем свой код - и вуаля..
тут тож самое только вид DOS принимает прошивка usb устройства
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

56. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от Andrey Mitrofanov on 01-Авг-14, 14:47 
> а чем принципиально отличается атака от старых вирусов из DOS? помечаем блок
> тут тож самое только вид DOS принимает прошивка usb устройства

И загружается резидентно, и перехватывает INT 13/INT 21, и всех-всех заражает. И всё это прямо в прошифке свистка, да!

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

62. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от linux must _RIP__ on 01-Авг-14, 15:56 
>> а чем принципиально отличается атака от старых вирусов из DOS? помечаем блок
>> тут тож самое только вид DOS принимает прошивка usb устройства
> И загружается резидентно, и перехватывает INT 13/INT 21, и всех-всех заражает. И
> всё это прямо в прошифке свистка, да!

а что не так? вроде нормальный elf, вдруг бах - и запустился левый код - не так уж сложно себя подпихнуть в область _init...

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

72. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 19:40 
> а что не так? вроде нормальный elf, вдруг бах - и запустился
> левый код - не так уж сложно себя подпихнуть в область _init...

Да куда угодно подпихнуться, лишь бы туда управление попадало.

К слову, если кто не в курсе - подобные техники это чуть ли не стандартный метод обхода техник по типу secure boot. Мысль основана на том что постоянно проверять не поменялся ли файл - слишком ресурсоемко, поэтому подпись проверяется лишь при его начальной вгрузке в память. А вот дальше за сохранностью никто особо не следит. И будь там paging или вгрузка кода по ходу пьесы - "secure" проверку подписей в половине случаев можно ненавязчиво послать, если програмеры не подумали о таком варианте атаки.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

71. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 19:36 
> а чем принципиально отличается атака от старых вирусов из DOS?

Выполнением кода на проце периферии. В результате системный проц и его софт (антивирусы, руткит-детекторы) вот так влобовую почти без шансов детектировать подставу.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

59. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Xaionaro email(ok) on 01-Авг-14, 15:37 
> Высказать идею и продемонстрировать атаку - это не одно и тоже.

Я и не говорил, что одно и то же. Лично меня лишь смущает «новый вид атак» в subj-е. Вероятно, тут просто вопрос терминологии. Просто, когда видишь такой subject, ожидаешь увидеть какие-то новые мысли в тексте, а тут лишь вот это.

Например, все давно знали про проблемы с cache side-channel attack. А спустя годы появился работоспособный proof of concept. Да, это очень достойная и очень важная работа, но это был уже не «новый вид атак», IIRC. IMHO, тут аналогичная ситуация.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

70. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 19:35 
> Вам следует съездить на конференцию и окунуть в дерьмо с головой всех
> тех "специалистов", рассказав им про боянность их работы.

А зачем? Если им хочется выступить в роли Капитана Очевидность и тем паче выкатить PoC - так в этом ничего такого криминального нет.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

75. "Новый вид атак с использованием перепрограммированных USB-ус..."  +2 +/
Сообщение от Ordu email(ok) on 01-Авг-14, 20:10 
>> Вам следует съездить на конференцию и окунуть в дерьмо с головой всех
>> тех "специалистов", рассказав им про боянность их работы.
> А зачем? Если им хочется выступить в роли Капитана Очевидность и тем
> паче выкатить PoC - так в этом ничего такого криминального нет.

Существует куча любопытных нюансов, например, определение прошивкой флешки операционной системы, с которой флешке довелось связаться. Или как, например, осуществлять подстановку ввода без обратной связи, или откуда взять эту обратную связь. Ну, например, ежели контроллер флешки эмулирует клавиатуру -- как этот контроллер может знать, какое из окон в данный момент имеет фокус ввода? А как насчёт мышкой порулить и на кнопочки понажимать? Или всё "наощупь" "вслепую"? Затем, если отдавать подложное содержимое фирмвари антивирусу, то антивирус ведь, наверное, знает какого размера должна быть фирмварь, и спалит, если ему подсунуть что-то меньшее чем то, чего он ожидает? А значит встаёт вопрос, где хранить оригинальную фирмварь, прошив в ПЗУ флешки новую. Или может антивирус можно обмануть, неверно отчитавшись о модели устройства? А пользователь не спалит этот момент, когда его ОС неверно назовёт модель флешки или фотоаппарата?

В общем вопросов много, и было бы на самом деле смешно, если бы анонимус с опеннета доказал бы на конференции всем, что это боян, и он проделывал всё это в досе лет двадцать назад.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

80. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 22:44 
> Существует куча любопытных нюансов,

Это уже дело наживное. Вон я тут ссылочку в соседнем коменте скинул на "типа, клавиатуру" на копеечной атмелке. Можете теперь свою флешку с западлом друзьям и врагам подкидывать.

> например, определение прошивкой флешки операционной
> системы, с которой флешке довелось связаться.

Вы не понимаете как работает USB. Это хост с девайсами связывается, usb - протокол, где всем дирижирует хост. Периферия вообще никак и ни с чем связываться не может, ее хост опрашивать должен. И тогда в ответном пакете периферия может высказать свое мнение о том что и как. В USB3 вроде немного добавили самостоятельности - там вроде периферия и сама может по super-speed паре пакеты пулять по своей инициативе. Но много вы клавиатур с usb3 видели? Так что для начала хост должен пойти и спросить у клавиатуры статус, а та уже может сообщить - мол нажали (или, "типа, нажали" вот это и вот это).

> например, ежели контроллер флешки эмулирует клавиатуру -- как этот контроллер может
> знать, какое из окон в данный момент имеет фокус ввода?

А никак не может, как минимум без помощи добавочного софта в системе (паливо, убивающее всю идею на корню) через сильно извратные методы. В этом то и прикол.

USB HID протокол примитивен как валенок, ну и столь же "кастомизабелен": клавиатура шлет хосту коды клавиш которые нажали (или "типа, нажали", если фирмвара решила срубить лулзов). От хоста как максимум можно поиметь статус лампочек num/caps/scroll, и то - для этого надо прикидываться boot-устройством. Всякие джойстики с feedback как я понимаю требуют участия в этом процессе софта со стороны писюка, что портит всю идею.

В целом тема HID неплохо раскрыта авторами устройств "а я типа тоже клавиатура" много лет назад, в частности - по упомянутой ссылке на usb "клавиатуру" в флешке. Такого хлама уже валяется по сети целый легион, так что это вполне заслуженно считать баяном.

> А как насчёт мышкой порулить и на кнопочки понажимать? Или всё "наощупь"
> "вслепую"?

А никак в нормальном виде, без помощи нестандартного софта со стороны хоста. В HID не предусмотрено нормальной обратной связи с периферией, и уж тем более интегрированной в систему настолько чтобы мышка имела представление о том какое окно активно. Тем паче что для разных систем понятия окон разнятся. Клавиатура может лишь вслепую выстрелить набор символов, но куда он попал - клавиатура не имеет ни малейшего понятия. Клавиатуру про это никто попросту не информирует.

> Затем, если отдавать подложное содержимое фирмвари антивирусу,

Все намного проще: можно просто не предусмотреть команду чтения фирмвари совсем. Оспорить данное инженерное решение можно в авторитетной инстанции - спортлото.

> то антивирус ведь, наверное, знает какого размера должна быть фирмварь,

Але, гараж! Нет никаких стандартных протоколов чтения фирмвари. Антивирус никогда и ничего не узнает, он без шансов. Большинство девайсов не имеет таких команд совсем или они недокументированы напрочь и используются только в инженерных целях на фабрике.

> и спалит, если ему подсунуть что-то меньшее чем то, чего он ожидает?

Ничего он не спалит. В этой схеме антивири в пролете как мухи в самолете. HID не обязывает клавиатуры иметь какие либо команды чтения фирмвары. Поэтому удачи в чтении оной. Для начала попробуй прочитать фирмрварь своей клавиатуры. Нуачо, нажатия кнопок и пихание этого в и-фейс тоже какой-то таракан обрабатывает. А схема логитеховской мышки вообще достаточно понятна: к вполне типовому моторольскому потомку 68HC11 прицеплен чип-радиопередатчик (вполне общеизвестный, кстати) и датчик картинки на SPI и-фейсе. Народ ради прикола подобные кишки и сами делали, получается эдакая кастомная мышка. Ничего сверхъестественного.

> А значит встаёт вопрос, где хранить оригинальную фирмварь, прошив в ПЗУ флешки новую.

Это все ламерский бред. Вы никогда не программили фирвари, спорим?

> Или может антивирус можно обмануть, неверно отчитавшись о модели устройства?

Во первых, можно прикинуться любым устройством. Скопипиз...ть чужой дескриптор - некрасиво, конечно, но не более того. Во вторых - антивирус не получит никакой фирмвари. Точка.

> бы анонимус с опеннета доказал бы на конференции всем, что это
> боян, и он проделывал всё это в досе лет двадцать назад.

Так это баян и все это те кто минимально догадывается как работает периферия делали уже хренадцать лет назад.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

88. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Ordu email(ok) on 02-Авг-14, 13:02 
>> например, определение прошивкой флешки операционной
>> системы, с которой флешке довелось связаться.
> Вы не понимаете как работает USB. Это хост с девайсами связывается, usb
> - протокол, где всем дирижирует хост. Периферия вообще никак и ни
> с чем связываться не может, ее хост опрашивать должен.

USB-сетевая карта тоже поллится? А... ммм... Как насчёт перехвата данных других usb-хостов или руления ими с инфицированного usb-хоста?

> А никак в нормальном виде, без помощи нестандартного софта со стороны хоста. В HID не
> предусмотрено нормальной обратной связи с периферией

А если прикинуться видеокартой?

>> то антивирус ведь, наверное, знает какого размера должна быть фирмварь,
> Але, гараж! Нет никаких стандартных протоколов чтения фирмвари. Антивирус никогда и ничего
> не узнает, он без шансов. Большинство девайсов не имеет таких команд
> совсем или они недокументированы напрочь и используются только в инженерных целях
> на фабрике.

На это можно создать базу данных устройств с процедурами чтения. Сложно, но это скорее вопрос в востребованности такого, чем в сложности.

>> А значит встаёт вопрос, где хранить оригинальную фирмварь, прошив в ПЗУ флешки новую.
> Это все ламерский бред. Вы никогда не программили фирвари, спорим?

Можно сказать и так. Наверное. Полагаете в ПЗУ-шке всегда достаточно свободного места?

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

91. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 02-Авг-14, 20:06 
> USB-сетевая карта тоже поллится?

Все и вся поллится - периферия хосту может отдать данные только после того как хост явно опросит периферию. Зацикленость на центре вселенной в виде мощного хоста - фирменная глупость USB. Немного починено в USB-OTG, но костыли знатные. Кстати кроме всего прочего - у usb кадры в пределах которых хост начинает опросы периферии идут 1 раз в миллисекунду. Это означает что латентность передачи данных как минимум 1 мс или выше. Геймеры на это бухтят, кстати (для них наверное сделают usb3 со временем, когда 5Гбит из клавы перестанет быть роскошью)

> А... ммм... Как насчёт перехвата данных других usb-хостов
> или руления ими с инфицированного usb-хоста?

А никак: в USB может быть только 1 хост - писюк, который рулит периферией. Multi-master на шине не предусмотрен, это вообще-то FAIL. Ибо не позволяет например просто взять и соединить 2 писюка между собой куском провода по этому и-фейсу (как например в эзернете). Вот такаая вот хреновая сеть. И если мобильные девайсы еще умеют переключаться между девайсом и периферией, то писюки обычно наглухо хосты и периферией быть не обучены, потому и. Бывают костыли - кабели с чипом посередине: он с двух сторон периферия и гоняет между своими периферийными сторонами данные. А компы видят с обоих сторонов провода периферию. Но это костыль и дорого, т.к. активный кабель.

> А если прикинуться видеокартой?

На нее никто не обязан рисовать просто потому что вы ее в систему добавили. Да и видеокарта получает массив пикселей. Пытаться распетрушить массив пикселей обратно на окна, пытаясь понять где там что... из флешки... "фантомас в очках на аэроплане", однако :).

> На это можно создать базу данных устройств с процедурами чтения.

У половины девайсов такой процедуры нет или она недокументирована. Кроме того, как ты понимаешь, поскольку фирмварь сама же и обрабатывает эти команды - она может посылать в ответ что угодно, а то что это правильные данные можно лишь поверить на слово.

> Сложно, но это скорее вопрос в востребованности такого, чем в сложности.

Это скорее вопрос тотальной бесполезности этого начинания. Ибо протрояненой железке приврать немного при обработке команд - как два байта переслать.

> Можно сказать и так. Наверное. Полагаете в ПЗУ-шке всегда достаточно свободного места?

Если даже и недостаточно - для создания троянца можно и кастомные кишки сделать, добавив внешнюю ПЗУшку (таракан о 8 лапок в минимальном виде) куда и завернуть операции чтения. Можно достать идеально честную копию фирмвары, раз уж просят. А кто сказал что работает именно она? :)

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

94. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Ordu email(ok) on 02-Авг-14, 23:02 
>> USB-сетевая карта тоже поллится?
> Все и вся поллится - периферия хосту может отдать данные только после
> того как хост явно опросит периферию. Зацикленость на центре вселенной в
> виде мощного хоста - фирменная глупость USB. Немного починено в USB-OTG,
> но костыли знатные. Кстати кроме всего прочего - у usb кадры
> в пределах которых хост начинает опросы периферии идут 1 раз в
> миллисекунду. Это означает что латентность передачи данных как минимум 1 мс
> или выше. Геймеры на это бухтят, кстати (для них наверное сделают
> usb3 со временем, когда 5Гбит из клавы перестанет быть роскошью)

FFFUUUUU

>> А если прикинуться видеокартой?
> На нее никто не обязан рисовать просто потому что вы ее в
> систему добавили. Да и видеокарта получает массив пикселей. Пытаться распетрушить массив
> пикселей обратно на окна, пытаясь понять где там что... из флешки...
> "фантомас в очках на аэроплане", однако :).

Но ОС запросто может решить что "ура-ура, второй монитор" и нарисовать там десктоп. Массив же пикселей "распетрушить" по полной программе, конечно сложно, особенно учитывая разнообразие тем, которые можно натянуть на интерфейс. Но я не думаю, что это совсем безнадёжно. По-крайней мере, _можно попытаться_ распознать ОС, и выработать последовательность действий для инфицирования десктопа, причём так, чтобы это сработало, допустим, в 50% ситуаций.

>> На это можно создать базу данных устройств с процедурами чтения.
> У половины девайсов такой процедуры нет или она недокументирована. Кроме того, как
> ты понимаешь, поскольку фирмварь сама же и обрабатывает эти команды -
> она может посылать в ответ что угодно, а то что это
> правильные данные можно лишь поверить на слово.

Процедуры нет или она недокументирована, для антивируса -- не проблема. Если нет, значит устройство просто так, с бухты барахты, не подцепит заразу. Недокументировано не является проблемой (непреодолимой), потому что разработка антивируса, по большей части и есть реверс-инжинеринг. Разбор недокументированных малварей на винтики. Ну добавится к этому разбор на винтики протокола выковыривания прошивки. Ну и чё? :)


>> Сложно, но это скорее вопрос в востребованности такого, чем в сложности.
> Это скорее вопрос тотальной бесполезности этого начинания. Ибо протрояненой железке приврать
> немного при обработке команд - как два байта переслать.

Ну, собственно, тотальная бесполезность этого и есть одна из тем доклада.

>> Можно сказать и так. Наверное. Полагаете в ПЗУ-шке всегда достаточно свободного места?
> Если даже и недостаточно - для создания троянца можно и кастомные кишки
> сделать, добавив внешнюю ПЗУшку (таракан о 8 лапок в минимальном виде)
> куда и завернуть операции чтения. Можно достать идеально честную копию фирмвары,
> раз уж просят. А кто сказал что работает именно она? :)

Для этого надо лезть с паяльником во флешку. Чисто программно заразить её не удастся. Недостаточно просто воткнуть флешку в инфицированный комп.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

95. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 03-Авг-14, 00:21 
> FFFUUUUU

Да оно там с частичной поддержкой железа и буферизацией, так что хост напрягается меньше чем могло бы показаться. Но тем не менее, бестолковостей в usb - есть.

> Но ОС запросто может решить что "ура-ура, второй монитор" и нарисовать там
> десктоп.

А что, юзер так уж прямо с оптимизмом будет печатать команды в консоли, на десктопе который он даже не видит нифига, ибо у флешки нет выхода на, собственно, моитор? :)

> учитывая разнообразие тем, которые можно натянуть на интерфейс.

А также тот факт что текст в TTF каждый рендерит как хочет, etc. Да и какой придypoк будет вводить команды в теринал который он не видит?

> Но я не думаю, что это совсем безнадёжно. По-крайней мере, _можно попытаться_

Если у вас все так просто - давайте вы лучше подъемник на орбиту попытаетесь построить? И лунные базы. Не сильно проще, но имхо полезнее :).

> распознать ОС, и выработать последовательность действий для инфицирования десктопа,
> причём так, чтобы это сработало, допустим, в 50% ситуаций.

Как максимум могу предположить что какая-нить винда может после установки дров показать там десктоп с кнопкой пуск, и вот там еще может прокатит в силу того что все одинаковые, инкубаторские. А тут мне уже предлагали Win+R, ctrl-alt-F1 и чего там еще. ЧСХ, эти последовательности не работали в плане практической пользы поимения чего либо.

Ну то-есть если делать клаву-для-поимения - жать win+r -> calc.exe -> enter -> "вау, я сделал супер-PoC, моя флешка запускает ваш calc.exe!!!111". На винде прокатит, но большинство местных это не сильно парит. А кодить под каждого чудака и его изгибы фирмварину можно и задолбаться.

> Процедуры нет или она недокументирована, для антивируса -- не проблема.

Антивирусы в общем случае в пролете со сканированием периферии. Это отдельные процессоры. Достаточно самостоятельные. Со своим адресным пространством и программами. А антивирус туда в общем случае не имеет нормального доступа. Поэтому хватит ламерить - никакой авер вам от этого не поможет. Девайс сам решает что он наружу показывает. Потому что это фирмвара девайса обслуживает USB-интерфейс. И по этому поводу фирмварина может туда слать все что пожелает.

> Если нет, значит устройство просто так, с бухты барахты, не подцепит заразу.

Зараза может там жить вообще "изначально", например...

> Недокументировано не является проблемой (непреодолимой),

Теоретически - так. Практически - иди перепиши для начала все сервисные утилиты которые для флех под винду есть под остальные системы, тогда поговорим. Позови меня как закончишь.

> потому что разработка антивируса, по большей части и есть реверс-инжинеринг.

Вот когда ты сам сможешь что-нибудь отреверсить - тогда сможешь оценить объем работ и время которое это займет. А в случае с периферией это еще и в высшей степени бесполезно, ибо имея свой проц на борту - оно может показывать наружу все что пожелает. И это совсем не обязано соответствовать действительности.

> Разбор недокументированных малварей на винтики. Ну добавится
> к этому разбор на винтики протокола выковыривания прошивки. Ну и чё? :)

А ничо - прошивка пошлет по этому протоколу ровно то что посчитает нужным. Насколько это будет достоверным? Ну... это примерно как суд присяжных, состоящий из 1 человека - самого подсудимого. Что захочет, то и выпишет, хренли :).

>> немного при обработке команд - как два байта переслать.
> Ну, собственно, тотальная бесполезность этого и есть одна из тем доклада.

Я так смотрю, капитанинг нынче в моде. А вот задействование мозгов - не очень. Это вы еще не осознали что в смартах крутится многомеговый блоб, реалтаймный и с выходом в сеть. С доступом к микрофону, камере и GPS. Вот этой штуки уже стоит бояться, да. Это вам не какие-то cpaные флешки, это дохрена чужой логики имеющей доступ к весьма персональным данным...

> Для этого надо лезть с паяльником во флешку. Чисто программно заразить её
> не удастся. Недостаточно просто воткнуть флешку в инфицированный комп.

А вот это уже как повезет и сильно зависит от того перешивается контроллер по USB или нет. Зачастую вполне себе перешивается, так что теоретически - заразить как бы можно. Практически - очень сложно из-за разнообразного ассортимента контроллеров и чипов. См. про переписывание сервисных утилит, в общем.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

96. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Ordu email(ok) on 03-Авг-14, 01:20 
> А что, юзер так уж прямо с оптимизмом будет печатать команды в
> консоли, на десктопе который он даже не видит нифига, ибо у
> флешки нет выхода на, собственно, моитор? :)
> А также тот факт что текст в TTF каждый рендерит как хочет,
> etc. Да и какой придypoк будет вводить команды в теринал который
> он не видит?

Не-не-не. Пользователю НЕ надо видеть картинку отдаваемую на фейковую видеокарту. Эта картинка исключительно нужна для обратной связи. Флешка манипулирует десктопом фейковыми мышью с клавой, а для обратной связи использует фейковую видеокарту.

И TTF не надо распознавать. То есть, во-первых, это не так уж и сложно, как, например, распознавать рукописный текст или даже сканы. Во-вторых, это не особо-то и нужно. На примере линя, чисто идея, на которой можно построить алгоритм... Допустим, наша цель запустить терминал и нацелить туда фокус ввода. Эмм... я тут же споткнулся, поскольку я хрен его знает когда в последний раз видел гномов, кеды и прочие DE и даже не представляю какие там кейбинды. Но если бы я писал такую малварь, я бы первым делом начал бы искать способ запустить терминал наощупь. Если нет способа запустить наощупь, то ориентируясь на стандартный значок терминала -- надо найти все рисунки терминала на экране и по ним кликнуть. Надо сэмулировать клики мышкой по всем стандартным местам, где может находится кнопка "пуск" (или как там её принято в линуксовых DE назвать?). Выскочит меню, надо вычислить высоту пункта меню, и "двигая мышкой" пооткрывать по очереди все подменю, "высматривая" стандартные иконки терминала. Высмотрев тыкать. В один прекрасный момент на экране появится окно, положение которого мы можем вычислить сравнивая скриншоты "до" и "после". Причём фокус на него перепрыгнет автоматически. Можно провести несколько простых вероятностных проверок того, что это окно терминала. Вероятностных в том смысле, что они могут не являтся доказательством того, что это окно терминала, но, в случае положительного результата проверки, должны повышать достоверность предположения о том, что это именно терминал. Можно не проводить таких проверок, но это снизит процент успешных атак. ... Ну, в общем, идея ясна, да?

>> Но я не думаю, что это совсем безнадёжно. По-крайней мере, _можно попытаться_
> Если у вас все так просто - давайте вы лучше подъемник на
> орбиту попытаетесь построить? И лунные базы. Не сильно проще, но имхо
> полезнее :).
>> Если нет, значит устройство просто так, с бухты барахты, не подцепит заразу.
> Зараза может там жить вообще "изначально", например...

Может. Это неустранимый источник эпидемии малвари. Но это не значит, что не стоит пытаться защитить промежуточные узлы распространения малвари.

>> Недокументировано не является проблемой (непреодолимой),
> Теоретически - так. Практически - иди перепиши для начала все сервисные утилиты
> которые для флех под винду есть под остальные системы, тогда поговорим.
> Позови меня как закончишь.

У меня нет компании разрабатывающей антивирус. А если бы и была, то я бы ещё подумал стоит ли. Особенно в свете того, что пока всё это, судя по всему, неактуально. В том смысле, что в ближайшие полгода эпидемий не предвидится. Что будет дальше... Я не знаю. Опять же у меня нет компании разрабатывающей антивирус, в которой работает группа аналитиков-экспертов, которая могла бы оценить зависимость вероятности возникновения такой эпидемии от времени, и проследить эту функцию на пару лет вперёд.

>> Разбор недокументированных малварей на винтики. Ну добавится
>> к этому разбор на винтики протокола выковыривания прошивки. Ну и чё? :)
> А ничо - прошивка пошлет по этому протоколу ровно то что посчитает
> нужным. Насколько это будет достоверным? Ну... это примерно как суд присяжных,
> состоящий из 1 человека - самого подсудимого. Что захочет, то и
> выпишет, хренли :).

Ты споришь, ради спора? Спорим, что тот же Касперский имеет неплохие шансы договориться с рядом производителей, чтобы они раскрыли бы протокол под какой-нибудь-там сильно ограничительной лицензией? Зачем приводить очевидные контраргументы, в ответ на которые можно привести очевидные контрконтраргументы?

Вот разработчики малвари вряд ли имеют возможность договориться с производителем устройства. Что резко снижает вероятность возникновения эпидемии. Но зато их много, среди них кучи энтузиазистов, которые будут ревёрсить ради реверса. Результаты они куда-то будут выкладывать. А если кто-то будет покупать результаты, то будут и продавать.

>>> немного при обработке команд - как два байта переслать.
>> Ну, собственно, тотальная бесполезность этого и есть одна из тем доклада.
> Я так смотрю, капитанинг нынче в моде. А вот задействование мозгов -
> не очень. Это вы еще не осознали что в смартах крутится
> многомеговый блоб, реалтаймный и с выходом в сеть. С доступом к
> микрофону, камере и GPS. Вот этой штуки уже стоит бояться, да.
> Это вам не какие-то cpaные флешки, это дохрена чужой логики имеющей
> доступ к весьма персональным данным...

Почему же не осознали? Осознали. И да, не скрою, уровень паранойи в моём случае достаточен для того, чтобы вместо смартфона таскать с собой планшет в сумке, а в кармане обычную звонилку.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

97. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 03-Авг-14, 04:02 
> десктопом фейковыми мышью с клавой, а для обратной связи использует фейковую
> видеокарту.

Хм, почем таких флешек продашь? Их же вместо админов можно юзать: достаточно воткнуть флеху и она сама комп настроит, лучше пользователя зная куда какой десктоп. Разве не крутизна?! :)

> И TTF не надо распознавать.

А как наличие терминала предлагается определять без доп. софта в системе?

> То есть, во-первых, это не так уж
> и сложно, как, например, распознавать рукописный текст или даже сканы.

Это пока не посмотишь на список опций либ для рендеринга. Да и кушать флеха с OCRом будет столько, что ей вентилятор потребуется. Для охлаждения проца :).

> DE и даже не представляю какие там кейбинды. Но если бы
> я писал такую малварь, я бы первым делом начал бы искать
> способ запустить терминал наощупь.

При том с заметной вероятностью оно обламывалось бы, а крутой бэкдор на который убабахано много сил - попадался бы в два счета. Тем паче что флешка объект материальный, историю кто и от кого получил оную не так уж сложно проследить.

> но это снизит процент успешных атак. ... Ну, в общем, идея ясна, да?

Ну да. Надо всего ничего - боевой AI, который заменит админа и пользователя и порулит по своему. Мне кажется что если его удастся сделать - флешка с трояном будет не самой страшной из проблем...

> Может. Это неустранимый источник эпидемии малвари. Но это не значит, что не
> стоит пытаться защитить промежуточные узлы распространения малвари.

Тебе авторы антивирей за имитацию бурной деятельности и пиар приплачивают, или чего?

> У меня нет компании разрабатывающей антивирус.

Они занимаются ИБД, ибо заведомо не могут выполнить то что обещают, даже чисто теоретически. В лучшем случае они вытряхивают некоторое количество сильно популярной заразы, с переменным успехом. А называя вещи своими именами они просто делают бабки на чужом горе.

> возникновения такой эпидемии от времени, и проследить эту функцию на пару
> лет вперёд.

Да не будет никаких особых эпидемий. Слишком уж разнородный хардвар: каждый лепит контроллер и фирмварь как хочет. Троян получится недолгоиграющий и нишевой при ломовых затратах усилий.

> Ты споришь, ради спора?

Я всего лишь капитаню, не более. Истины которые я озвучиваю известны наверное уже более четверти века.

> Спорим, что тот же Касперский имеет неплохие шансы
> договориться с рядом производителей, чтобы они раскрыли бы протокол

А ты глупее чем я предполагал. Еще раз, для дубов, прямым текстом вопрос: что помешает фирмвари врать и слать в пакетах не тот код который по факту работает? Ах, ничего, ибо фирмвара весь протокол и обрабатывает? Будь то хоть АНБшный бэкдор, хоть троян самоходный - на кой фиг им себя рапортовать то?! Это не логично как-то :)

> которые можно привести очевидные контрконтраргументы?

Я по-моему привел железный аргумент который фиг оспоришь: фирмвара реализует этот самый протокол. Зачем бы трояну самому себя выдавать в честном виде? Это глупо и нелогично. И авторы трояна должны быть странными человеками, чтобы накодить троян, а потом сделать протокол через который его слить можно, да еще потом нигде не врать в пакетах и честно трояна дампануть :).

> Вот разработчики малвари вряд ли имеют возможность договориться с производителем
> устройства.

Так бэкдор внедрит или сам производитель, заинтересованный при этом молчать в тряпочку, бубня про NDA, или если хаксор пропатчит фирмвару - ну наверное он и чтение фирмвары допрет попраить немного, а?! Это допирали делать даже архаичные досовые вирусы.

> будут выкладывать. А если кто-то будет покупать результаты, то будут и продавать.

Это имеет смысл лишь для отдельных точечных диверсий и может стоить приличных денег. И как ты понимаешь, антивирь тебя от такого не спасет.

> планшет в сумке, а в кармане обычную звонилку.

Это вполне здравое решение - разделение привилегий. Но даже звонилка, однако же, например чисто технически светит примерные координаты сети. Потому что сеть не может кидать броадкаст на всю страну каждому Васе - эй, Вася, тебе звонят! Сеть от такого флуда просто ляжет. Да и планшет... эм... дефолтные фирмвари могут оставлять желать много лучшего в плане отсутствия западла.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

100. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Ordu email(ok) on 03-Авг-14, 06:11 
> А как наличие терминала предлагается определять без доп. софта в системе?

Никак. Если терминал установлен слишком редко, то надо использовать какую-нибудь другую софтину, более популярную.

> Это пока не посмотишь на список опций либ для рендеринга. Да и
> кушать флеха с OCRом будет столько, что ей вентилятор потребуется. Для
> охлаждения проца :).

Не. Наложить фильтр и по шаблону проверить. Чуть сложнее чем выделить битмап символа из картинки. Хуже не то, что у библиотек опции есть, а то, что шрифты могут быть различны.

> При том с заметной вероятностью оно обламывалось бы, а крутой бэкдор на
> который убабахано много сил - попадался бы в два счета. Тем
> паче что флешка объект материальный, историю кто и от кого получил
> оную не так уж сложно проследить.

Я не пытаюсь тебе продать крутой бэкдор, на который убабахано много сил, а излагаю концепт.

> Ну да. Надо всего ничего - боевой AI, который заменит админа и
> пользователя и порулит по своему. Мне кажется что если его удастся
> сделать - флешка с трояном будет не самой страшной из проблем...

AI не нужен. Тут не нужны даже технологии AI 30-ти-летней давности, я уж молчу про более свежие и менее очевидные. Впрочем, я допускаю что во ПЗУ флешки подобное не влезет. А в ПЗУ фотоаппарата? Сетевой карты? Видеокамеры? Смартфона?

> Тебе авторы антивирей за имитацию бурной деятельности и пиар приплачивают, или чего?

Нет.

> Они занимаются ИБД, ибо заведомо не могут выполнить то что обещают, ...

Очень интересная информация, имеющая такое непосредственное отношение к обсуждаемой теме, что я даже затрудняюсь с выбором возможной своей реакции на подобное заявление.

> Да не будет никаких особых эпидемий. Слишком уж разнородный хардвар: каждый лепит
> контроллер и фирмварь как хочет. Троян получится недолгоиграющий и нишевой при
> ломовых затратах усилий.

Да, может быть. Быть может даже не "может быть", а так и есть.

> А ты глупее чем я предполагал. Еще раз, для дубов, прямым текстом
> вопрос: что помешает фирмвари врать и слать в пакетах не тот
> код который по факту работает? Ах, ничего, ибо фирмвара весь протокол
> и обрабатывает? Будь то хоть АНБшный бэкдор, хоть троян самоходный -
> на кой фиг им себя рапортовать то?! Это не логично как-то

А ты глупее, чем я предполагал. Ещё раз, для дубов, прямым текстом вопрос: ты умеешь мыслить гипотетически? Запись из теорвера P(X|A) тебе ни о чём не говорит? Тогда я поясню на пальцах, как в школе, для анализа проблемы иногда удобно _предположить_ что-либо, упростив ситуацию. Проанализировать упрощённую ситуацию, после чего вернуться к исходной, отменив предположение. Например, в данной ситуации, можно предположить "а как бороться с эпидемией, если фирмварь не может замаскировать своё присутствие". И предположив такое, прикинуть потенциальную вероятность детекта инфекции, все связанные параметры системы защиты. А может даже в такой ситуации вероятность детекта окажется недостаточной для предотвращения эпидемии?

Ты высказываешь множество соображений тоном эксперта. Не допуская никаких сомнений. Но люди ищут способы всадить тебе малварь вне зависимости от того, насколько ты уверен в том, что это невозможно. Со временем появляется новое оборудование, новые usb-устройства. Иногда usb меняет версию. Ты готов поспорить на деньги, что подобной эпидемии не случиться в течении десяти лет? Сколько ты готов поставить на, и при каком отношении ставок? 100:1? 1000:1?

Я не являюсь "экспертом", и даже не считаю себя экспертом, и поэтому я не готов поставить ничего. Но я уверен, что подобные исследования, когда они ведутся в паблике, весьма полезны. Всем -- и разработчикам антивирусов, и разработчикам ОС, и разработчикам железа.

>> будут выкладывать. А если кто-то будет покупать результаты, то будут и продавать.
> Это имеет смысл лишь для отдельных точечных диверсий и может стоить приличных
> денег. И как ты понимаешь, антивирь тебя от такого не спасет.

Это если мы рассуждаем исходя из гипотезы невероятности эпидемии самораспространяющейся малвари. А если гипотеза неверна?

>> планшет в сумке, а в кармане обычную звонилку.
> Это вполне здравое решение - разделение привилегий. Но даже звонилка, однако же,
> например чисто технически светит примерные координаты сети. Потому что сеть не
> может кидать броадкаст на всю страну каждому Васе - эй, Вася,
> тебе звонят! Сеть от такого флуда просто ляжет. Да и планшет...
> эм... дефолтные фирмвари могут оставлять желать много лучшего в плане отсутствия
> западла.

Очень интересно. А теперь расскажи что-нибудь ещё об этом, чего я ещё не знаю.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

50. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от vitalif email(ok) on 01-Авг-14, 14:13 
Ни фига подобного. Я вот про это http://habrahabr.ru/post/65220/ - когда внутрь мышки засунули хаб+флешку и данные таким макаром сливали. Хотя конечно это был не АВТОВАЗ :D
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от Ordu email(ok) on 01-Авг-14, 00:41 
Технический прогресс не стоит на месте. Там же написано: новая атака необнаружима современными средствами. Не удастся просто выгрузить фирмварь с флешки и проверить её на наличие инфекции. Точнее проверить то удастся, но отрицательный результат проверки не будет значит ничего.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Новый вид атак с использованием перепрограммированных USB-ус..."  –3 +/
Сообщение от Аноним (??) on 01-Авг-14, 00:47 
Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть. Хотя если код подставляется только иногда - может и не прокатить.

С другой стороны - у флехи мелкий контроллер, не такой уж и умный. Поэтому силно крутую логику применять он напряжется. И не факт что сможет как-то осмысленно поразить "вот этот ELF с arm-hf ABI". Зато если контроллер прощелкает клювом пару полей в хидере - файл красиво грохнется на этом ARM, а вот дальше уже любопытные кексы могут заметить что читается не то что записали.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от Гость on 01-Авг-14, 01:55 
> элементарная сверка хешей файлов прочитанных с флехи может запалить напасть

И как часто надо проводить элементарную сверку хешей?

> силно крутую логику применять он напряжется

Эмуляция клавиатурного ввода из правильно скомпонованных команд nohup, while, wget, sh и 2>>/dev/null снимает напряг на раз.

> не такой уж и умный
> осмысленно поразить "вот этот ELF с arm-hf ABI"
> прощелкает клювом
> грохнется
> кексы

С этими проблемами лучше на ксакеп.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Аноним (??) on 01-Авг-14, 04:47 
> И как часто надо проводить элементарную сверку хешей?

После записи и перед использованием, например.

> Эмуляция клавиатурного ввода из правильно скомпонованных команд nohup, while, wget, sh
> и 2>>/dev/null снимает напряг на раз.

Только клавиатура не знает куда сфокусирован ввод. Поэтому можно отправить сие в браузер, програмерский редактор, чатик или куда там еще. Мало ли куда народ текст вводит. И конечно этого никто не заметит... :)

Кстати, если вы считаете что все вокруг бакланы и не читают dmesg, на предмет того что "флешка" вдруг зачем-то еще и HID - вот это не факт. Я например из интереса чаще всего смотрю что из себя какое устройство представляет. И HIDроватую флешку вполне могу заметить.

> С этими проблемами лучше на ксакеп.

Вам как эксперту наверное виднее.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

44. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 13:13 
Как вариант, ждать длительного простоя, затем посылать win+r код и atl+f4. Из-за зоопарка ДЕ в линуксах может не прокатить.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

47. "Новый вид атак с использованием перепрограммированных..."  –1 +/
Сообщение от arisu (ok) on 01-Авг-14, 13:21 
ctrl+alt+f1, ^C, say goodbye to all your work, sucker!
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

74. "Новый вид атак с использованием перепрограммированных..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 19:56 
> ctrl+alt+f1, ^C, say goodbye to all your work, sucker!

Ну может в твоей слаке этот номер и работает, но в *убунтах например там по дефолту висит промпт логина, ^C его не пробирает, естественно, ибо мы не в детском садике чтобы так по детски системы ломать. А логина "say goodbye to all your work, sucker!" он тоже не знает. Хотя конечно коврик для мышки^W^W^W клавиатура может попытаться угадать как назывался юзер и пассворд :).

Вообще, автологин в систему где либо - идея дурная. Единственное место где вваливание без пароля как-то приемлимо - UART. Там если уж я есть - я там эксклюзивно. Хотя опять же, хомяку могут на uart подарочек прицепить а хомяк не заметит, на то и хомяк.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

92. "Новый вид атак с использованием перепрограммированных..."  +/
Сообщение от Anonym2 on 02-Авг-14, 22:46 
> ctrl+alt+f1, ^C, say goodbye to all your work, sucker!

Незачёт от Поттеринга...
>:-)

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

93. "Новый вид атак с использованием перепрограммированных..."  –1 +/
Сообщение от arisu (ok) on 02-Авг-14, 22:49 
> Незачёт от Поттеринга...

для системдеца никаких трояноустройств не надо, системдец сам троян.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

98. "Новый вид атак с использованием перепрограммированных..."  +/
Сообщение от Аноним (??) on 03-Авг-14, 04:14 
> для системдеца никаких трояноустройств не надо, системдец сам троян.

Ну так все правильно: чтобы избавиться от чужих троянов, мы будем приваживать своих, дружелюбных и специально дрессированых. Они будут держать чужих троянов на расстоянии, охраняя ввереную территорию от посягательств чужаков :).

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

73. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 19:51 
> Как вариант, ждать длительного простоя,

Клавиатуру никто не информирует о простое. Единственная "небольшая" проблема. У клавиатуры вообще I/O с системой практически одностороннее, да и в остальной USB периферии как правило требуется желание хоста начать обмен.

> затем посылать win+r код и atl+f4. Из-за
> зоопарка ДЕ в линуксах может не прокатить.

Ну я нажал win+r - и чего? XFCE - это вам не виндус. Nothing happens.

А так - уж сто лет есть в природе заготовка для таких сюрпризов: простая схема на атмелке с софтварным USB + прошивка эмулирующая клавиатуру. Имеет хождение в вполне благих целах: хардварный автоологин. Когда надо ввести нудный и длинный пароль - втыкаешь эту штуку и она сама его печатает. Но там как раз загвоздка в том что как-то отсигналить этой штуке когда вводить пароль - отдельные грабли. Поэтому пароль вводится через некоторое небольшое время после подключения. А единственный метод коммуникации который там придумали - зарегаться как boot клавиатура и общаться с фэйк-клавой при помощи настоящей, мигая капслоком (очень удобный блин юзеринтерфейс в стиле морзянки). Изменения индикаторов шлются хостом на все клавы, так что фэйку они тоже достаются. Если специальным образом подрюкать капслок - фэйк заметит что юзер от него хочет внимания и например пароль новый хочет задать. Это так, если кто думал что этот ботинок-телефон что-то такое необычное и крутое. Оно такое уже лет пят наверное по интернетикам болтается.

Вообще, вот вам ваша суперхакирская "клава". Допилить до сабжа можно небольшим допатчиванием прошивки: http://www.rlocman.ru/shem/schematics.html?di=133991 - да-да, можете не только пароль вводить но и win+r жать, если хотите.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

10. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 02:23 
в новости написано как раз о том, что проявится измененный код только на другом компе, т.е. заливаешь, сверяешь суммы - все ок, а на другом компе может и не догадаются сверить. да и надеяться на глупость контроллера или того кто его взламывал - недальновидно.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Ordu email(ok) on 01-Авг-14, 03:06 
> Зато элементарная сверка хешей файлов прочитанных с флехи может запалить напасть. Хотя
> если код подставляется только иногда - может и не прокатить.

А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура, которая запускает терминал, затем, изображая нажатия на клавиши, "набирает" код программы, после чего отправляет её на выполнение.

> С другой стороны - у флехи мелкий контроллер, не такой уж и
> умный.

Да, это серьёзный ограничитель.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Новый вид атак с использованием перепрограммированных USB-ус..."  –3 +/
Сообщение от Аноним (??) on 01-Авг-14, 04:47 
> А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура,

Ну если вас не смущает бубнеж ядра про HID device при втыкании флехи - ну извините :).

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

23. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Ordu email(ok) on 01-Авг-14, 05:40 
>> А если он вообще не подставляется? На шине usb появляется виртуальная клавиатура,
> Ну если вас не смущает бубнеж ядра про HID device при втыкании
> флехи - ну извините :).

Вот к чему вы это сказали? К тому, что на конференции они будут заниматься туфтой и, как британские учёные, бессмысленно тратить своё время? Думаю нет, думаю вы имели в виду какую-то иную цель, когда говорили это. Но какую именно? Может вы хотели продемонстрировать окружающим свои невероятные познания и умение отслеживать в реалтайме все изменения в подключённых девайсах? Допустим, но мне кажется вы ошиблись адресом, такими знаниями лучше хвастаться в офисе перед планктонинами. М-м-м... Мне не придумать никаких других объяснений вашим словам. Может вы сами расскажете, чтобы мне не гадать?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

45. "Новый вид атак с использованием перепрограммированных USB-ус..."  –2 +/
Сообщение от Аноним (??) on 01-Авг-14, 13:17 

>  Может вы хотели продемонстрировать окружающим свои
> невероятные познания и умение отслеживать в реалтайме все изменения в подключённых
> девайсах? ь?

Зришь в корень. А может он хотел сказать, что выводить dmesg на пол эжкрана постоянно - это жизненная необходимость и те, кто этого не делает хомячки и вообще о безопасности не думают.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

81. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 22:56 
> пол эжкрана постоянно - это жизненная необходимость

Ну извините, если вы безбашенно втыкаете чужие флешки и лезете при этом под рутом в консоль, а флешка решит немного попечатать - кто вам доктор? Вон там ссыль на дихалта который сделал эрзац мышко-флешку вообще из г-на и палок (кишки мыши, хаб и флеха) и спер промышленные секреты таким манером, совершенно без палива, ибо мыша на вид самая обычная снаружи.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

22. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Классический Анонимус on 01-Авг-14, 05:29 
"у флехи мелкий контроллер"

Вы ошибаетесь. Есть флэшки с операционкой внутри. Пройдет год-два и флэшки станут ещё мощнее. Хотя софтовый USB делается на микроконтроллере атмега с 8кб памяти и несколько кб ОЗУ.

Как страшно жить! :(((((((((

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от pavlinux (ok) on 01-Авг-14, 03:41 
> у флехи мелкий контроллер, не такой уж и умный.

Угу, Intel i8088

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от Аноним (??) on 01-Авг-14, 04:48 
> Угу, Intel i8088

Бывает 8051 разогнанный, как один из вариантов.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

38. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 11:58 
> у флехи мелкий контроллер

А ты не подумал, что умный злой контроллер может легко эмулировать функции мелкого тупого контроллера.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

46. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 13:18 
>> у флехи мелкий контроллер
> А ты не подумал, что умный злой контроллер может легко эмулировать функции
> мелкого тупого контроллера.

Рано или поздно флешкам перестанет хватать питания, когда те начнут ломать пароли в консоли перебором ))

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

42. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от AlexAT (ok) on 01-Авг-14, 13:07 
Зато на каком-то современном SSD недавно при беглом осмотре обнаружил x86.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

53. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от bOOster email on 01-Авг-14, 14:21 
Какие хеши?? Откуда им там взяться? Чего с чем сравниваете? Атакующая флешка никогда не бывала в атакуемой системе.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 01:40 
Примерно так в общем-то ломали PS3...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Lui (??) on 01-Авг-14, 03:03 
Согласен. есть к примеру кейлогеры которых вообще не заметишь, которые в далекие времена подключались к ps2 , а какой нибудь usb который могет почти все (при правильных настроек рук - усе ))) ) не только снифить но и активно влиять на "жертву" - это может просто перерасти в разновидность вируса который передается через флэху,3g-модем,... , но аппаратно-софтварный. в принципе ничего не мешает сделать и программно-аппаратный вирус ) -- к примеру как я перепрогил usb-3g-модем )
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

85. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 02-Авг-14, 03:12 
> Согласен. есть к примеру кейлогеры которых вообще не заметишь, которые в далекие
> времена подключались к ps2

Заметим что он и слать что угодно мог в свое удовольствие. А что помешает то?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от pavlinux (ok) on 01-Авг-14, 03:29 
У ФСБ могли бы быть такие девайсы - в 2006 году сам делал.
Они сказали - нах... нам такие, при себестоимости 3$, с них откаты маленькие.
Но зато есть спец-USB-хаб от таких атак, так что - галактико в безопасности,
ну а хомяки пускай страдают. :-P

Кстате, [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы,
с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь.  

Собственно я это к чему?! А к тому, что OpenSource без OpenHardware - ИБД  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 04:49 
> У ФСБ могли бы быть такие девайсы - в 2006 году сам делал.

Да елки, такое кто только не делал.

> Они сказали - нах... нам такие, при себестоимости 3$, с них откаты маленькие.

Так надо было представлять это как убер-хайтеч-достижение. "100 баксов - за работу и 900 - за то что знаю что заменять" (c) анекдот.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от pavlinux (ok) on 01-Авг-14, 06:04 
> Так надо было представлять это как убер-хайтеч-достижение.

... они даже по 500$ связываться не стали бы.
Если в госзаказе меньше 10 лямов никто шевелится не будет.  
Как НИОКР прокатило, на полгода себя з/п обеспечили.  

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

82. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 22:57 
> Если в госзаказе меньше 10 лямов никто шевелится не будет.

Ну так это... 10 мега-девайсов по миллиону :).


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

49. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 13:42 
За тобой уже выехали.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

55. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от rob pike on 01-Авг-14, 14:46 
> [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы, с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь

И что, до сих пор нет ни одной опенсорсной имплементации этой тривиальной идеи?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

57. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Andrey Mitrofanov on 01-Авг-14, 14:52 
>> [ouex]hci-hcd.ko легко переделываются в фильтрующие хабы, с реквестами через дбус/ip/shm к юзерспейсной утилите, но это вы уже сами как-нибудь
> И что, до сих пор нет ни одной опенсорсной имплементации этой тривиальной
> идеи?

Как нет?! systemd-fairwalld-uedvd-usbd же. У Сиверса в git-е.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

15. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от pavlinux (ok) on 01-Авг-14, 04:13 
> При этом модификация проявится только при попытке установки Ubuntu
> на другом компьютере, проверка контрольной суммы после копирования
> файла не выявит проблем.

А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности системы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Новый вид атак с использованием перепрограммированных USB-ус..."  –2 +/
Сообщение от Аноним (??) on 01-Авг-14, 04:50 
> А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки
> целостности системы.

Как атакующий не может предусмотреть всех комбинаций систем, так и дистропитеки не могут предусмотреть все варианты западла от флешек. Понимаешь ли подменить сектор при чтении можно в любой момент...


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору
Часть нити удалена модератором

29. "Новый вид атак с использованием перепрограммированных USB-ус..."  +2 +/
Сообщение от commiethebeastie (ok) on 01-Авг-14, 09:08 
ЧСВ OVER 9000.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

48. "Новый вид атак с использованием перепрограммированных USB-ус..."  +2 +/
Сообщение от Аноним (??) on 01-Авг-14, 13:22 
>  от меня хрн дождётесь полезной инфы.

Никто и не сомневался.

> Чем больше деблов, тем больше у меня зарплата.

Зарплата дворника зависит от количества мусора?

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

30. "Новый вид атак с использованием перепрограммированных USB-ус..."  –2 +/
Сообщение от Аноним (??) on 01-Авг-14, 09:22 
>А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности системы.

они уже есть, только если ты включишь думающее устройство, то поймешь, что они вполне могут не помочь в случае, если флешка выдает измененный бинарь только в случае загрузки с нее.

и кстати от такой атаки хорошо должен помочь secure boot.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

86. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 02-Авг-14, 03:14 
> и кстати от такой атаки хорошо должен помочь secure boot.

Вот это не факт совсем.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

87. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 02-Авг-14, 10:30 
> от такой атаки

От какой атаки? От копирования файла с носителя? USB накопитель в этом смысле ничем не отличается от дискеты, сетевого накопителя и т.п. Бредовая статья.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Новый вид атак с использованием перепрограммированных USB-ус..."  +2 +/
Сообщение от Аноним (??) on 01-Авг-14, 12:13 
>> При этом модификация проявится только при попытке установки Ubuntu
>> на другом компьютере, проверка контрольной суммы после копирования
>> файла не выявит проблем.
> А вот это хороший пистюль дистропесакам, чтоб делали утилиты/сервисы проверки целостности
> системы.

Погугли BART.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

27. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от A.Stahl (ok) on 01-Авг-14, 08:38 
>Вредоносные изменения можно выявить зачастую только через очень трудоёмкие методы анализа, такие как физическое дизасcемблирование и обратный инжиниринг устройства.

Ну да. А может просто у оператора спросить а чего это он только что присобачил к системе? А для тех устройств которые редко отключаются\подключаются просто прописать их назначение где-то в конфигах? Это, наверное, слишком сложно. Ну пусть тогда пишут ИИ по слежению за поведением устройств. Точно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от например on 01-Авг-14, 10:04 
как страшно жить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Новый вид атак с использованием перепрограммированных USB-ус..."  +2 +/
Сообщение от YetAnotherOnanym (ok) on 01-Авг-14, 11:11 
Ну чо, зяпилят в ядро файрвол для USB - чо ещё делать...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 11:46 
1. Накодят systemd-usbd;
2. Накодят ужасного качества патч для ведра, потому что в процессе работы над п.1 всплывет фатальный недостаток;
3. Линус явит Животворящий Перст очередному кею сиверсу;
4. ?????
5. Новая новость на опеннете!
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

76. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 20:22 
Точно, usbtales. И правила, типа, в этом физическом USB порту может работать только накопитель. Если не накопитель, то -j REJECT (DROP).
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

90. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Xasd (ok) on 02-Авг-14, 18:55 
usbtables
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

101. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от Аноним (??) on 03-Авг-14, 16:43 
> usbtables

"Ты не поверишь....", но в дремучем Солярис 10 есть конфигурация безопасности для периферии, включая USB.....

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

37. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 01-Авг-14, 11:52 
Коллеги, посмотрите материал о выполнении контроллером клавиатуры несвойственных ему функций http://ilizarov.center/?page_id=91 В случае не полезной (как в примере), а деструктивной начинки защита от такого вряд ли будет простой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от Аноним (??) on 01-Авг-14, 12:24 
https://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Новый вид атак с использованием перепрограммированных USB-ус..."  –4 +/
Сообщение от odity on 01-Авг-14, 12:39 
Хахаха, сертифицировали кабинет шефа..значит ФСБ не так глубоко копает,когда делает осмотр каждого устройства,раз надо подходить индивидуально к каждому устройству. каждую клавиатуру не только просвечивать,но и проверять код прошивки??не думаю,что они это делают.))) рдал дого..поставил клаву шефу, а она со встроеным глазом и следит за ним, а через адаптер отправляет видео шпиону))) смешно в том, что такое мне снилось уже)))Моя фантазия впереди инноваций)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Новый вид атак с использованием перепрограммированных..."  +3 +/
Сообщение от arisu (ok) on 01-Авг-14, 13:12 
опять до кого-то дошло, что по универсальному интерфейсу кто угодно может притвориться HID-устройством? ну, круто, чо. почти так же круто, как недавняя новость про «уязвимость rm».
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от vi on 01-Авг-14, 15:46 
Прощай udev, здравствуй mknod!
Нет, назад возврата нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от udev on 01-Авг-14, 15:52 
прощай, vi
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

63. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Andrey Mitrofanov on 01-Авг-14, 15:57 
> Прощай udev, здравствуй mknod!
> Нет, назад возврата нет.

Ой-вей, ви-таки не любите outflux.net/blog/archives/category/vulnerabilities/ Xorg? И systemd, и автомаунт, и автозапуск?

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

84. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от vi on 01-Авг-14, 22:59 
>> Прощай udev, здравствуй mknod!
>> Нет, назад возврата нет.
> Ой-вей, ви-таки не любите outflux.net/blog/archives/category/vulnerabilities/ Xorg?
> И systemd, и автомаунт, и автозапуск?

Люблю! Но какою то странною Любовью!

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

64. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Аноним (??) on 01-Авг-14, 17:30 
для воровать данные норм,
не тока же барину собирать метаданные.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Новый вид атак с использованием перепрограммированных USB-ус..."  +1 +/
Сообщение от Аноним (??) on 01-Авг-14, 18:21 
А-а-а!!!
Мы все умрем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Кирилл (??) on 01-Авг-14, 18:23 
Как ни странно, вот же новость, но человек -- пользователь -- вообще ничего в устройствах компьютера не контролирует.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "Новый вид атак с использованием перепрограммированных USB-ус..."  +3 +/
Сообщение от Аноним (??) on 01-Авг-14, 22:59 
> Как ни странно, вот же новость, но человек -- пользователь -- вообще
> ничего в устройствах компьютера не контролирует.

Да, прилетела флешка. Сама воткнулась в системник.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

106. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Кирилл (??) on 04-Авг-14, 13:27 
ну не флэшка прилетела, а примеру -- южный мост. Или, тем более, сам процессор.
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

89. "Новый вид атак с использованием перепрограммированных USB-ус..."  –3 +/
Сообщение от Xasd (ok) on 02-Авг-14, 18:47 
а ещё USB-устройство -- может замкнуть дорожки питатния.

и в этом случае:

* либо сгорит материнская плата. (низкая вероятность)

* либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание USB-группы. (высокая вероятность).

* либо сработает программируемая многоразовая система отключения питания, за состояние которого отвечает прошивка UEFI. (низкая вероятность).

так что в любом случае засовывать в USB -- всякое говно -- не нужно. :-)

да и вообще -- если уж передавать файлы на флэшке -- то лучше на SD-флэшке а не на USB-флэшке. (хотя и SD-флэшка может быть перепрограммирована. но в клавиатуру или в сетевую карту она не может превратиться)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

99. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Аноним (??) on 03-Авг-14, 04:17 
> * либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание
> USB-группы. (высокая вероятность).

Там как правило многократные предохранители нынче, знаток.

> * либо сработает программируемая многоразовая система отключения питания, за состояние
> которого отвечает прошивка UEFI. (низкая вероятность).

Где вы такой бред берете?

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

102. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Классический Анонимус on 04-Авг-14, 08:24 
Я разрабатывал железки на ftdi и atmega. USB-порты на USB-хабе очень легко палятся насмерть по недосмотру.
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

104. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Xaionaro (ok) on 04-Авг-14, 08:34 
> Я разрабатывал железки на ftdi и atmega. USB-порты на USB-хабе очень легко
> палятся насмерть по недосмотру.

И как это делать (палить USB-порты)? (/me искренне интересно)

P.S.: IMHO, анонимам надо запретить говорить "я".

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

105. "Новый вид атак с использованием перепрограммированных..."  +1 +/
Сообщение от arisu (ok) on 04-Авг-14, 12:42 
> P.S.: IMHO, анонимам надо запретить говорить "я".

отчего это? O_O

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

108. "Новый вид атак с использованием перепрограммированных..."  +/
Сообщение от Xaionaro email(ok) on 04-Авг-14, 21:16 
>> P.S.: IMHO, анонимам надо запретить говорить "я".
> отчего это? O_O

Потому что фразы вроде «Я разрабатывал железки на ftdi и atmega» могут оказаться ложью и никак не повлияют на репутацию реального пользователя.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

103. "Новый вид атак с использованием перепрограммированных USB-ус..."  –1 +/
Сообщение от Xaionaro (ok) on 04-Авг-14, 08:33 
> а ещё USB-устройство -- может замкнуть дорожки питатния.
> и в этом случае:
> * либо сгорит материнская плата. (низкая вероятность)
> * либо сгорит одноразовый предохранитель на материнской плате, отвечающий за питание USB-группы.
> (высокая вероятность).

Откуда у вас такая информация? Я замыкал питание на USB, ничего не сгорало.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

107. "Новый вид атак с использованием перепрограммированных USB-ус..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 20:56 
В патчах grsecurity давно есть некоторая защита от этого. Можно sysctl-кой вырубить возможность обнаружения новых устройств без возможности обратного влючения этой возможности до перезагрузки. Т. е. загрузились, инит скрипт выставил значение kernel.grsecurity.deny_new_usb = 1 и усе, никакие новые USB устройства больше инициализированы не будут. Правда нужно безоговорочно доверять тем устройствам, которые подключены к компьютеру/серверу в момент загрузки. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру