Werkt de gepubliceerde code voor alle (bekende) USB-sticks of alleen USB-sticks met een Phison chip?

Leuk,maar niet heus;Want alle malwareschrijvers en hackers weten het nu ook en het zal al gauw in een exploit/malware-toolkit worden opgenomen.En wat heeft de gewone pc gebruik(st)er aan deze wetenschap? Niks,want er is geen oplossing voor beschikbaar.Ja,je kunt besluiten om geen usb stickies meer te gebruiken,,maar hoe ga je dan je foto's e;d; opslaan? En een usb internetdongle kun je ook wel vergeten,dus heb je geen toegang tot bekabeld internet en wifi dan heb je geen internet.Ook computermuizen en toetsenborden schijnen via usb techniek te werken en worden ook getroffen.Ik vindt dat deze heren het internetpubliek in gevaar brengen en ik overweeg in geval van een aanval tegen mijn pc's met de beschreven techniek om deze heren aan te klagen en daarvoor aansprakelijk te stellen,zowel voor de privacyschade alsook schade aan hardware en kosten voor herstel en evt.vervanging vd pc..Ik neem dan gewoon een Amerikaanse advokaat die op no cure no pay-basis werkt.

Je overweegt maar tot je een ons weegt.
wel gebruik maken van USB, en als er dan iets mee is de melder daarvan gaan zitten overwegen.

al je eigen fouten, zoals de aanschaf van een pc,en het opslaan van je data op die pc, lekker afserveren aan een ander.
Dan had je je foto's maar met doek en penseel moeten maken, en je brieven op perkament moeten opstellen.

De opdracht is simpel: stop geen onbeschermde stickies in je gaten. En als je usb muis straks is getransformeerd tot een terror-muis des doods, dan koop je gewoon een nieuwe. Ja, of je koopt een zeis en een mud aardappelen en een zak tarwe. Lekker tuinieren.

Door de code met iedereen te delen, zorgen ze ervoor dat ook de firmware van de betere hardware alleen met certificaat te upgraden is, of gewoon helemaal niet. Ik ben al een week bezig met de shellshock-bug, en blij dat deze kwetsbaarheid geopenbaard is. Nu weet ik het, en kan ik het fixen.

@Anoniem-16:34

Vroeg of laat komt die code voor malware schrijvers er toch wel, ook al hadden deze mensen de code niet gepubliceerd. Nu zijn fabrikanten tenminste genoodzaakt om iets te doen, in plaats van op hun gat te zitten.

Je kan klagen over deze mensen, maar uiteindelijk zorgen zij er wel voor dat actie wordt ondernomen. Met wapens kan je ook mensen doden, succes met aanklagen van de VS, Rusland, Duitsland,etc.. dan maar! Overweeg je dat ook ?

Is dit dezelfde methode als die RubberDucky gebruikt?

Oh TEH Noes !!!

Doe maar weer kalm, geen paniek.
1] Niets nieuws aan, is al jaren bekend.
2] Ben blij dat je geïnformeerd wordt.
3] Fysieke toegang nodig, dus geen vreemde stickies in je gleuf stoppen.
4] AV helpt hier niet tegen, alleen met wat serieuze aanpassingen aan het OS kun je je hier tegen beschermen.

Kortom, hoe meer media-aandacht hoe beter, de meeste gebruikers realiseren zich niet dat een USB-poort hardware-toegang is en wat dat voor gevolgen kan hebben.

Deze kwetsbaarheid is niet door gebruikers te 'fixen', hij bestaat zolang er USB bestaat en houdt pas op te bestaan als USB veranderd wordt.

Je kunt de bug nu alleen ontlopen door geen enkel USB apparaat te gebruiken. En zelfs dan kan het best zijn dat je allang getroffen bent door een exploit van deze kwetsbaarheid door bijvoorbeeld een rootkit op je computer.
Als dat een 'slapende' rootkit zou zijn, van de NSA bijvoorbeeld om het mogelijk te maken alle encryptie te omzeilen, kun je daar vrijwel onmogelijk iets van merken. Wie weet zijn alle computers ter wereld al op deze manier gehackt.

Dit gaat om een kwetsbaarheid, een 'gat' in de firmware van USB in het algemeen.
Die firmware zit er vast ingebakken- die is niet te upgraden zoals een BIOS bijvoorbeeld want het gaat om USB zelf.
Evenmin als je bijvoorbeeld een processor kunt upgraden, je kunt 'm enkel vervangen.

Dat betekent dat deze kwetsbaarheid ALLE usb apparaten betreft, en dat die kwetsbaarheid er altijd al in gezeten heeft.
Alle apparaten die gebruik maken van een USB verbinding zijn dus kwetsbaar, en enkel een ander USB protocol kan dat veranderen, en dus alleen met nieuwsoortige USB apparaten.

Omdat de USB firmware (van een stick of HD of smartphone of camera) niet te veranderen is, is deze kwetsbaarheid erger dan een rootkit op je computer.
Het is bijzonder moeilijk een rootkit te detecteren als dat niet door schade duidelijk wordt. Nog moeilijker is het een rootkit te verwijderen.
Bij deze USB 'rootkit' is het onmogelijk.

Wat deze onderzoekers gedaan hebben, is laten zien hoe deze kwetsbaarheid misbruikt kan worden, op enkele manieren.
Ze hebben niet de kwetsbaarheid zelf, maar enkele manieren die te misbruiken gepubliceerd (om te bewijzen dat die kwetsbaarheid aanwezig is).
Er zijn waarschijnlijk vele andere manieren, en pas wanneer criminelen dit in de praktijk lukt zal er iets tegen gedaan worden.
Als dat lukt, het USB 'protocol' veilig maken of vervangen door iets anders, zal dat moeten gebeuren door alle bestaande USB apparaten te vervangen.


Corrigeer me als ik het mis heb, dan wel graag met duidelijke uitleg van 'hoe'. En van hoe het wel zit.
Graag zelfs want dit is zeer ernstig.

Dat klopt niet. Dit is pas nu bekend dankzij de onderzoekers, fysieke toegang om het lek te misbruiken is niet nodig want alle USB IS al kwetsbaar. En, er is geen enkele manier waarop je computer of software je kan beschermen.

De fout zit 'm in USB zelf. En USB is niet zomaar te veranderen.
Als dat kan, dan enkel door fabrikanten, met een nieuw soort apparaten.

Gelukkig maar dat ik nog een ADB muis en toetsenbord heb liggen.
;-)

&
&
&
Ik vind het oprecht jammer dat er op het forum van security.nl zo vaak paniekerig gereageerd wordt op dit soort nieuwsberichten. Security heb je zelf in de hand, zolang je maar niet in de "geen-paniek-vrouwen-en-kinderen-eerst" (FUD)-modus schiet. Ik ga hier niet m'n CV posten, maar ga er maar even vanuit dat ik weet waar ik over praat. In een poging het zoveel mogelijk Jip&Janneke te houden:


-> Inleiding
De theorie achter deze aanval is al bekend sinds de opkomst van USB, bijna 25 jaar terug inmiddels.
Het enige nieuwe is het PoC op GitHUB; RubberDucky bijvoorbeeld, werkt inderdaad al jaren met hetzelfde principe.
Vast staat ook dat inlichtingendiensten wereldwijd al vele, vele jaren (!!!) waarschuwen voor "onbekende" USB-apparaten. (Stuxnet, iemand?)


--> Dit is géén "fout" in USB, maar een gevolg van de U in USB (Universal Serial Bus)
Ieder USB-device is in feite een computer.
Ieder USB-apparaat heeft een eigen controller ("firmware" voor het gemak), die automatisch wordt opgestart (dmv stroomkabouters uit het systeem) zodra het wordt aangesloten. Deze firmware komt dus NIET op het systeem.
De firmware laat vervolgens aan het systeem weten wat het apparaat kan, en welke data op het apparaat voor een systeem te benaderen is. Dat maakt het mogelijk om verborgen data (partitie) toe te voegen en gebeurt hardware-matig (low-level).

Een systeem ziet een USB-apparaat pas als de firmware gestart is, vandaar dat USB ook werkt op een systeem zonder (benaderbare) HDD.
En dat is met opzet zo ontworpen, om meerdere redenen, o.a. kosten, grondstoffen, energie, compatibiliteit, etc.
Kortom, ieder USB-apparaat bestaat uit verschillende "lagen"


---> Je hebt wel degelijk fysieke toegang nodig
Pas als je een zgn. BADUSB (de opvolger van bad-USA, hahahahaha) in een systeem stopt, kan de firmware gestart worden / verbinding maken.
Het enige grote verschil tussen dit PoC & RubberDucky is, is dat RD zich voordoet als HID (toetsenbord), waar dit PoC zich voordoet als netwerkadapter.
Iedereen met een beetje praktische ervaring weet dat een HID-device vele, vele malen gevaarlijker is dan een nieuwe netwerkadapter:
Niet alleen omdat een OS niet zo happig is op nieuwe netwerk-devices, terwijl ieder toetsenbordje binnen een tel of 2 werkt (scripts!!!), ook wordt de input van een HID-device (toetsenbord > scripts !!!) pas bij het uitvoeren ervan onder de OS+AV-lamp gehouden, waar ieder data-pakketje van een netwerk-adapter wel door de hele OS+AV-(ring-)molen gaat voor het kan worden uitgevoerd.


----> Fabrikanten volgen een standaard.
Zie http://www.usb.org/


-----> Er zijn wel degelijk maatregelen te treffen
Vooral voor systeembeheerders zijn er (legio) opties, hardwarematig (kosten geld), maar ook softwarematig, buiten de policies waar al vaak op gewezen wordt.

- Je kunt niet softwarematig voorkomen dat een USB-device zich voordoet als een ander apparaat dan het daadwerkelijk is. Hardwarematig ($$$) kun je e.e.a. wel regelen.

- Je kunt WEL voorkomen dat onbekende apparaten zomaar data (dropper + payload) op je systeem plaatsen. Echter, het uitvoeren van scripts door een gesimuleerd HID-apparaat als RubberDucky is alleen te voorkomen dmv whitelisting.
Whitelisting is wel extreem drastisch, ieder (nieuw) USB-apparaat zal individueel moeten worden toegevoegd. Dat gaat dus ernstig ten koste van de "U" in USB. En het is niet 1-2-3- voor iedere gebruiker / ieder OS (= systeem) even eenvoudig, toegegeven.


------> Voor alle duidelijkheid
DE (aangepaste) FIRMWARE OP ZICH IS NIET SCHADELIJK, HET GEVOLG ERVAN (OS ziet een ander soort apparaat dan het werkelijk is,) IS HET PROBLEEM.
De firmware is geen malware, maar zorgt ervoor dat de (ongezien meegeleverde) malware (minder makkelijk zichtbaar) geladen zou kunnen worden. Voor de meeste malware is, (al-dan-niet-dmv-social-engeneering) een vorm van interactie vereist en daar verandert verder niets aan.


-------> Ik ontken niet dat dit geen ernstig probleem is
Het is namelijk ook van toepassing op telefoonladers, lava-lampen, en alle andere USB-spulletjes die je maar kunt bedenken. Tevens zijn er combinaties te bedenken (0-days) die grote implicaties kunnen opleveren voor een specifiek systeem.


MAAR: Hierbij geldt wel dat voor alle BADUSB-aanvallen, dezelfde exploits nodig zijn als nu het geval is bij reguliere, fysieke aanvallen op een systeem. Dit maakt het dus vooral effectief bij gerichte aanvallen / insider-jobs en niet (veel) gevaarlijker dan fysieke toegang zelf al oplevert.
Mijns inziens gaat het eigenlijk vooral om end-point security (ook icm IoT) en niet om een (beperkende) protocol-aanpassing van USB.


= Kortom...


@Mod: sorry v/d lengte ;)

Ik lees op tweakers.net dat deze kwetsbaarheid bewezen is voor een bepaald merk USB controllers.
Dat maakt het minder universeel dan dat het alle USB betreft, maar het gaat nog steeds om een enorme hoeveelheid hardware.
En, als dit mogelijk is met controllers voor USB, is dit mogelijk voor alle soorten controllers. Mogelijk hebben alle soorten controllers allang kwetsbaarheden, ze moeten alleen nog bewezen worden.

Ook op tweakers.net begrijpt men net niet wat het grote probleem is.
Het gaat om een kwetsbaarheid die altijd al bestond en die niet te veranderen is omdat controllers niet zelf programmeerbaar zijn, die zijn geprogrammeerd zoals ze zijn. De ingebakken intelligentie is precies zo slim of dom als ie is.
Alleen met anders, en beter geprogrammeerde controllers is dit te verhelpen.

Maar, bestaat perfekte veiligheid? Het is actieve hardware. Alleen door niets doen is er geen risiko.

@Anoniem-met-het-lange-verhaal: u bent duidelijk een insider in de IT en/of hardware.

Ik voel me overdonderd door de vele technische verhalen, maar u heeft mij nog niet overtuigd van de noodzaak van fysieke toegang.

Wel is mij duidelijk dat hoe ernstig de bedreiging voor ons allemaal is, afhangt van hoe goed de bug uitgebuit kan worden. Maar er is ook aangetoond dat dat op een zeer ernstige manier mogelijk is, meerdere manieren zelfs.


Om het simpel te houden: er is een kwetsbaarheid van controllers ontdekt die geëxploiteerd kan worden.
Dat is bewezen.
Hoe kan die kwetsbaarheid alleen aanwezig zijn wanneer je zelf een stickie of zoiets in je computer stopt?

Het lijkt mij dat alles dat de controller kan benaderen, misbruik kan maken.
Die controller is hardware maar reageert als software. Met alle fouten die erin kunnen zitten, en nu dus deze helaas zeer universele kwetsbaarheid.

Oh, wat uw verhaal ook, laat ik zeggen: verwarrend maakt zijn de lavalampjes.

Ik heb een electronische sigaret, die kan met een USB verbinding opgeladen worden. Ook via een hulpstukje rechtstreeks in het stopcontact.
Daarbij is vanzelfsprekend geen exploit mogelijk omdat er niks is om te exploiteren, er zit waarschijnlijk helemaal geen controller tussen. Laat staan iets dat misbruikt kan worden.

Maar, als ik dat ding op m'n computer aansluit zit de controller in mijn pc er wel tussen, en dan kan een exploit alles doen dat het kan met de computer als gereedschap. Inclusief de internetverbinding.

OK, even opnieuw.

Stap 1:
Het gaat om de controller van een geheugenchip (USB-stick).
Je systeem (host) heeft er NIETS mee te maken.

Deze controller-firmware is alleen aan te passen met speciale hardware (Stick open schroeven om bij de contactpuntjes te komen die het mogelijk maken om de controller-firmware te benaderen, aangezien dat (meestal) niet via de USB-connector kan) ... en ... speciale software (controller-firmware openen, analyseren, aanpassen, testen, dat herhalen tot het werkt, en het vervolgens terug uploaden op de controller).
Dit vereist, logischerwijs, heel veel tijd, inzet, middelen en een breed pakket aan skills, van precisie-solderen tot het analyseren (en herschrijven) van ruwe machine-code.

Dat is het enige indrukwekkende aan de PoC als je het mij vraagt.
Nu begrijp je waarschijnlijk ook waarom het maar om één type controller gaat, ieder type controller is anders, de meeste zijn niet uit te lezen via de USB-connector, en het aanpassen (kraken) van firmware is monnikenwerk.


Stap 2:
Inmiddels is het duidelijk dat je dit niet even 1-2-3- zelf doet, toch? OK.
Dan gaan we naar de mogelijkheden.

* Je kunt via de controller-firmware een deel ven het flash-geheugen onzichtbaar maken voor het OS.
Op dat verborgen stuk geheugen kun je, met speciale software / commando's, vervolgens malware plaatsten die dus niet direct zichtbaar is voor de host.
Dus je kunt redelijk onopvallend data buiten- of binnensmokkelen met zo'n stick.

* Je kunt via de controller-firmaware een apparaat zich anders voor laten doen dan het in werkelijkheid is.
Het enige gevaar dat ik me kan bedenken is RubberDucky.
Dat is namelijk een standaard geheugen-stick, met verborgen geheugen, die ook nog de firmware voor een extra toetsenbord heeft.
Zodra je dat aansluit op de host, begint dat 'toetsenbord' geheel automatisch, zo goed als onzichtbaar, héél snel te typen (scripts) waarbij de host (het OS dus) denkt dat jij dat zelf aan het typen bent.
Via zulke scripts kun je zaken als een AV uitschakelen, gebruikers-rechten proberen te verhogen, of erger.

* Alles met een USB-connector, van geheugen-stick tot telefoon-lader, en van externe HDD tot USB-ventilator is mogelijkerwijs van zo'n controller te voorzien.
Dus als jij ruzie hebt met de NSA of zo ... is het mogelijk dat ... jouw elektronische sigaret ... (waarvan jij dus denkt dat daar geen controller in kan zitten) ... omgetoverd wordt tot geheugen-stick, netwerkadapter, etc.


Stap 3
Het probleem ontstaat dus pas als je daadwerkelijk een BADUSB op een host (systeem) aansluit.
Of je er vervolgens iets mee kan doen hangt af van het systeem (security-settings / rechten / up-to-date / etc.) en van de malware (exploits) die je op dat USB-apparaat hebt verborgen.
Die malware (scripts / exploits) maken dus geen onderdeel uit van de BADUSB, maar moet je er zelf op zetten.

Kortom, je hebt fysieke toegang nodig, en deze BADUSB-PoC is op zich helemaal niet gevaarlijk.
Het is gewoon een (niet-)nieuwe, inefficiënte, maar wel relatief onopvallende manier van malware verspreiden, data stelen, pentesten, etc.


Stap 4
Het heeft niets te maken met fouten of exploits in de controller-firmware, het hele idee achter USB is juist de controller-firmware vrijwel onbeperkte mogelijkheden heeft.
...
De controller zelf kan eigenlijk niets anders doen dan data op het USB-apparaat verbergen voor de host e/o het USB-apparaat zichzelf anders voor laten doen dan het in werkelijkheid is.
...
Controller-firmware is maar zelden (volledig) toegankelijk via de USB-connector. Meestal kan die code alleen benaderd worden via contactpuntje op de chip zelf.
...
Die lavalamp slaat inderdaad nergens op, zo'n lamp vraagt veel meer elektrisch vermogen dan een USB-poort aankan.
Het is maar een voorbeeld om aan te geven dat iedere apparaat, hoe onschuldig lijkend ook, in principe, voorzien kan worden van een USB-controller.
Ik gebruikte dat voorbeeld omdat niet zo lang geleden een USB-discobol gebruikt is bij een pentest bij het MvD (ik dacht Landmacht). Dus ook jouw elektronische sigaret is, in theorie, om te bouwen tot BADUSB.

Er is in feite geen verschil tussen een (OS-)exploit op een oude floppy, een reguliere USB-stick, een DVD, een BADUSB of welke andere soort data-drager dan ook.
Het enige verschil is dat je die malware / exploit (die je dus al moet hebben!!!) onzichtbaar kunt meenemen op een BADUSB / RubberDucky.


Dus er is geen super-duper-exploit, een BADUSB is alleen te gebruiken als je die in een host (systeem) stopt (fysieke toegang!) en het is (zo goed als) onmogelijk om controller-firmware aan te passen op afstand, zelfs als je al volledige controle over een systeem hebt.
Misschien dat het mogelijk is voor de NSA om zulke geintjes op afstand uit te voeren, maar niet alleen zou dat heel erg opvallen (alle data via het netwerk), tevens is het niet praktisch (je hebt toch al volledige controle over het systeem).

Kortom:

Opnieuw voel ik me overdonderd door teveel technische informatie.
Mijn vraag is hoop ik toch simpel:
Hoezo is fysieke toegang nodig om de kwetsbaarheid te exploiteren?
Ik hoop dat daar een antwoord op is dat ook een non-tech als mijzelf duidelijk is.

Want dat maakt een wereld van verschil uit, in hoe gevaarlijk en veelomvattend de bewezen kwetsbaarheid is.
Als malware op de computer die controllers kan misbruiken, ook als die enkel aangesloten is en niet alleen als er een apparaat ingeplugd wordt, dan is het even gemakkelijk ze te misbruiken als het is om een virus of trojan te verspreiden.
Dat kan allang volledig ongezien zonder dat gebruikers iets echt doms doen. Een kwaadaardige site bezoeken kan al voldoende zijn. Botnets zijn nauwelijks te bestrijden en bestaan al, hoe lang.

Bootsector virussen zijn allang bijna uitgestorven omdat er nauwelijks floppies, cd's, stickies enzovoorts meer uitgewisseld worden. En ook omdat het voor antivirus programma's gemakkelijk is ze te herkennen.
Dit lek in controllers kan niet herkend worden, maar een kwaadaardig stickie wel.

Het antwoord op mijn vraag kan ik niet vinden in de verschillende artikelen en evenmin hierboven.

Wel verbijsterend veel verwarring, ook in de nieuwsberichten zelf. Dus ook verwarring over hoe ernstig de bedreiging van dit lek is.