image

Patch beschermt bepaalde USB-sticks tegen BadUSB-aanval

donderdag 9 oktober 2014, 11:05 door Redactie, 5 reacties
Laatst bijgewerkt: 09-10-2014, 16:41

Onderzoekers die recentelijk lieten zien hoe de firmware van USB-sticks kan worden aangepast om computers aan te vallen en een deel van de benodigde code hiervoor vrijgaven, hebben nu ook een patch gepubliceerd om bepaalde USB-sticks tegen dit soort aanvallen te beschermen.

Adam Caudill en Brandon Wilson demonstreerden tijdens de DerbyCon conferentie verschillende aanvallen waarbij een ogenschijnlijk onschuldige USB-stick werd ingezet. De onderzoekers hadden de microcontroller van de USB-stick geherprogrammeerd, zodat die gebruikt kan worden om computers aan te vallen. Zo is het mogelijk om een USB-stick zich als een keyboard voor te laten doen, die vervolgens allerlei opdrachten van de aanvaller op de computer uitvoert.

Om te voorkomen dat een aanvaller een USB-stick eenvoudig kan herprogrammeren heeft Caudill een patch ontwikkeld die de "boot mode" van de USB-stick uitschakelt, zo laat Caudill via Twitter weten. Op deze manier zou het niet meer softwarematig mogelijk zijn om de firmware van de USB-stick aan te passen. De code werkt alleen voor USB-sticks met USB 3.0 die de laatste firmware van Phison gebruiken.

De onderzoeker waarschuwt wel dat een aanvaller de patch ongedaan kan maken als hij fysieke toegang tot de USB-stick heeft. Het kortsluiten van twee pinnetjes maakt het updaten van de firmware namelijk weer mogelijk. Caudill adviseert gebruikers dan ook om epoxyhars te gebruiken, zodat de pinnetjes niet meer toegankelijk zijn en de firmware nooit meer kan worden geüpdatet.

Reacties (5)
09-10-2014, 11:21 door Anoniem
Kaal krabben, firmware aanpassen... Weer in housing. Niemand die het ziet...
09-10-2014, 13:22 door Anoniem
Deze patch werkt alleen maar voor die ene USB-stick. Als ik een eigen USB-stick maak, of eentje modificeer, dan werkt het allemaal niet meer.
Het probleem blijft altijd dat je niet weet wat voor USB-ding je in de poort steekt. Het ziet er uit als een USB-stick, maar uiteindelijk doet het zich nog altijd voor als toetsenbord, etc. Die patch per USB-stick helpt niets. Het enige dat die patch dus doet is het moeilijker maken om een bestaande USB-stick te herprogrammeren.

Gesigneerde firmware bied uiteindelijk wel een uitkomst, omdat dan de aangepaste firmware helemaal niet meer ondersteund wordt. Je kunt wel al je oude USB-sticks en andere op USB gebaseerde randapparatuur weggooien omdat ze allemaal firmware hebben die niet gesigneerd is.
09-10-2014, 16:05 door Anoniem
Deze patch moet ervoor zorgen dat je jouw veilige USB stick in machines kunt steken die mogelijk "bad" zijn zonder dat jouw stick "bad" wordt. Natuurlijk helpt het niet jouw machine te beschermen tegen badUSB sticks, daar zullen andere maatregelen voor nodig zijn.

Het lost dus niet alle badUSB problemen op, maar het is al een stap vooruit als je kan voorkomen dat jouw stick "bad" wordt. Dat is alweer 1 zorg minder.
09-10-2014, 16:06 door Anoniem
@Redactie: Kan alstublieft de titel van dit artikel worden aangepast?

De onderzoeker heeft helemaal geen patch tegen BADUSB, dat is technisch gezien ook helemaal niet mogelijk.

Er is hooguit een methode gepubliceerd die het voor sommige USB-sticks lastiger (NIET onmogelijk) maakt om daar een BADUSB van te maken.

Een wezenlijk verschil, me dunkt.


Mvg een diep teleurgestelde lezer.
09-10-2014, 16:45 door Anoniem
Heb ook 'een Fake Keyboard beetje hulp Patch tip' voor OS X gebruikers


Bij deze maar eens een keer uit 'de la gevist'. *

• Keyboard activatie Zoekfunctie uitschakelen :

Ga naar System Preferences > (linker menu kies) Spotlight > (rechtsboven kies) Keyboard Shortcuts > vink "Show Spotlight search field" en Show Spotlight window" af.

• Ter eigen beoordeling :

Ga naar System Preferences > (linker menu kies) Keyboard & Text input > (rechtsboven kies) Keyboard Shortcuts > vink de velden af waarvan je denkt dat daarvan nog misbruik kan worden gemaakt door een automatisch toetsenboard command.

• Al jaren een aanrader :

Uitschakelen van extra scripting mogelijkheden via het disabelen van
"Assistive Devices"
onder de "Universal Access" voorkeuren.

Check de "Universal Access" voorkeursettings af en toe, het kan voorkomen dat deze veranderd zijn en de "Assistive Devices" weer actief is geworden !


Algemene aantekening : Onder de diverse Os X en kan de indeling van de systeem voorkeuren zijn veranderd
Mavericks bijvoorbeeld waar ik in deze beschrijving niet vanuit ben gegaan. Kijk / zoek er zelf naar.
Wat betreft De Universal Access functie, deze is onder Mavericks echt anders georganiseerd, zie hier http://www.macosxautomation.com/mavericks/guiscripting/


* Inzicht gekregen naar aanleiding van een beschreven Poc van een (oude) iMac webcam hack met beschreven escape mogelijkheid uit een virtual machine met gebruik van een 'dergelijk voordoen als virtueel toetsenboard met programma opdracht commands'.

Met het uitschakelen van de keyboard activatie van de zoekfunctie werkt die aanval niet meer. Denk ik ;-)

Hoe zou het inmiddels met de BadBios onderzoeksvorderingen staan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.