» »

Previdnost pri "najdenih" USB ključkih ni odveč

Previdnost pri "najdenih" USB ključkih ni odveč

Slo-Tech - Na DarkReading so spisali članek o preverjanju varnosti v podjetju (tim. penetration test) s pomočjo podtaknjenih USB ključkov.

V okolici podjetja so podtaknili 20 USB ključkov, od tega so jih 15 našli zaposleni - in vseh 15 so takoj priključili v svoje službene računalnike. Ker pa so imeli na računalnikih vključen tim. AutoRun, in ker periferne naprave lahko uporabljajo DMA (direct memory access - to je posledica napake v zasnovi USB-ja) na gostiteljskem sistemu, so na ta način zagnali podtaknjen zlonamerni program, ki je zbral gesla in podatke o računalnikih ter vse to poslal na napadalčev elektronski naslov. Tveganje za napadalca je s tem minimalno, uspeh p aočitno skoraj povsem zagotovljen.

Schneier na svojem blogu opisuje podoben napad, ki pred tem že opisan v 2600 Magazinu, ko napadalec zaprosi žrtev, če lahko na njen računalnik priključi svojega iPoda, da bi ga napolnil, ter tako ukrade njegova gesla in datoteke.

Rešitev je onemogočenje samodejnega zagona CD/DVD-jev in USB naprav. Podobno lastnost - samodejni zagon so imeli v 1990-tih v Macintosh OS. A po virusu Autostart-9805 iz leta 1998, ki je lastnost izkoriščal, so jo umaknili. Schneier je mnenja, da bi moral tudi Microsoft umakniti samodejni zagon.

21 komentarjev

fiction ::

Glavni problem pri vsem tem je cloveska radovednost.

Kot pise na http://www.darkreading.com/boards/messa...
pri tistih kljucih ni bil problem AutoRun, ampak je bil na kljucu EXE file
"zamaskiran" kot slika in to zadevo so vsi po vrsti zagnali.
Se pa strinjam, da zna bit AutoRun vcasih zelo slab kar se tice varnosti.

Seveda pa so verjetno, ce se tega zavedamo, zastonj USB kljuci kar prijetno presenecenje
in bi bil vesel nad takim penetration testingom tudi v Sloveniji, tudi ce gre samo za
32 MB variante ;-)
BTW: So morali ljudje po koncanem "testu" kljuce vrniti?

Hm, kaj tocno je problem z DMA?
AFAIK DMA samo omogoca prenos podatkov z diska v RAM in obratno, brez da
bi bilo zato potrebno obremenjevati CPE.
In glede na to, da se USB kljuc obnasa kot disk, je nekako logicno, da tudi tam
pride v postev DMA.

Zgodovina sprememb…

  • spremenil: fiction ()

krho ::

mislim, da je typo.
Hm pa vam res deluje auto-run na USB ključku, ker meni NE začene datoteke napisane v autorun.inf Pa jaz nisem nič spreminjal.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

amigo_no1 ::

Hehe, yeat another polkna exploit :D
Še dobro , da obstaja Ubuntu >:D

Looooooka ::

tole ni noben exploit.
to je cloveska debilnost.
in ubuntu ti tlele nc ne pomaga.pomaga ti dejstvo da je blo tole za win32 okolje napisano.
why?
ker je procent ubuntu userjev tok mejhn da se o tem sploh ne splaca govort.
drgac pa way to go.vec takih incidentov pa bojo ljudje za spremembo clo zacel uporablat mozgane...res da jim na winsih to vecino cajta ni treba ker vse dela s klikanjem(unline linux) ampak vseen...bi bla fino to vidt.

R33D3M33R ::

Ker pa so imeli na računalnikih vključen tim. AutoRun, in ker periferne naprave lahko uporabljajo DMA (direct memory access - to je posledica napake v zasnovi USB-ja) na gostiteljskem sistemu, so na ta način zagnali podtaknjen zlonamerni program, ki je zbral gesla in podatke o računalnikih ter vse to poslal na napadalčev elektronski naslov.


A podjetja nimajo firewallov ali kako? Kako je program poslal podatke? Preko Outlooka oz. poštnega programa? A to se da v kakem "silent mode" tudi izvest? No, mogoče če program shrani file kot draft v poštni program in se to potem pošlje ob odprtju programa.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

fiction ::

R33D3M33R: Firewall je ponavadi nastavljen tako, da omejuje dostop od zunaj, ne
pa kaj vse usluzbenci lahko pocenejo. Tako se na primer lahko povezejo kamorkoli
na ven itd. Omejitve (ce so), so ponavadi zato da se povisa produktivnost, ne pa zaradi
varnosti. ("User ne sme IRC-ati, ker drugace ne bo dovolj delal").

Program se je recimo lahko sam povezal na nek SMTP server in poslal podatke.
Zakaj bi moral uporabljati postni program?
Ce ne drugega bi lahko tudi prek HTTP POST "oddajal" vse skupaj. TCP port 80 skoraj
sigurno ni blokiran.

jeje997: Bravo, ne bi si mislil, da se da tudi v tem threadu sprovocirat "holy war"...
Ni exploit, ampak neke vrste social engineering - torej neodvisno od OS-a.
Edina pomankljivost v Windows OS je "AutoRun". Seveda pa se da na vse skupaj gledati kot
na feature. Se zmeraj so uporabniki krivi, ki na slepo zaupajo "najdenemu" kljucu.

MrStein ::

1.) USB podpira DMA ? Zakaj potem žere toliko CPU-ja ???

2.) A to pomeni, da je ključek bral vsebino RAM-a direkt, brez podpore sistema ? (zakaj potem rabi AutoRun?) Popravek: aha, baje autorun sploh ni bil uporabljen

3.) "posledica napake v zasnovi USB-ja"
Eh, saj skoz govorim, da je USB šit. ;)
Po drugi strani ima tudi FireWire neki DMA fičr, za katerega prav tako pravijo, da je problematičen. (baje ima FW naprava dostop do celotnega RAM-a sistema, ne pa samo do bufferjev, ki se ga tičejo; tak je, ko je varnost deveta briga ...)

4.) "Ker pa so imeli na računalnikih vključen tim. AutoRun"
A je to še vedno privzeto vklopljeno ? Vsaj neki resen dialog bi se lahko pojavil pred avtomatskim zagonom.
"Are you absolutly sure you want to run this malware ? Really ? Really really ? OK, then enter this 10-digit PIN and then it will run, after you click <I'm sure> for another 5 times." (če pri install wizardu moraš klikniti NEXT 5 krat, ne vem zakaj ne bi pri AutoRun-u, saj install ponavadi sam zavestno poženeš, autorun pa se požene .... avtomatsko)

5.) "je bil na kljucu EXE file "zamaskiran" kot slika in to zadevo so vsi po vrsti zagnali."
A ni fajn, da Windows pomaga virusom, da se izmuznejo pogledu uporabnikov ?
(EXE fajl prikaže kot JPEG)

6.) Še zanimivost, za AmigaOS je tudi bil en virus, ki se je avtomatsko pognal, ko si vstavil disketo. Le da AmigaOS sploh nima (no ja, ni imel) nobenega AutoRun feture-ja 8-O Virus je neke trike uporabil. Gre za "Saddam" virus, če koga zanima.


fiction :
torej neodvisno od OS-a

A tudi ubuntu prikazuje exe fajle kot JPEG slike ?

[odsranjeno smetenje -OwcA]
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenilo: OwcA ()

kriko1 ::

Gre se za izkoriščanje pomankljive varnosti autorun feature-a.

Rešitev je pa neki takega:

Zgodovina sprememb…

  • zavaroval slike: kuglvinkl ()

Ch4N93 ::

5.) "je bil na kljucu EXE file "zamaskiran" kot slika in to zadevo so vsi po vrsti zagnali."
A ni fajn, da Windows pomaga virusom, da se izmuznejo pogledu uporabnikov ?
(EXE fajl prikaže kot JPEG)

verjetno je mišljeno, da je bilo ime fajla ime.jpg.exe, ker pa je v winsih privzeto, da ne prikazuje končnic, potem to zgleda kot ime.jpg. Še posebej če je to npr. AlmaXXX.jpg.exe (prikazano kot AlmaXXX.jpg) bo velika večina neukih (naivnih) uporabnikov zagnala fajl.
Ni nam lahko...

MrStein ::

Ja, točno to sem mislil.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

neoto ::

in potem še skompajlaš privzeto ikono za slike in je... Če nimaš vklopljenih končnic, ni šans, da ugotoviš, da je program.

darkolord ::

Če nimaš vklopljenih končnic, ni šans, da ugotoviš, da je program.

razen da zraven piše Application

C_maniak ::

pa da samo pri tej "sliki" piše zraven .jpg ...

OwcA ::

... ampak privzeto seveda pogled ni nastavljen na "detail". ;)
Otroška radovednost - gonilo napredka.

Volk| ::

Kje se pa to izklopi v winsih da se ne zažene usb? pa cd verjetno je tudi na isti nacin, ne?

veteran ::

Volk, desni klik v explorerju na usb napravo, lastnosti, samodejno predvajanje...

Celeborn ::

Če po vstavitvi medija tiščim tipko shift, je to isto kot da bi imel autorun izklopljen, ali je kaj manj varno? (če za trenutek odmislimo človeško pozabljivost)
If air travel is so safe, why do they call it a "terminal"?

Microsoft ::

Za CD gre takole, pa mislim, da zna veljat tudi za USB. Run > MMC > File > Add/Remove Snap-In > Add > Group Policy > potem pa po drevesni strukturi Computer Configuration > Administrative Templates > System > poisci Turn off Autoplay in ga spremeni na enable.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

MrStein ::

Prvi korak lahko nadomestiš s krajšim : Run... / gpedit.msc

Sicer ti potem še vedno avtomatsko predvaja recimo Avdio CD-je, kar lahko izklopiš z v Properties od CD enote, zavihek AutoPlay.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

neoto ::

Ali pa poženeš TweakUI, kjer lahko to lepo na grafičen način si urediš...

AtaStrumf ::

Zanč nam je Krka na predstavitvi Prenesse v Cankarjevem domu podarila vsakemu 128 MB USB ključ s predavanji in še enim Prenessa.exe. Ugante kaj je punca nardila prvo stvar ko je vtaknila ključ v PC. Ne ni pogledala predavanj, ampak je zalaufala .exe fajl. Pametna punca, ampak tukaj je slepo zaupala, da je vse varno. Jaz sem itak vedel, da je screensaver, ker to te firme vedno turijo zraven, zato sem ji pustil, da ga je zalaufala, ampak to ti je človeški faktor (curiosity killed the cat).


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NLB tarča phishing-a (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11921791 (10230) Poldi112
»

Previdnost pri "najdenih" USB ključkih ni odveč

Oddelek: Novice / Zasebnost
214334 (3170) AtaStrumf
»

BL003T00TH - hekanje Bluetootha

Oddelek: Novice / Varnost
105343 (5343) Lee_Nover

Več podobnih tem