Автор Тема: firmware viruses  (Прочетена 5079 пъти)

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
firmware viruses
« -: Nov 27, 2016, 11:49 »
   За съжаление, много трудно се намира конкретна информация за
голям security проблем, касаещ повечето USB у-ва.
   Става въпрос за това че при включване на USB у-во в компютъра,
ако firmware е заразен,може да се поеме пълен или почти пълен контрол
в/у компютъра.Напр. може да емулира клавиатура (!) ,и да накара компа
да изпълни всякакви команди.
   Това е демонстрирано още преди 2 години на конференция (показана е
т.нар. "BadUSB" уязвимост),но и досега няма конкретна информация как да
предпазим компютрите си.
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: firmware viruses
« Отговор #1 -: Nov 27, 2016, 16:13 »
Не зная, защо се притесняваш. Командите в линукс, които могат да навредят на системата изискват и съответните права, за да се изпълнят. най-много да си затриеш разни файлове в домашната папка.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

programings

  • Напреднали
  • *****
  • Публикации: 221
  • Distribution: Arch Linux, BunsenLabs Linux, FreeBSD
  • Window Manager: XFCE, MATE, Openbox
    • Профил
Re: firmware viruses
« Отговор #2 -: Nov 27, 2016, 20:06 »
Няма как да се предпазиш ефективно, в текущия си вид USB протоколът няма как да адресира задоволително BadUSB - той си работи по един и същ начин за всички устройства и операционната система няма как да знае дали дескрипторът, който и се подава, действително отговаря на това, което представлява устройството.

Пасивен метод за някаква защина е нещо от рода на usbkill (https://github.com/hephaest0s/usbkill) или silk-guardian (https://github.com/NateBrune/silk-guardian) като kernel модул и whitelist-ване на твоите устройства по VID и PID.
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: firmware viruses
« Отговор #3 -: Nov 28, 2016, 09:18 »
   Хубаво де,тогава излиза,че много голям брой сървъри,десктоп компютри,
таблети и смартфони са уязвими ,и на (почти) никого не му пука за това :o
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: firmware viruses
« Отговор #4 -: Nov 28, 2016, 11:07 »
Точно. На никой не му пука. Повечето хора не знаят за тези неща. Но, ако си се загрижил точно за USB-тата, малко си встрани от посоката по която се движат нещата. Никой няма да се хване да ти хаква таблета по този начин. Ако иска, може да го направи през SIM картата. И тя е направена, за да може да се правят пакости.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

BRADATA

  • Напреднали
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: firmware viruses
« Отговор #5 -: Nov 28, 2016, 11:54 »
И понеже се споменаха сървъри - ако въпросния хахор има физически достъп до сървъра USB-то ще ти е последната грижа....
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: firmware viruses
« Отговор #6 -: Nov 28, 2016, 13:48 »
   Не става дума някой хахор да има физически достъп до сървър.
   Може някой по невнимание да сложи заразена флашка или външен
диск и ... дотам.
   Разбира се,може достъпа до USB да бъде забранен от BIOS/UEFI .
   Но, все пак високият риск си остава.
Активен

BRADATA

  • Напреднали
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: firmware viruses
« Отговор #7 -: Nov 28, 2016, 14:12 »
..... И пак отиваме на въпроса как така някакви хора ще вървят и ще бучат някакви низвестни усб устройства от сървър на сървър.....
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: firmware viruses
« Отговор #8 -: Nov 28, 2016, 14:56 »
   Въпросът е принципен,пак ще го повторя.
   Не се обръща внимание на този проблем.
   Всъщност,дори не е нужно "някакви хора ще вървят и ще бучат някакви низвестни усб устройства от сървър на сървър....".
   Може да е засегнат десктоп компютър с активна ssh сесия към някой
важен сървър.
   Или някоя кифла иска да свали снимки от смартфона си на служебния
компютър (да покаже купените си парцалки от мола)...
   Дори и да има политика на съотв. фирма/организация да се забранява
включването на външни USB у-ва ,може да се окаже ,че някой е забравил
да ограничи достъпа на нов компютър ,с току-що инсталирана ОС...
  И, ще се разбере,че има проблем чак когато "е опрял ножа до кокала" ...
Активен

BRADATA

  • Напреднали
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: firmware viruses
« Отговор #9 -: Nov 28, 2016, 15:08 »
Аз те разбирам, въпроса е, че ти не ме разбираш. Или нямаш идея какво значи стерилна среда. Десктоп с активна ссх сесия към сървър не може да емулира отдалечено усб и да монтира на сървъра нищо. Самия факт, че има ссх сесия означава, че който трябва да има достъп - вече има достъп. А ако важния сървър се достъпва от "всички" с "root" аксес - ами администратора е за обесване. На тема кифли - повярвай ми с пет параметъра в груб и modprobe.conf няма да има нищо работещо освен клавиатура и мишка (правил съм го точно с тази цел - да не могат разни хора да бучат разни неща без разрешение). А пък "някой" като "забравя" да прави неща, които са му работа на компютрите - ами да си взима парцалките и да отиде да чете и да тренира на по-маловажни позиции.
Не ме разбирай погрешно - самия факт, че важните сървъри имат конзолен достъп е проблем от гледна точка на сигурността, но това не значи, че разработчиците трябва да хабят време да фиксват (или да търсят начин да предпазват ОС от) всяка дивотия дето може да трекне на някой да направи.
Активен

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: firmware viruses
« Отговор #10 -: Nov 29, 2016, 09:40 »
"Десктоп с активна ссх сесия към сървър не може да емулира отдалечено усб и да монтира на сървъра нищо."
   Да,така е,но имах предвид ако десктоп компютъра е заразен,при активна
ssh сесия може да зарази и сървъра,може да изпълни отдалечено всякакви
команди(проблема е наистина сериозен ,ако е влязъл като root).За един
добър системен програмист не е проблем да вгради такава функционалност във firmware вируса.
   Както и да е.
   Все пак,метафорично казано,успях да бия камбаната за сериозен проблем,който се игнорира от сисадмините.
   Излиза,че ако в една стая има голям слон,само аз мога да го забележа ...
Активен

supervas

  • Гост
Re: firmware viruses
« Отговор #11 -: Nov 29, 2016, 09:55 »
"Десктоп с активна ссх сесия към сървър не може да емулира отдалечено усб и да монтира на сървъра нищо."
   Да,така е,но имах предвид ако десктоп компютъра е заразен,при активна
ssh сесия може да зарази и сървъра,може да изпълни отдалечено всякакви
команди(проблема е наистина сериозен ,ако е влязъл като root).За един
добър системен програмист не е проблем да вгради такава функционалност във firmware вируса.
   Както и да е.
   Все пак,метафорично казано,успях да бия камбаната за сериозен проблем,който се игнорира от сисадмините.
   Излиза,че ако в една стая има голям слон,само аз мога да го забележа ...

Аз, в подобни ситуации казвам: "Welcome to the real world spec1a!".

Мисля че това достатъчно ясно и пълно описва ситуацията в ИТ сфератар а и не само в нея!
Само този, който не се е опитал да събори някоя система, не е успял. За ИТ системите дори няма нужда да се дават (повече) примери, те са навсякъде около нас. Трябва само да се огледаме.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Как се прави firmware за switch, router, firewall?
Общ форум
rcbandit 11 5424 Последна публикация Feb 16, 2011, 11:30
от solarflux
Tp-Link TL-WR542G Firmware Проблем
Настройка на хардуер
Damp1r3 8 5043 Последна публикация Nov 15, 2011, 14:39
от Acho
Скапах безжичната мрежа (firmware) на лаптоп HP510
Настройка на хардуер
mat 9 5363 Последна публикация Jul 19, 2012, 23:47
от kalinik
Firmware за WDR3600 v1.3?
Настройка на хардуер
Marchev 8 4494 Последна публикация Aug 07, 2013, 16:14
от Marchev
AMD-VI:[Firmware Bug] : IOAPIC[5] not in IVRS table
Лаптопи
pfs12 1 10788 Последна публикация Sep 04, 2020, 19:47
от malin1