Microsoft waarschuwt voor nieuwe dreiging van USB-sticks
Microsoft heeft zowel thuisgebruikers als bedrijven en organisaties gewaarschuwd voor de nieuwe dreiging die van USB-sticks uitgaat. De softwaregigant wijst daarbij naar onderzoek van Kasten Nohl en Jakob Lell, die tijdens de recente Black Hat conferentie in Las Vegas hun BadUSB-aanval lieten zien.
De onderzoekers waren erin geslaagd om de firmware van verschillende USB-sticks, de software die de communicatie met de computer verzorgt, te herprogrammeren. Zo is het mogelijk om in de firmware malware te verstoppen die de computer infecteert zodra de USB-stick wordt aangesloten. Ook zijn allerlei andere aanvallen mogelijk. De onderzoekers deden verschillende aanbevelingen om het probleem aan te pakken, maar dit ligt voornamelijk bij de fabrikanten.
Gevolgen
De directe gevolgen voor thuisgebruikers zullen op de korte termijn meevallen, zo stelt Geoff McDonal van het Microsoft Malware Protection Center. Het kan zijn dat sommige USB-apparaten op de lange termijn moeten worden weggegooid als ze het doelwit van BadUSB-achtige malware worden en er geen update van fabrikanten beschikbaar is.
De gevolgen voor organisaties en bedrijven die USB-sticks gebruiken is een stuk groter. Volgens McDonald is het belangrijk dat er naar een USB-model wordt overgestapt waarbij de apparaten over niet beschrijfbare firmware beschikken en dat de firmware-updates digitaal gesigneerd zijn.
Controle
Met name bedrijven die met zeer gevoelige gegevens werken zouden het firmware-updateproces moeten controleren voor alle USB-apparaten die op dit moment worden gebruikt of aangeschaft. Afhankelijk van de gegevens waar de organisatie mee werkt moet er ook rekening worden gehouden met het land van de fabrikant en het distributiekanaal.
Daarnaast moet zakelijke beveiligingssoftware investeren in het beschermen van computers tegen USB-apparaten. Verder kunnen hardwarematige USB-hubs worden ingezet die alleen bepaalde type USB-apparaten toestaan en het aanpassen van de firmware voorkomen. "Vergelijkbaar met een traditionele netwerkfirewall", aldus McDonald. "De zakelijke beveiliging rond USB-apparaten gaat op de schop. Het proces is mogelijk pijnlijk maar noodzakelijk."
Op http://alexandria.tue.nl/extra1/dictaten/wiski/732177.pdf is nog een dictaat programmeren te downloaden van de meest beroemde IT´er uit NL, namelijk Edsger Dijkstra, zie bijvoorbeeld http://pantheon.media.mit.edu/rankings/people/all/all/-3000/1950/25 :-)
In tegenstelling tot de meeste andere draagbare media heeft USB extra (hardwarematige) verbindingslagen zonder gestandaardiseerde drivers.
De firmware voor een USB-device staat niet op het systeem, maar op het USB-device zelf en die wordt hardwarematig geladen, ongeacht het soort systeem / OS (pc / tablet / smartphone / etc.).
Het OS (AV) heeft alleen invloed op de application-layer en dan is het al te laat, want de driver is dan dus al geladen.
En de dreiging? Tsja, vroegâh was het voorbehouden aan serieuze partijen die nucleaire installaties onschadelijk wilden maken, toen kwamen er gele bad-eendjes en nu wordt het dus voor nóg meer mensen bereikbaar. Slechte zaak :(
De enige oplossing is het toepassen van hardware_classes (whitelisten) en het opzetten van strikte group policies. Beide zijn een serieuze uitdaging op veel OS / apparatuur, wat daarbij voor de meeste soort systemen natuurlijk ook een dramatische vermindering van functionaliteit betekent, en zelfs dat is geen 100% garantie omdat alle USB-apparatuur door de fabrikant / leverancier zou kunnen zijn beïnvloed (alu hoedje on/off).
Het wachten blijft dan ook op een andere architectuur voor USB, al betwijfel ik of dat met het huidige hardware-model mogelijk / praktisch / haalbaar is.
Al jaren gebruik ik Macintosh software, maar ik vind deze opmerking passend bij het IQ niveau van een zoetwater weekdier.
De Anti-virus pakketten scannen de bestanden *op* zo'n stick, niet de firmware van de stick. En dat is waar deze waarschuwing over gaat...
Volgens mij grijpt de virus scanner nog niet in wanneer de usb voor het eerts in de pc gestoken wordt en deze vervolgens de "driver" gaat laden om de data te enaderen. Dat stuk zit i de firmware. Daarna komt je Anti virus pas aan de beurt om de inhoud van de nu toegankelijke data te scannen. En a ti virus is niet zalig makend, zeker niet als bv bekend is welke AV je gebruikt om dan zodanig aan te passen dat deze het niet ziet.y
Bekende problemen:
- DMA aanvallen via USB
- BIOS aanvallen in de boot sequence
- Fuzzing op kwetsbare drivers
- Nog veeeel meer
Euh, die worden vaak maar in één machine gebruikt. Het is een terecht risico, maar de kans dat je er door besmet raakt is velen malen kleiner als een USB-stick die van PC naar PC gaat...
Een USB stick is een beetje als een tandborstel waar de hele straat gebruik van maakt.... het is wachten tot je een keer wat oploopt....
Gast.... wordt wakker.... het bestandsysteem van een USB stick is pas uit te lezen als driver is geïnstalleerd is en dit kan worden gedaan vanuit de firmware.... een conventionele anti-virus scanner kan dus niet het apparaat scannen voor dat het het apparaat kan lezen en dan is het kwaad al geschied ;)
Gast.... wordt wakker.... het bestandsysteem van een USB stick is pas uit te lezen als driver is geïnstalleerd is en dit kan worden gedaan vanuit de firmware.... een conventionele anti-virus scanner kan dus niet het apparaat scannen voor dat het het apparaat kan lezen en dan is het kwaad al geschied ;)
Dan maak je toch een virusscanner voor drivers?
De firmware voor een USB-device staat niet op het systeem, maar op het USB-device zelf en die wordt hardwarematig geladen, ongeacht het soort systeem / OS (pc / tablet / smartphone / etc.).
Het OS (AV) heeft alleen invloed op de application-layer en dan is het al te laat, want de driver is dan dus al geladen.
Er kan wel firmware op een USB device staan maar deze is alleen voor de processor die op het USB device zelf zit
dus niet voor het systeem waar je die in steekt. De drivers voor de communicatie met het USB device worden wel
degelijk door de OS leverancier geleverd of ze staan apart ter installatie op een virtuele CD die het USB device levert,
en waar je de installer zelf van moet opstarten. Dat zal op een fatsoenlijk geinstalleerd systeem niet automatisch
gebeuren en zal verboden zijn als je geen beheer rechten hebt of kunt krijgen.
Het is dus niet zo dat er ongedetecteerd drivers van een USB device op het host systeem geladen worden en daar
uitgevoerd. Wel kan een geherprogrammeerd device "grappige dingen" doen zoals zich voordoen als een keyboard
en dan dingen gaan intypen. Het effect daarvan beperkt zich bij een fatsoenlijk systeem tot de huidige gebruiker.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.