El conector USB se ha establecido como estándar de la informática en los últimos años y es raro encontrar algún periférico, memoria o disco duro externo que no lo utilice. Dos investigadores de seguridad han encontrado un preocupante agujero en la seguridad de los USB que permite instalar un malware denominado BadUSB, invisible e indetectable, que permite tomar el control del ordenador donde esté conectado.
|
etiquetas: seguridad , usb
Negativos, yo os invoco
Encima lo que yo entiendo es un exploit del plug & play en si mismo que del usb osea que se podria extrapolar a mas dispositivos.
Negativos, yo os invoco
Las roms hoy día son flasheables sino mira como trabaja razer y tiembla.
Tú te refieres al firmware del dispositivo. Yo (y la noticia, por lo que creo entender) al firmware USB (que es donde podría estar el fallo en todo caso).
No puedes hacer una infección universal porque el firmware de cada dispositivo varía de tal forma que resulta imposible (sería un virus mágico si se adapta al código propietario de cada dispositivo... necesitarías un virus por cada modelo de móvil).
Si fuera el firmware del dispositivo no sería universal.
No sólo eso: la mayoría llevan protecciones por hardware por razones obvias. Por eso hay que tirar de flasheadores propietarios en los Samsung, por ejemplo.
Pero vamos, permíteme desconfiar de la redacción y confiabilidad de ADSLZone
Por lo que entiendo han cambiado el firmware del dispositivo que se comunica con el puerto usb del pc para aprovechar esa cobertura y atacar. Algo así como hacen los rootkits (suplantan un componente del sistema de modo que el sistema no se de cuenta, hace las mismas funciones que el original, pero además aprovecha sus privilegios para acceder y realizar acciones diferentes a las originales).
Los estándares libres, aún desarrollados por cuenta propia, tampoco son "de nadie" sino que pertenecen a todo el que los quiera usar.
Si no sigues uno de estos dos pasos es cuando no se universaliza (por lo que yo llamo el efecto "mi polla gorda").
Vamos, que no pretenden tocar los huevos sino buscar fallos de seguridad para arreglarlos y tener dispositivos seguros.
Un día de estos nos vienes conque dejen de perder el tiempo esos que hacen pruebas de impacto con los coches.
En eso estamos de acuerdo, yo me refiero al firmware del dispositivo. Si alertan es porque opciones hay.
De todas maneras ya veremos en que acaba, revelan todo en las vegas, inclusive la posible solución al problema.
Es facil de probar con cortocicutar la el bus de direciones de la nand o corrupcioanrla el pen se detecta mal en el os ya que la controladora se pone en modo fabrica/ingeneria esperando su repogramacion.
La roms encima hace años que no se usan por el abaratamaiento de la eeproms seriales hay cientos de aparatos usb que se pueden reprogramar facilemente la dificultad es hacerlo sin joder sus funciones basicas.
Efectivamente, ya veremos en que acaba.
EDIT: ok, en la fuente original (Wired, www.wired.com/2014/07/usb-security/) confirman que es de la controladora USB como sospechaba.
Hay antivirus porque hay virus. Y los virus no se crean por generación espontánea.
Aquí el vídeo. www.youtube.com/watch?v=r3GDPwIuRKI
Si no hubiera virus (y sus creadores) no existiría fallo y no sería necesario probar e investigar si hay o no hay fallos de seguridad.
#32 te presento a mi amigo el párrafo
#34 los fallos se buscan por pura diversión. Yo mismo me he dedicado a la ingeniería inversa simplemente "porque puedo".
Y además ya de paso haces mejorar la tecnología al descubrir esos fallos.
Si sólo hubiera una persona mala creando virus, no podría curar el cáncer, pero seguiría siendo importante la seguridad de nuestros dispositivos de la misma forma.
Similar chips are made by Silicon Motion Technology Corp and Alcor Micro Corp. Nohl said his firm did not test devices with chips from those manufacturers.
Phison and Google did not respond to requests for comment. Officials with Silicon Motion and Alcor Micro could not immediately be reached.
economictimes.indiatimes.com/tech/internet/hackers-can-tap-usb-devices
Ellos no buscaron este fallo porque ya se esté explotando sino porque los cabrones existen, los fallos también, entonces habrá que buscar esos fallos para que los cabrones no los encuentren y exploten.
#37. ¿Y que es lo que yo digo? Han de buscar los fallos porque existen cabrones que los usarán para meterte virus. Y mejor harían usando su capacidad para el bien. ¿O es que crean virus para mejorar el rendimiento de los ordenadores ajenos?
UNA persona no va a acabar con el cáncer.
Me atrevería a decir que se mueve mucho más dinero y muchas más personas y tiempo en investigación contra el cáncer que en hacer virus o protegerse contra ellos. Y aquí seguimos, sin cura.
#46 pero cómo infectas el firmware de TODOS los dispositivos si cada uno tiene el suyo propio? No puedes hacer un malware universal.
Sí sólo puedes infectar tu propio dispositivo no tiene gracia alguna O tendrías un malware que se adapta a varios firmwares (cuantos más ataque más pesado el código y más impráctico el ataque), pero nunca universal, como sugiere el artículo.
Yo sospecho que es algo a más bajo nivel, parte de la spec USB.
En todo caso no empecemos con que es indetectable , indescubrible y claro que la NSA está metida en el ajo.
Se pueden meter cosas en los micros de un dispositivo USB, la limitación está en el dispositivo USB en cuestión. En los modems USB ADSL se metía un firmware que bien podría modificarse para que hiciera cosas "malas" pero que la limitación está muy clara, los chips que tienen estos equipos no pueden ejecutar "lo que les de la gana" en el S.O.
accessrunner.sourceforge.net/firmware.shtml
Tampoco es una novedad, se venden dispositivos de almacenamiento USB que dicen tener capacidades USB inverosímiles 13GB, 171 GB, cosas así. Para hacer eso necesitas modificar el firmware que el USB tiene, nada más y nada menos. De ahí a que un dispositivo USB pueda hacer levitar el PC pues va un cacho, porque eso es más o menos lo que se dice el articulo.
Para tranquilidad de todos, es verdad que se pueden meter firmwares modificados en el controlador de un dispositivo USB pero también es verdad que estos controladores hacen pocas cosas (dependerá del dispositivo USB claro) podrían controlar "partes" del PC pero están limitados por lo que el driver, bien programado, haga.
Deberemos esperar a que oigamos la conferencia Black Hat para saber más.
P.D. El articulo está pobremente redactado y falto de conocimiento.
De todos modos, quien hace estas cosas para atacar algo concreto irá preparado para ese hardware concreto.
Bien es verdad que la mayoría de fabricantes reaprovechan chips controladores USB, y ahí es donde es fácil "universalizar" el ataque.
Y yo he leído "que aprovechan", vamos, que ya se están aprovechando de ese fallo en concreto. Mal por mi pero tú también has dicho:
"Si estos cabrones usaran su capacidad..." ¿qué estos cabrones? aquí no hay ninguno de ellos así que o especificas que hablas de "la otra gente mala" en general o lo que dices está mal.
Después dices: "Si no hubiera virus (y sus creadores) no existiría fallo" También falso, los fallos existen igual haya o no haya aprovechados explotándolos.
Resumiendo, dices que hay gente mala y que por eso hay que buscar y arreglar los fallos, que mejor se dedicaran a curar el SIDA. Pero lo expresaste mal y también es una obviedad.
"¿O es que crean virus para mejorar el rendimiento de los ordenadores ajenos? "
www.youtube.com/watch?v=c4N1T0Bx_Ds
Tambien se hicieron virus similares (o quizas fueron pruebas de concepto realizadas por investigadores como estos que realizarán la presentación en la black hat de las vegas) para esconderse en el firmware de los ordenadores (antes llamadas bios), en el firmware de los lectores o grabadores de cd-dvd, en el firmware de tarjetas graficas, en teclados, ... (asuntos que me suenan del pasado)
www.bloginformatico.com/virus-en-el-bios-como-desinfectar-y-flashear-e
www.theinquirer.es/2011/09/13/encuentran-un-virus-que-se-esconde-en-la
Se trata de esconder el codigo de un virus o troyano (o proceso que puede llamar al virus o troyano en una direccion de internet o de red que puede variar; downloader) en cualquier sitio en el que no mira ni analiza los antivirus y que tiene la capacidad de ejecutarse en un ordenador.
En el caso de los dispositivos usb es mas peligroso y ubicuo por el hecho de la existenica de todos los dispositivos externos usb. Memorias usb, moviles y smartphones, ...
Hace un tiempo salió esto
Putin entregó en el G-20 memorias y cables para móviles con un 'troyano' para captar datos
www.meneame.net/story/putin-entrego-g-20-memorias-cables-moviles-troya
Pero nadie dijo si consiguieron encontrar las pruebas y la muestras así que sería un bulo
Esto es lo que se me ocurria a mi
www.meneame.net/c/13775557
Relacionada
Electrodomésticos chinos espían a sus dueños
www.meneame.net/story/electrodomesticos-chinos-espian-duenos
Para los espias con medios gubernamentales, será trivial crear dispositivos con funciones especificas que digamos que internamente cambian su estado segun reciban una señal de radiofrecuencia o infraroja y lo hace mas indetectable todavia (nivel como la serie "Alias"). Si un experto se pone a analizar el firmware detectará un firmware bueno no infectado, pero si el dispositivo recibe algun tipo de señal, un "interruptor" conecta el firmware infectado o con el troyano.
Despues aunque estos enlaces señalan a Rusia o China, cualquier asunto que hagan ellos lo hará tambien eeuu (snowden nos reveló una cantidad ingente de programas de la nsa menea.me/19uty www.meneame.net/c/15077316), o israel, o reino unido, o alemania (o google, o apple, o jpmorgan, o hsbc, o monsanto, o intel, o basf www.meneame.net/c/13873160, o espectra )
Seria hacer que la controladora emule un teclado usb y luego mande comandos con lo que es imparcheable.
Encima como hay controladoras muy comunes como las phison hay muchos pendrives infectables de muchas marcas.
Pero vamos si los sistemas operativos ya son de por sí troyanos, Internet está pinchada por todos lados y no existe la privacidad, el software está lleno de spy ware, etc, que más da que nos la metan por el USB si ya nos la han metido por todos sitios.
De hecho la gente lleva alegremente una radio baliza GPS en el bolsillo que informa a una empresa en EEUU donde estamos, con quien nos comunicamos, cuales son los teléfonos que tenemos en la agenda, cuando hacemos fotos con el móvil las fotos van a una empresa de EEUU, cuando escribimos algo en una red social, saben que opinamos, saben que opinan los demás de nosotros, etc, etc, etc.
¿De que nos sorprendemos?
PD: y que conste que fanboys tenemos de sobra de cualquier pollez que te venga a la cabeza así que menos victimismo
Yo no hago "click" yo hago CLAKA CLAKA!
Donde esta esa gran mayoría de tanto poder que ni siquiera esta el comentario gris, le he dado un negativo por que los flames/spam no aportan nada a la conversación
Partiendo de que mi comentario era una broma, decirte que no, no soy fanboy, por mucho que AHORA me guste Apple. No soy fan de nadie ni nada, xq no hay nada perfecto. Pero dentro de lo que hay algunos de los productos de Apple me gustan, cumplen con lo que necesito, y los tengo.
www.wired.com/2014/07/usb-security/
#58 #0
"Even if users are aware of the potential for attacks, ensuring that their USB’s firmware hasn’t been tampered with is nearly impossible. The devices don’t have a restriction known as “code-signing,” a countermeasure that would make sure any new code added to the device has the unforgeable cryptographic signature of its manufacturer. There’s not even any trusted USB firmware to compare the code against."
Es "facil" de resolver y solucionar. Institucionalmente desde las empresas que proveen el software, drivers y los dispositivos usb.
Los fabricantes de dispositivos usb no tiene mas que generar un firma de su firmware original y bueno (no infectado) y una herramienta para comprobar si el firmware es correcto (pueden guardar el firmware, la firma criptografica de verificación y la herramienta para comprobarlo en las propias usb que vendan a partir de ahora). Deberán crear una especie de interface común (todas las herramientas para comprobar el firmware se deberán lanzar de forma parecida para que los antivirus del mercado implementen una funcionalidad para lanzar la comprobación de forma común).
Tambien los fabricantes de dispositivos usb pueden poner en internet de una forma estandarizada la firma de el firmware asignado a cada driver o identificación de dispositivo, para que lo puedan utilizar los fabricantes de sistemas operativos y de antivirus y herramientas de seguridad.
Se podrá integrar en un parche de microsoft para windows 7, windows 8, o parches de apple para IOS, y parches de google para android y otros dispositivos dentro de la funcionalidad. Casi todos los sistemas operativos hoy en dia tienen una funcionalidad para buscar los drivers/controladores de los dispositivos cuando se conectan. Ellos en su nube (la misma en la que se comprueban si un dispositivo tiene driver disponible por ejemplo en microsoft y se descarga) tendrán información de dispositivos cuyos fabricantes han distribuido firma criptografica del firmware original.
Habrá bases de datos abiertas, standard y accesibles por internet en la que estaran enlazados los datos de identificación de fabricante y producto (este tipo de numeraciones ya existen para identificar los propios dispositivos usb), junto con la disponibilidad de firma criptografica del firmware original y el estandar de comprobación de la firma criptografica del firmware. Estas bases de datos las podran… » ver todo el comentario
Todo dispositivo USB tiene adentro un chip controlador que lleva un pequeño programa. En el caso de una memoria USB, han descubierto que se puede modificar ese programa para que "simule" la existencia de un "autorun.inf" o lo que haga falta, sin necesidad de que los datos estén grabados en la memoria en sí. O sea que por más que uno formatee o borre todos los datos, se puede hacer que la memoria siga mostrando determinado archivo. Se podría hacer, por ejemplo, que esos archivos aparecieran una de cada 10 veces que se utiliza la memoria, así se complicaría el trabajo de detectarlo. #16: Supongo que también sería posible que al conectar un ratón USB, este cambiara su comportamiento normal y se reportara al sistema como una memoria USB que contiene archivos con virus.
No es algo relacionado con los drivers del dispositivo USB, ni con el sistema operativo. Obviamente sólo resultará infectado con un virus un sistema que sea vulnerable a él. Por ejemplo el famoso "autorun.inf" ya no afecta a versiones "modernas" de windows.
Que haces aquí perdiendo el tiempo que no estas buscando tú una cura para el cáncer?
Ahora bien, como preguntaba arriba, son únicamente datos en el disco duro, una reinstalación de sistema debería eliminar el problema (si lo hubiera). ¿O estamos hablando de modificar el firmware de la placa a nivel "físico"?
Si tengo un ordenador infectado y cambio esa placa de "caja", instalando otro disco duro/gráfica/micro ... no infectaría automáticamente a todos los dispositivos usb que entraran en contacto con ella, ¿no?
Vamos, que puedes actualizar la bios sin muchos problemas, pero ¿Se pueden actualizar más cosas en las placas?
En cuanto a lo que comentas, es normal que los pendrives parpadeen un rato después de darles a "expulsar", es cuando se acaban de grabar datos que no estaban todavía pasados al pen (aunque a ti te aparezcan en la carpeta, por eso hay que darle a expulsar antes de quitarlo). Luego se hacen una serie de grabaciones extra, se marca la unidad como que ha sido extraída correctamente con su fecha y esas cosas.
Incluso aunque haya salido ya el cartelito de "puede desconectar el dispositivo", para mi esto es un fallo de diseño de las interfaces gráficas que aún ahora se empieza a solucionar. Si parpadea es que se está accediendo y no se debe quitar, si haces un umount (comando de terminal equivalente a "expulsar" el pendrive para *unix) normalmente el dispositivo acabará de parpadear casi al momento que acabe el comando.
Si te sigue parpadeando esporádicamente un buen rato después de estar "expulsado", también lo he visto pasar, probablemente algún "demonio" del sistema operativo comprobando su estado, no lo se a ciencia cierta, pero yo no me preocuparía por esta noticia. Si no me equivoco es algo que ocurre solo en Windows, así que a saber que estará haciendo.
[Edit: Sorry. No vi que #42 ya lo había mencionado]
#13 El firmware no es solo en ROM. Puede ir en EEPROM, Flash, Nand ...
Por lo que he entendido, la cosa es que se puede conseguir que el dispositivo se identifique como algo que no es. Pero tiene que ser algo para lo que el SO tenga drivers. Es decir, se podrá identificar como un ratón, como un teclado, como un pincho wifi o bluetooth, como una cámara de fotos o como un reproductor mp3, o como algún otro dispositivo. Pero si se identifica como "dispositivo_maléfico", el SO dirá que faltan los drivers para comunicarse con ese aparato. Además, el controlador del USB del host detectaría ese nuevo dispositivo y lo mostraría. Es decir, si conecto una cámara de fotos y me aparece un nuevo teclado, me mosquearía un poco, y no sería indetectable como dice la noticia.
De todos los dispositivos que se me ocurren con los que puedan hacer lo que dicen, solo se me ocurre que se identifique como un teclado y empiece a mandar comandos. Pero si realmente es eso, la noticia me parece un poco sensacionalista/exagerada. Por ejemplo, para modificar el servidor DNS como dicen, podría mandar las teclas "windows+r cmd", obteniendo así una consola y editar entonces el fichero /etc/resolv.conf, o lo que sea que haya en windows. Pero para editar ese fichero hace falta permisos de administrador/root (por lo menos en los sistemas operativos de verdad), así que o el usuario mete la contraseña en cuanto le salga la ventanita, o no funcionaría.
Por no hablar de que si estoy usando mi ordenador y de repente aparece un terminal de l nada me mosquearía un poco. Tal vez podría mover la ventana mandando "Alt+espacio m ←←←...", pero o te pilla que no estás mirando a la pantalla o lo verías, porque muy rápido no es que la mueva.
Además el SO operativo no informa al "teclado" de otras actividades que ejecute el ordenador, por lo que no serviría esperar a que por ejemplo se detecte un largo periodo de inactividad; el dispositivo_maléfico se la tendría que jugar y esperar no ser detectado.
Igual se me escapa algún otro tipo de dispositivo con el que se pueda hacer lo que dicen o igual no lo he entendido bien. Habrá que esperar a que hagan la demostración esa que dicen que van a hacer, porque en la noticia y en la fuente original que enlaza #28 tampoco se explayan mucho.
Llamar DOS a la terminal de Windows viene de cuando el 95 y el 98, ya que era realmente un MS-DOS. Yo siempre lo he visto unido a personas que "creen saber" pero luego llaman igual a una terminal de Linux. Habrá excepciones, pero prefiero las cosas por su nombre (precisamente por eso no llamé servicio a algo que no se si lo es).
La cosa es que Windows tiene la manía de revisar de vez en cuando cualquier unidad, incluso aunque no tenga ninguna partición que pueda reconocer. Así que de ahí el comportamiento que mencionas.
srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pd