Dat is nu echt statelijke function-creep als hier iets van aan is.

Het verspreiden van geinfesteerde geheugendragers om te kunnen compromitteren is een bekend iets.

Maar waarom zou men dat via een legale winkelketen doen?

Dan zou men moeten kunnen weten wie de potentiele kopers zijn, die dan doelwit zijn.

Je kunt in dat geval beter direct de doelgroep met malware geheugendragers bestoken.

#sockpuppet

Leer eerst eens fatsoenlijk Nederlands te schrijven, misschien wordt je dan iets serieuzer genomen.

Bij de AC-Tion Sandisk 3.0 zelfde prijs. Geen aanbieding.

Klopt het dat je bedoeld dat de stick - naast een geheugen - ook als keyboard registreerd? Ik ben benieuwd wat de id's zijn (doe eens het commando 'lsusb').

Er bestaan usb-devices om te infiltreren in je systeem; na een aantal keer inpluggen wordt deze actief. Een bekende is om via windows-toets + R een run-commando uit te voeren; bijv. om een besmette internetpagina te laden in Internet Explorer.

-- my 2 cents --

Besmette fabrikant ? Is vaker voorgekomen met o.a. driver cd's.

Typisch dat het pas 'mis' ging na het aanmaken van specifiek een Apple-JFS.op de USB stick. Ook typisch dat hierna ineens bepaalde blokken van het flashgeheugen niet meer overschreven worden. Dat lijkt wel erg op een BadUSB aanval die een verborgen partitie aanmaakt om aanvullende mallware te downloaden en gegevens weg te sluizen. Wel vreemd dat een random impulsinkoop in een winkel een dergelijk product op kan leveren, dat is extreem met hagel schieten. Op de stekker stond made in Taiwan geprint maar dat wil natuurlijk niet zeggen dat de stick niet in China is geweest voor de behuizing en verpakking. De vraag is of je uberhaupt nog wel hardware kan vertrouwen die uit China komt.

Ik zal eens kijken of ik de connector er nog aan kan solderen en met een sniffer iets uit het USB verkeer kan vissen. Als je dit kan bewijzen zou je Blokker of Philips aansprakelijk kunnen stellen (want in principe kun je alle hardware waarmee de stick in aanraking is gekomen direct in de prullenbak gooien)?

En dan gewoon een dt fout maken! Classic!

Als China iets uithaalt met een product uit Taiwan, die 2 hebben slaande ruzie. Maar de grootste vriend van Taiwan is de USA en die zijn ook niet vies van informatie inwinnen.
Blokker aanspreken voor de stick wordt interessant. Hooguit kun je van hen een stick zonder problemen of geld terug verlangen. Wanneer het product op een blister zit en je data op de stick kunt zetten, voldoet het product in eerste instantie aan de verwachtingen. Je zult aan moeten tonen, dat niet door je formateer actie iets op de stick is veranderd. En als je systeem besmet is, wordt het lastig, want wat was er eerst? Hetzelfde geldt richting Philips. Kun je aantonen dat de stick besmet was, zal Philips eerder partij blijken te zijn. Garantie is weliswaar zaak van de verkoper, maar een product met een ernstig gebrek is verwijtbaar voor de producent.

Een vaag verhaal.
Ik vermoed dat de kans groter is dat de auteur van deze 'ontdekking' een foutje heeft gemaakt dan dat er daadwerkelijk iets mis is met de gekochte USB key.

(bijvoorbeeld fdisk fuckup, of kernel gebruikt oude partitie info nog, of oude partitie is onbedoeld ge-auto-mount nadat deze JFS geformatteerd is).

De "lsusb" output zou mij ook erg interesseren!

Dat is waar ik meteen aan dacht, de Bash Bunny of de Rubber Ducky (HAK5). Die doen zich ook voor als een HID om zo USB schrijfblokkades te omzeilen.

-- mijn duppie --

Kan je precies uitleggen wat je gedaan hebt, ik wil e.e.a. proberen te reproduceren (net zo'n ding opgepikt bij de Blokker).

Je hebt een APPLE JFS (welke?) aangemaakt en daarna onder Linux bekeken?


Probeer even stap voor stap te beschijven, het afbreken van de connector hoeft niet .... ;)

Kort samengevat:

Ik was op locatie een nieuwe Mac gebruiksklaar aan het maken. Na een nieuwe installatie van macOS en gebruikersinstellingen leek het handig een Timemachine backup te maken, maar geen drive voorhanden. Dus even snel naar de dichtstbijzijnde winkel (Blokker in dit geval) voor een USB stick. Van Philips hoop je dat ze hun reputatie niet kapot laten maken door namaak troep. Toch even met DBAN de gehele drive gevuld met random data & verificatie om te controleren of de controller geen data injecteert, de drive echt 32 Gb en niet defect is.Vervolgens drive in Mac enkele malen geformatteerd (formatteren en back-uppen lukt niet direct omdat een proces de drive bezet houdt. Vervolgens de drive onder linux gemount (hfsprogs) om te controleren of de backup gelukt is. Vervolgens reageert het toetsenbord even niet en wordt in de terminal een enter gegeven. $dmesg laat een foutmelding m.b.t. een HID zien. USB drive wipen met dd mislukt, vervolgens crasht ook het wipen van de drive met DBAN.

Op dat punt heb ik het onding maar doorgebroken om te voorkomen er nog meer mee te besmetten. De binnenkant laat een gewone USB stick zien, dus geen Rubber Ducky o.i.d

De vraag is of we de Mac nu ook doormidden moeten breken, als deze besmet is dan is de kans groot dat het verkleefd is met alle firmware in het apparaat en zichzelf dus opnieuw blijft installeren.

Als je tegelijkertijd geen netwerkvetbinding hebt gehad, lijkt mij de kans daarop zeer klein. Maar ook met netwerk verwacht ik vooral aanvallen op Windows PC's. Of daarbij ook firmware aangepast zal worden, weet ik niet, maar de kans daarop lijkt me niet zo heel groot.

Na het lezen van de bijdrage van de TS heb ik gisteren zo'n USB stick gekocht bij Blokker. Ik heb nog geen tijd gehad om er onderzoek naar te doen.

Ik overweeg om op een oude laptop te testen met Windows en Wireshark sniffend op USB (zonder netwerk) en/of aan een Raspberry Pi. Als iemand slimme test-tips heeft, lees ik dat graag!

Ik heb ook zo'n ding gekocht en ben er mee bezig, mijn bevindingen tot nu toe:


ZFS snapshot gemaakt van mijn Linux box.
wireshark gestart en al het netwerkverkeer gecaptured.
USB stick aangesloten op een Linux box.
(geen pogingen gezien voor vreemd verkeer)
(PHILIPS UFD)
dd images gemaakt als complete disk en als partitie.
met foremost de images gescand => niks gevonden aan verwijderde files.
met foremost het device gescand => weer (logisch) niks gevonden.
foremost kijkt naar de volgende bestandsstructuren:
avi bmp dll doc docx exe gif htm jar jpg mbd mov mp4 mpg ole pdf png ppt pptx rar rif sdw sx sxc sxi sxw vis wav wmv xls xlsx zip
met dmesg gekeken wat het nou eigenlijk is:
[ 3472.628596] usb-storage 2-1.3:1.0: USB Mass Storage device detected
[ 3472.633353] scsi host2: usb-storage 2-1.3:1.0
[ 3473.650161] scsi 2:0:0:0: Direct-Access USB Disk 2.0 2.00 PQ: 0 ANSI: 4
[ 3473.650651] sd 2:0:0:0: Attached scsi generic sg2 type 0
[ 3473.651407] sd 2:0:0:0: [sdb] 60825600 512-byte logical blocks: (31.1 GB/29.0 GiB)
[ 3473.652023] sd 2:0:0:0: [sdb] Write Protect is off
[ 3473.652026] sd 2:0:0:0: [sdb] Mode Sense: 03 00 00 00
[ 3473.652645] sd 2:0:0:0: [sdb] No Caching mode page found
[ 3473.652652] sd 2:0:0:0: [sdb] Assuming drive cache: write through
[ 3473.684431] sdb: sdb1
[ 3473.688150] sd 2:0:0:0: [sdb] Attached SCSI removable disk
lsusb laat het device niet zien ... vreemd.
testdisk:
Disk /dev/sdb - 31 GB / 29 GiB - CHS 29700 64 32
Current partition structure:
Partition Start End Size in sectors

Warning: number of heads/cylinder mismatches 255 (FAT) != 64 (HD)
Warning: number of sectors per track mismatches 63 (FAT) != 32 (HD)
1 * FAT32 LBA 0 2 1 29699 63 32 60825536 [PHILIPS UFD]

Warning: Bad ending sector (CHS and LBA don't match)

Ok, het totale plaatje:

ZFS snapshot gemaakt van mijn Linux box.
wireshark gestart en al het netwerkverkeer gecaptured.
USB stick aangesloten op een Linux box.
(geen pogingen gezien voor vreemd verkeer)
(PHILIPS UFD)
dd images gemaakt als complete disk en als partitie.
met foremost de images gescand => niks gevonden aan verwijderde files.
met foremost het device gescand => weer (logisch) niks gevonden.
foremost kijkt naar de volgende bestandsstructuren:
avi bmp dll doc docx exe gif htm jar jpg mbd mov mp4 mpg ole pdf png ppt pptx rar rif sdw sx sxc sxi sxw vis wav wmv xls xlsx zip
met dmesg gekeken wat het nou eigenlijk is:
[ 3472.628596] usb-storage 2-1.3:1.0: USB Mass Storage device detected
[ 3472.633353] scsi host2: usb-storage 2-1.3:1.0
[ 3473.650161] scsi 2:0:0:0: Direct-Access USB Disk 2.0 2.00 PQ: 0 ANSI: 4
[ 3473.650651] sd 2:0:0:0: Attached scsi generic sg2 type 0
[ 3473.651407] sd 2:0:0:0: [sdb] 60825600 512-byte logical blocks: (31.1 GB/29.0 GiB)
[ 3473.652023] sd 2:0:0:0: [sdb] Write Protect is off
[ 3473.652026] sd 2:0:0:0: [sdb] Mode Sense: 03 00 00 00
[ 3473.652645] sd 2:0:0:0: [sdb] No Caching mode page found
[ 3473.652652] sd 2:0:0:0: [sdb] Assuming drive cache: write through
[ 3473.684431] sdb: sdb1
[ 3473.688150] sd 2:0:0:0: [sdb] Attached SCSI removable disk
lsusb laat het device niet zien ... vreemd.
strings philips-part1.dd
MSDOS5.0
NO NAME FAT32 3
fXfXfXfX
3f;F
f@Iu
BOOTMGR
Remove disks or other media.
Disk error
Press any key to restart
RRaA
rrAa
MSDOS5.0
NO NAME FAT32 3
fXfXfXfX
3f;F
f@Iu
BOOTMGR
Remove disks or other media.
Disk error
Press any key to restart
RRaA
rrAa
PHILIPS UFD
.
..
WPSETT~1DAT
INDEXE~1

2 verwijderde bestanden gevonden WPSETT*.DAT en INDEXE*
Ik krijg ze niet recovered, vroeger kon ik nog wel bitjes zetten in de FAT maar dat zijn verloren skills. :(

testdisk:
Warning: the current number of heads per cylinder is 64
but the correct value may be 240.
You can use the Geometry menu to change this value.
It's something to try if
- some partitions are not found by TestDisk
- or the partition table can not be written because partitions overlap.

Disk /dev/sdb - 31 GB / 29 GiB - CHS 29700 64 32
Partition Start End Size in sectors
>D FAT32 LBA 0 1 1 29699 63 32 60825568 [PHILIPS UFD]
D FAT32 LBA 0 1 32 29699 63 32 60825537 [PHILIPS UFD]
D FAT32 LBA 0 2 1 29699 63 32 60825536 [PHILIPS UFD]


Disk /dev/sdb - 31 GB / 29 GiB - CHS 29700 64 32
Partition Start End Size in sectors
1 * FAT32 LBA 0 2 1 29699 63 32 60825536 [PHILIPS UFD]

Boot sector
Warning: number of heads/cylinder mismatches 255 (FAT) != 64 (HD)
Warning: number of sectors per track mismatches 63 (FAT) != 32 (HD)
OK

Backup boot sector
Warning: number of heads/cylinder mismatches 255 (FAT) != 64 (HD)
Warning: number of sectors per track mismatches 63 (FAT) != 32 (HD)
OK


First sectors (boot code and partition information) are not identical.

A valid FAT Boot sector must be present in order to access
any data; even if the partition is not bootable.

nwipe (vergelijkbaar met dban/dwipe) gebruikt en de stick gewist met random zooi.
at 2:30 uur duren dus die sla ik even over. ;)

Op naar de Macbook:
Geformatteerd als Mac OS extended (Journaled)
2x, gewoon omdat het kan.
Geen vreemde zaken gevonden in dmesg of files in gebruik met lsof.
/dev/disk4s2 on /Volumes/PHILIPS32GB (hfs, local, nodev, nosuid, journaled, noowners)

Nou, terug naar de Linux box:
/dev/sdb2 on /media/ub/PHILIPS32GB type hfsplus (ro,nosuid,nodev,relatime,umask=22,uid=1000,gid=1000,nls=utf8,uhelper=udisks2)
dmesg:
[Sat May 30 18:53:54 2020] usb 2-1.3: new high-speed USB device number 8 using ehci-pci
[Sat May 30 18:53:54 2020] usb 2-1.3: New USB device found, idVendor=23a5, idProduct=5786, bcdDevice= 2.00
[Sat May 30 18:53:54 2020] usb 2-1.3: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[Sat May 30 18:53:54 2020] usb 2-1.3: Product: Disk 2.0
[Sat May 30 18:53:54 2020] usb 2-1.3: Manufacturer: USB
[Sat May 30 18:53:54 2020] usb 2-1.3: SerialNumber: -----------------36
[Sat May 30 18:53:54 2020] usb-storage 2-1.3:1.0: USB Mass Storage device detected
[Sat May 30 18:53:54 2020] scsi host2: usb-storage 2-1.3:1.0
[Sat May 30 18:53:55 2020] scsi 2:0:0:0: Direct-Access USB Disk 2.0 2.00 PQ: 0 ANSI: 4
[Sat May 30 18:53:55 2020] sd 2:0:0:0: Attached scsi generic sg2 type 0
[Sat May 30 18:53:55 2020] sd 2:0:0:0: [sdb] 60825600 512-byte logical blocks: (31.1 GB/29.0 GiB)
[Sat May 30 18:53:55 2020] sd 2:0:0:0: [sdb] Write Protect is off
[Sat May 30 18:53:55 2020] sd 2:0:0:0: [sdb] Mode Sense: 03 00 00 00
[Sat May 30 18:53:55 2020] sd 2:0:0:0: [sdb] No Caching mode page found
[Sat May 30 18:53:55 2020] sd 2:0:0:0: [sdb] Assuming drive cache: write through
[Sat May 30 18:53:55 2020] sdb: sdb1 sdb2
[Sat May 30 18:53:55 2020] sd 2:0:0:0: [sdb] Attached SCSI removable disk
[Sat May 30 18:53:56 2020] hfsplus: write access to a journaled filesystem is not supported, use the force option at your own risk, mounting read-only.

Testdisk:
Disk /dev/sdb - 31 GB / 29 GiB - CHS 29700 64 32
Current partition structure:
Partition Start End Size in sectors

1 P EFI System 40 409639 409600 [EFI System Partition]
2 P Mac HFS 409640 60563415 60153776

Een fat en een hfs partitie:

Filesystem Size Used Avail Use% Mounted on
/dev/sdb1 197M 512 197M 1% /mnt/usb
/dev/sdb2 29G 111M 29G 1% /media/xxxxxxxx/PHILIPS32GB

/dev/sdb1 on /mnt/usb type vfat (rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro)
/dev/sdb2 on /media/xxxxxxxx/PHILIPS32GB type hfsplus (ro,nosuid,nodev,relatime,umask=22,uid=1000,gid=1000,nls=utf8,uhelper=udisks2)


Geen HID of iets echt vreemds te zien als je het mij vraagt.

Wel mooi een USB stick kunnen scoren ;-)

Je kunt heel MacOS vanaf de bootprom over Internet opnieuw laten installeren.

Ik verwacht eigenlijk uberhaupt geen malware op de stick , en al helemaal geen malware van het kaliber 'rewrite macos openboot voor herinfectie na reinstall van OS' .

zie https://support.apple.com/guide/mac-help/reinstall-macos-mchlp1599/mac

Zojuist ook gedaan (met een andere 32Gb stick ik kreeg geen foutmeldingen), maar dan als volgt:

sudo dd if=/dev/urandom of=/dev/sdb bs=1M

Als je de vlag bs=1M erbij doet dan krijg je een serieuze performance boost. Bij mij ging hij van 5,4Mb/s naar 21,9Mb/s. Ik weet, het is off topic, maar wel interessant denk ik. Heb je trouwens of=/dev/sdb gedaan ipv of=/dev/sdx? (let wel op dat sdb jouw stick is en niet een tweede harde schijf!!! Dit kan je weten door op sudo fdisk -l te gaan doen, dan kan je zien welke schijf de stick is, je ziet dan de grootte van de partitie.)

Is het geen usb stick die speciaal is ontworpen voor "windows to go"? Installeer eens een os live op de stick en kijk of het os via de usb kan opgestart worden, zo niet, dan is het waarschijnlijk een windows to go stick. Dan behoort de usb stick in categorie "fixed drive" ipv een removable drive. Helaas kan je een fixed drive die speciaal zijn ontworpen voor windows to go niet om te zetten tot een removable drive.

windows to go is trouwens al lang gestopt.

Nope, is gewoon een bootable stick.

Nou hadden we eindelijk weer eens een leuk topic (al is het alleen al omdat het niet uitmond in een L<>M verhaal) en nu bloed het weer helemaal dood. :(

Toch jammer dat ook TS niks meer van zich laat horen.

Volgens mij houden bepaalde types USB sticks niet van journaling. Gebruik USB stick voor backup en ext4 geeft problemen, ext2 niet.
Verder denk ik dat je als je zelf een stick hebt behandeld met fdisk oid en dan conclusies trekt over de stick dat je niet helemaal juist bezig bent. Misschien heb je hem zelf wel geinfecteerd met iets engs?

TS is druk bezig met de logfiles van de Mac door te pluizen. Helaas gaat dat niet van een leien dakje door de enorme omvang en obscure omschrijving. Doodbloeden zal de topic niet, want voor een systeembeheerder is het onverteerbaar om geen controle over de te beheren apparatuur te hebben. Ik moet gewoon weten wat hier aan de hand is :-)

@ Erik van Straten - macOS had op dat moment wireless gedisabled, maar op een USB stick van 32 GB is genoeg ruimte voor kwaadaardige code die dat even aan kan zetten, hoewel ik daar geen bewijs van heb kunnen vinden in de logfiles.
Maar stel nu jij bent een 1337 hacker in dienst van een niet nader te noemen Aziatische overheid die een topsporter is op het gebied van kopiëren :-P. Dan zou het voor jouw team toch niet onmogelijk zijn om op grote schaal zwakke controllers te flashen en het geheugen van USB sticks te voorzien van verborgen blokken met mallware die een hele vrachtwagen aan exploits tegen een Mac aangooit, om zo een hardware rootkit te installeren in b.v. de UEFI of in de firmware van de netwerkkaart (om zo mallware te injecteren in het netwerkverkeer en dus een systeemrootkit telkens overnieuw te installeren). Vroeger zou je dit oplossen door offline en stapsgewijs alle firmware handmatig onieuw te flashen. Maar dit doet macOS nu onder de motorkap zelf. Dus als er geen nieuwere firmwareversie uit is dan worden de devices niet opnieuw geflashed en blijf je zitten met je hardware rootkits.

Ook vreemd dat het starten van online recovery mode nu een rode vierkant achter het Apple logo laat zien. En de gewone recovery mode start van disk0 terwijl de systeemschijf disk1 is. Vreemd want volgens de documentatie van Apple zou dit een partitie op de (primaire) HDD/SSD moeten zijn en geen device. Als het bij de nieuwe Macs een ROM chip is waar het recovery OS op staat dan heb ik er misschien vertrouwen in dat het apparaat zich niet telkens zelf herbesmet.

Wat me opvalt in deze topic is een flink aandeel nuttige, leer- en behulpzame reacties. Mijn complimenten.

@ 30-05-2020, 19:04 door Anoniem - Heb je ook met Wireshark het USB verkeerd kunnen capturen vlak na het inpluggen en vlak na het aanmaken van een Macintosh Journaling Filesystem? Het 'keyboard gedrag' kan aan bepaalde voorwaarden gekoppeld zijn (hoe kom je erachter welke?). Het enige logische lijkt me een IRQ conflict op IRQ 1, maar dat kan in principe alleen voorkomen bij systemen met een ISA bus.

@ donderslag interessante bevinding. De drive zelf gaf aan dat de standaard blocksize 512 is. Door een $ls -al /dev | grep sd te doen kun je de tijdstempel zien wanneer deze in het systeem verscheen, zo kun je ook snel zien welke drive de juiste is.

En, nog vorderingen ....?

De vraag is of je uberhaupt nog hardware kunt vertrouwen. En het antwoord is vaak nee.
https://www.youtube.com/watch?v=RqQhWitJ1As

Wat betreft dt correct spellen? - of kwa root'en van laptops van amptenaren die USB's kopen bij net-niet failliete warenhuisen?

shell commando's zijn makkelijkerder -en vooral constanter- als Nederlandsche grammatica...

Iemand met correcte inhoud afbranden op incorrecte spelling zegdt vooral iets over jezelf
(en verlaagdt het niveau alhier - tenzij je bij voorkeur nietszeggende maar correct gespelde content leest).

WTF, waar heb je het over man?

Ik vraag of er nog vorderingen gemaakt zijn en dan snapt iedereen behalve jij dat het over het topic gaad <-

Wel vreemd dat deze topic taalkundige aandeelhouders aantrekt, die hier komen speculeren over intenties en techniek.

Doel van de topic is een constatering delen, mensen waarschuwen en gezamenlijk een mogelijk risico ontdekken. Als dergelijke sticks uit de schappen verdwijnen zonder dat specialisten het probleem kunnen constateren dan wordt het wel een te gemakkelijke aanvalsvector.

@ 17-05 : nog geen vorderingen met de defecte stick. Voordeel is zolang deze niet ingeplugd is, eventuele kwaadaardige code zichzelf niet van verwijderen. De vraag is nu hoe de omstandigheden na te bootsen op een Linux machine. En of die machine dan niet ook bij het grof vuil kan.

Ik verwacht niet dat er eventueel oets onherstelbaars met de hardware gaat gebeuren dus na de analyse gewoon de disk wipen.

@Erik van Straten

Heb jij nog iets gedaan met die stick?