image

Onderzoekers kapen Linux-pc met op Windows besmette USB

zaterdag 9 augustus 2014, 16:03 door Redactie, 9 reacties

Tijdens de Black Hat conferentie in Las Vegas hebben beveiligingsonderzoekers Karsten Nohl en Jakob Lell aangetoond hoe ze met een geprepareerde USB-stick computers volledig kunnen overnemen. De aankondiging van de demonstratie genereerde al voor de conferentie de nodige aandacht.

De twee onderzoekers waarschuwden namelijk dat op onbetrouwbare computers aangesloten USB-apparaten niet meer zijn te vertrouwen. Om de "BadUSB" te maken, zoals de onderzoekers hun aanval noemden, reverse engineerden en wijzigden ze de firmware van de microcontroller waar USB-sticks over beschikken. Iets waar de onderzoekers met zijn tweeën minder dan twee maanden voor nodig hadden.

Tijdens de eerste demonstratie lieten Nohl en Lell zien hoe hun geprepareerde USB-stick een Windowscomputer infecteerde. Via deze aanval was het ook mogelijk om andere USB-sticks die op de computer werden aangesloten te herprogrammeren, zodat die weer andere computers konden overnemen. Bij de tweede demonstratie werd getoond hoe een op een Windowscomputer besmet geraakte USB-stick een Linux-pc overnam.

Screensaver

De onderzoekers merkten op dat Linux-malware met verminderde rechten draait en sudo-rechten nodig heeft om andere USB-sticks die worden aangesloten te infecteren. Hiervoor bedachten de onderzoekers een truc waarbij het sudo-wachtwoord van de gebruiker via een screensaver wordt gestolen. De ingestelde screensaver wordt namelijk herstart met een keylogger. Zodra de gebruiker zijn wachtwoord invult om de screensaver te ontgrendelen, kan de keylogger dit wachtwoord onderscheppen en zo sudo-rechten krijgen.

Voor hun onderzoek keken Nohl en Lell voornamelijk naar USB-sticks. Ze laten echter weten dat ook externe harde schijven, webcams, keyboards en mogelijk nog veel meer USB-apparaten gebruikt kunnen worden. Het advies dat de onderzoekers in aanloop naar hun presentatie gaven blijft dan ook ongewijzigd. "Zolang USB-controllers te herprogrammeren zijn moeten USB-apparaten niet met anderen worden gedeeld."

De onderzoekers hebben besloten de aangepaste USB-firmware niet vrij te geven, maar hebben wel deze proof-of-concept voor Android-apparaten online gezet waarmee gebruikers hun beveiliging kunnen testen. "Het is misschien nu niet het einde van de wereld, maar we zullen er rekening mee moet houden, elke dag een beetje, voor de komende 10 jaar", aldus Nohl tegenover journalisten, zo meldt de BBC.

Reacties (9)
09-08-2014, 18:15 door Briolet
De ingestelde screensaver wordt namelijk herstart met een keylogger. Zodra de gebruiker zijn wachtwoord invult om de screensaver te ontgrendelen, kan de keylogger dit wachtwoord onderscheppen en zo sudo-rechten krijgen.

Dat zal echt niet lukken bij serieuze gebruikers. Die werken standaard onder een user account en dan heb je nog steeds niet het wachtwoord onderschept dat sudo rechten geeft.
09-08-2014, 19:37 door golem
Door Briolet:
Dat zal echt niet lukken bij serieuze gebruikers. Die werken standaard onder een user account en dan heb je nog steeds niet het wachtwoord onderschept dat sudo rechten geeft.
Dan heb je het niet meer over gebruikers maar over deskundigen.
10-08-2014, 00:57 door Anoniem
Door golem:
Door Briolet:
Dat zal echt niet lukken bij serieuze gebruikers. Die werken standaard onder een user account en dan heb je nog steeds niet het wachtwoord onderschept dat sudo rechten geeft.
Dan heb je het niet meer over gebruikers maar over deskundigen.
Of over Debian distro's
10-08-2014, 11:34 door [Account Verwijderd] - Bijgewerkt: 10-08-2014, 11:34
[Verwijderd]
10-08-2014, 15:58 door yobi
Bij veel Linux-distributies wordt de geïnstalleerde gebruiker aan de sudoers toegevoegd. Debian doet dat standaard niet. Voor het sudo commando wordt het gebruikers wachtwoord vereist.

Vreemd overigens dat mijn Chinese Mifi opgeladen moet worden via een USB-aansluiting en zich dan voordoet als CD-speler zonder media.

Tijd dus voor de USB-condoom: Alleen rood en zwart aangesloten omhult met doorzichtig plastic.
10-08-2014, 17:47 door Anoniem
Door Krakatau:
Door Briolet:
De ingestelde screensaver wordt namelijk herstart met een keylogger. Zodra de gebruiker zijn wachtwoord invult om de screensaver te ontgrendelen, kan de keylogger dit wachtwoord onderscheppen en zo sudo-rechten krijgen.

Dat zal echt niet lukken bij serieuze gebruikers. Die werken standaard onder een user account en dan heb je nog steeds niet het wachtwoord onderschept dat sudo rechten geeft.

Het sudo wachtwoord is het wachtwoord van het user account. Want sudo is juist bedoeld om te voorkomen dat je een root wachtwoord gebruikt.

(Als je het su commando gebruikt dan geef je een root wachtwoord op. Met het sudo commando geef je je eigen wachtwoord op.)

Opmerking van Briolet had vermoedelijk betrekking op Mac OS X.

Onder een Standaard Account in OS X kan je niet direct Sudo Commando's uitvoeren, je krijgt dan de melding dat het betreffende standaard account niet in de Sudoers Lijst staat (onvoldoende rechten in dit geval).

Diverse mogelijkheden om dat te omzeilen :

1) Inloggen op je admin account met opgave admin password ;-) en dan het sudo command uitvoeren met de juiste rechten.
2) Met gebruik van het 'Su' Command binnen Terminal.app inloggen als Admin Gebruiker, daar heb je ook weer een Admin Password ;-) voor nodig.
3) De betreffende Standard User Account toevoegen aan de Sudoers Lijst, handeling te verrichten onder je Admin Account ;-) c.q. met Admin Rechten ;-) waarvoor een Admin Password ;-) vereist is.
4) .. ;-) ..


Commando's gebruiken onder een Standaard User Account :

Onder een Standaard Account een commando uitvoeren zonder de toevoeging Sudo kan soms wel overigens, vermoedelijk alleen commando's die binnen de toegekende (beperktere!) rechten vallen van het Standaard Account.
10-08-2014, 19:05 door Eerde - Bijgewerkt: 10-08-2014, 19:08
SU of sudo ligt aan je distro.
Vroegâh kon je bv binnen openSuSE niet hetzelfde ww hebben als user én su (root).
Tegenwoordig moet je kiezen bij de installatie of je een sudo wil, waarbij user ww of su rechten heeft ofdat je twee verschillende ww'den wilt. Dat laatste doe je natuurlijk !!

SU, admin, root hoe je het wilt noemen moet je natuurlijk gescheiden houden van de user ww'den ! Klontjes lijkt mij !

Verder is het hele concept onzin. Ik gebruik a. geen screensaver die ik moet unlocken met ww. En b. als je dat al doet is het een gebruikers ww en geen su ww.
11-08-2014, 09:49 door dutchfish
Met het stelen van het account welke is opgenomen als sudoer, is het natuurlijk kinderlijk eenvoudig om root acces te krijgen of een user aan te maken met die rechten als eenmaal het wachtwoord van dat useraccount is gestolen wat te brede sudo rechten heeft.

Sommige distro's geven te veel rechten weg aan om automount automatisch mogelijk te maken. Ik vindt gemak toch net even slechter dan security.

Het probleem is ditmaal echter niet file level of block level rights escalation, de malware zat ditmaal verstopt in de firmware van het opslagmedium zoals een usbstick. Maar het blijft natuurlijk niet beperkt tot usbsticks, ook 'reflashable' externe schijven en randapparatuur zijn verdacht. Ook een 'slim' toetsenbord of usb camera is mogelijk wat over usb verbinding maakt en een beschrijfbaar flash firmware bevat.

Het probleem zit niet zozeer in het operating systeem, maar het gebruikte USB protocol. Ik verwijs naar de REFS. Tijd om alle USB is stevig onder de loep te nemen met een security bril op en een alu-hoedje.

Een tevreden Debian gebruiker.
11-08-2014, 19:03 door Anoniem
Volgens mij heeft die keylogger eerst root rechten nodig om uitgevoerd te mogen worden en als je onder een user account werkt gaat het hem niet worden.
verder is het als prof gebruiker dom om als admin root account te werken of het zelfde ww te gebruiken.
En su of sudo gebruik je als je wat wilt doen wat meer rechten nodig heeft en een ander ww dan user heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.