BadUSB, la più grave falla di sicurezza su USB è adesso pubblica

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/perifer...ica_54331.html

È stato rilasciato il codice sorgente di BadUSB, una falla di sicurezza che permette di modificare il firmware di qualsiasi periferica USB

Click sul link per visualizzare la notizia.

[qboy]

alla nsa si staran facendo due risate

[hrossi]

E come fa un codice malevolo a finire nelle righe del firmware di un dispositivo usb? Non di certo da solo, quindi questo tipo di problemi, come spesso accade, si generano tra la sedia e il monitor. Io lo reputo un non-problema quando di fatto i firmware li preleviamo dai siti ufficiali delle rispettive case madri della periferica usb. E loro non hanno alcun interesse a rendere problematico l'uso delle stesse.

Hermes

[tmx]

un bel "colpo di fortuna" per i produttori, con il nuovo USB alle porte... ottimo tempismo

[Zifnab]

Quote:

Nel caso il firmware desse esito negativo nel confronto del checksum con quello originale, con il fix la periferica risulterebbe inutilizzabile.

Ah beh, proprio un ottimo fix

[inited]

Ovviamente il fix ha senso quando si dà valore alla sicurezza sopra rispetto alla funzionalità della periferica e, chiaramente, questo è vero in moltissimi contesti.

Oltretutto, non è affatto un "non-problema", per moltissima gente. Prelevare firmware dalle case madri è un'attività da smanettoni, mentre il problema è rappresentato dagli utenti senza reale formazione, i colleghi d'ufficio che si scambiano pendrive, che non sospetterebbero minimamente di un mouse o una tastiera cinesi date dal collega per rimpiazzarne uno rotto e poter continuare a lavorare, magari lodandone anche il costo basso. Se è vero che oltre metà delle infezioni nel mondo sono dovute allo scambio di supporti di memoria infetti, più che non dall'accesso in rete, allora questo è un problema serissimo. Ci sono poi una serie di dispositivi che possono essere esplosivamente più pericolosi, hub usb o lettori di memory card in grado di rendere infetto ogni supporto che li attraversi, dispositivi di rete con supporto usb in grado di veicolarlo sulla propria rete, e via dicendo.

[bobafetthotmail]

Facilmente risolvibile a monte integrando il firmware o parte di esso nel driver (come fanno tanti dispositivi come schede wireless e GPU più nuove), così se necessario fix di sicurezza lo si può aggiornare e spedire a tutti in automatico tramite windows update (o OSX update o una modifica al driver nel kernel per Linux e BSD) per tappare falle del genere a tappeto senza richiedere all'utente di fare cose strane come cambiare il firmware dei controller USB che non credo sia neanche possibile fare senza smontare roba.

Quote:

Originariamente inviato da hrossi

E come fa un codice malevolo a finire nelle righe del firmware di un dispositivo usb? Non di certo da solo, quindi questo tipo di problemi, come spesso accade, si generano tra la sedia e il monitor. Io lo reputo un non-problema quando di fatto i firmware li preleviamo dai siti ufficiali delle rispettive case madri della periferica usb. E loro non hanno alcun interesse a rendere problematico l'uso delle stesse.

Hermes

Chi è che installa i firmware dei controller USB?

[emuboy]

la situazione e' piu' complessa, chi installa il firmware? semplice, il virus stesso.

Io, malintenzionato ti do una chivetta con un firmware modificato, con una scusa tipo : "mi passi il pornazzo che stavi vedendo l'altra sera?"

tu lo metti nel pc,il software scatta e contagia il tuo pc, arriva tua sorella, e vuole ascoltare l'album di Justin, mette la chiavetta nel tuo pc, mentre tu gli dici "Ferma quella m***a" il firmware ha riflashato il firmware della chiavetta di tua sorella, tua sorella va via piangendo dicendo "tu non capisci l'arte" stacca la chiavetta e l'atttacca nel suo pc...e il ciclo continua...


Volete avere una visione apocalittica?

Inserite la chiavetta in un internet point o lasciate decine di chiavette all'aereoporto.

Altro che ebola.

[pabloski]

Quote:

Originariamente inviato da qboy

alla nsa si staran facendo due risate

Considerando il tipo di vulnerabilità, mi pare assai strano che la NSA non ne fosse già a conoscenza.

Probabilmente la usano da anni.

Quote:

Originariamente inviato da hrossi

E come fa un codice malevolo a finire nelle righe del firmware di un dispositivo usb? Non di certo da solo, quindi questo tipo di problemi, come spesso accade, si generano tra la sedia e il monitor.

Non stai immaginando tutti i possibili vettori d'attacco. Esempi banali:

1. un produttore ( o una spia di una terza parte ) che t'infila il malware direttamente sulle linee di produzione
2. un malware drive-by-download che t'infetta il pc e poi le periferiche usb in modo da ottenere l'invulnerabilità agli antivirus
3. un tecnico che t'infetta le periferiche quando porti in assitenza il pc e/o una o più periferiche
4. un nemico che sostituisce la tua pendrive con una identica ma infettata ( o fisicamente t'infetta la pendrive )
5. un malware per smartphone che sfrutta questa vulnerabilità per infettare il pc appena lo smartphone viene collegato ad esso

E temo ci siano altre possibilità che non mi sono ancora venute in mente.

E il tutto non è praticamente patchabile!!

[LMCH]

Quote:

Originariamente inviato da pabloski

E temo ci siano altre possibilità che non mi sono ancora venute in mente.

Gli SDK forniti dai produttori di microcontroller con USB integrato, sono un ottima base da cui partire per sviluppare codice d'attacco per intere famiglie di dispositivi basati su quella famiglia di microcontroller.
Con la possibilità di sviluppare "motori d'infezione" che innestano codice aggiuntivo nella flash rimasta libera del microcontroller lasciando apparentemente intatto il firmware già esistente (con l'aggiunta di uno o più finti dispositivi malevoli).

Quindi è possibile sviluppare un malware che, integrando più "motori d'infezione", riconosce 10..20 famiglie di microcontroller USB tra i più utilizzati su mouse, chiavette di memoria, ecc.
e li infetta in base alle esigenze di chi lo ha sviluppato.

Ah! E come se non bastasse, alcune periferiche integrate sui notebook ed ultrabook sono in realtà dei dispositivi USB (di solito le webcam, ed i lettori di mmc, sdcard e microsd) quindi se vengono infettati e non sapete come aprire il guscio e disconnettere i connettori giusti son dolori.

[san80d]

Quote:

Originariamente inviato da qboy

alla nsa si staran facendo due risate

ma loro lo sapevano già

[hrossi]

Quote:

Originariamente inviato da pabloski

Non stai immaginando tutti i possibili vettori d'attacco. Esempi banali:

1. un produttore ( o una spia di una terza parte ) che t'infila il malware direttamente sulle linee di produzione
2. un malware drive-by-download che t'infetta il pc e poi le periferiche usb in modo da ottenere l'invulnerabilità agli antivirus
3. un tecnico che t'infetta le periferiche quando porti in assitenza il pc e/o una o più periferiche
4. un nemico che sostituisce la tua pendrive con una identica ma infettata ( o fisicamente t'infetta la pendrive )
5. un malware per smartphone che sfrutta questa vulnerabilità per infettare il pc appena lo smartphone viene collegato ad esso

E temo ci siano altre possibilità che non mi sono ancora venute in mente.

E il tutto non è praticamente patchabile!!

1. il produttore, ma è come mettere una cimice nello smartphone, poi a chi vendi quando ti sgamano?
2. e i controlli sui privilegi per l'installazione? Dai, se uno ti infetta da internet non ha bisogno di colpirti i controller usb delle periferiche, ha già trovato quello che voleva
3. torniamo al punto 1, io capisco che noi italiani dobbiamo essere quelli più furbi di tutti e che i professionisti di qualsiasi settore devono essere per forza corrotti, incompetenti, ladri e comunque più ignoranti di noi che li chiamiamo per qualsiasi servizio Ma questo in Italia.
4. nemico? Dici una spia? Ma se nel settore privato di qualsiasi azienda italiana con un comparto IT minimamente competente non puoi usare pendrive o la stessa connessione internet. Figuriamoci che tipo di controlli possono esserci in posti sensibili. Ah già, ma siamo in Italia.
5. torniamo al punto 2

Insomma, meno fantascienza e complottismo

Hermes

[marco_182]

Quote:

Al momento non c'è tuttavia alcuna versione universale dell'exploit, ovvero funzionante con tutte le periferiche USB.

Mi sembra molto strano che dopo aver trovato una falla del genere non si siano divertiti a provarla su una vasta quantità di prodotti

[Avatar0]

Aiuto !
Il mio mini aspirapolvere portatile usb, sta tentando di aspirare liquidi dal mio conto in banca

[Giako]

state dimenticando tutti i cellulari esistenti al mondo, compresi quelli vecchi di qualche anno, che a loro volta oltre all'interfaccia usb hanno le proprie periferiche...

[FabryHw]

Alcuni scenari che si leggono in giro tipo :

• Inserire una penna usb per prendere il controllo totale di un sistema
• Infettare il fw del controller host (alias il PC) solo collegando una penna infetta.
  Roba tipo inserisco senza saperlo una penna infetta, la quale infetta il controller host, dopo di che il controller del mio pc infetterà tutte le periferiche che saranno collegate a lui d'ora in avanti con un effetto a catena.
• Modificare il fw del charger usb dei telefonini per farli andare in sovraccarico con esplosione (batteria) conseguente

penso siano più fantascientifici che reali (ma è un mio parere magari anche quelli sono fattibili), ma certe cose sono davvero fattibili ed un certo rischio c'è.
Il tutto nasce dal fatto che ogni periferica Usb contiene un microcontroller con un firmware, ossia una mini cpu con un programma da eseguire.
Bene questo fw può essere aggiornato tramite comandi usb senza nessun livello di protezione su vari (molti ?) controller usb commercializzati, permettendo di cambiare il programma che il microcontrollore eseguirà totalmente via software e senza smontare nulla o usare jtag.
E questo permette sicuramente cose tipo:

• Riprogrammare una penna usb per fare in modo che si spacci come tastiera e subito dopo essere stata inserita inizi ad inviare tasti premuti (simulando un utente che scrive al pc)
• Riprogrammare una tastiera per tenere il log dei tasti premuti, dopo di che se la tastiera si spaccia anche come scheda ethernet usb può pure generare pacchetti TCP/UDP che se è abilitato (e di solito lo è) il forward tra le interfaccie possono trovare una strada di uscita su internet verso il server del malintenzionato
  Se riesce a fare ciò oltre che inviare il log dei tasti, sarebbe possibile anche fare da tastiera+mouse remota, ossia il maleintenzionato può (magari di notte quando non si è al pc ma il pc è acceso) simulare l'uso di tastiera e mouse da remoto tentando di eseguire (alla cieca) comandi per prendere il controllo del pc o fare altro.
• Creare un virus per PC che se non viene fermato prima dall'antivirus potrebbe scansionare le periferiche usb connesse e modificare il firmware di tutti quei controller usb che riconosce come "so modificarli per i miei scopi"

Il tutto finché non gira sul processore principale, totalmente invisibile ad antivirus e company e non evitabile (beh oddio suppongo che per scrivere a basso livello su usb servano almeno i diritti di admin o root, anche se non ne sono sicurissimo es libusb ?).
Non sarà facile attuare minacce del genere (ci sono più controller diversi nel mondo e per ognuno c'è un codice macchina specifico, quindi ci vogliono più versioni dei malware, nonché non tutti i controller hanno il fw riprogrammabile via usb) e richiede sicuramente mesi di studi per i malintenzionati, però è fattibile e non c'è protezione alcuna per le periferiche già in commercio e con fw riprogrammabile (forse, ma per ora non è così, ci sarà per quelle di futura creazione).

Leggo che molti consigliano di evitare d'ora in avanti di usare periferiche usb di terzi e nonché di non usare mai più proprie penne / periferiche usb in sistemi non proprii.
Soluzione ovviamente inuattuabile senza contare che se becchiamo per anche solo 1 ora un nuovo virus (che quindi il ns antivirus non riconosce e non blocca) che sfrutta il meccanismo può infettare le ns periferiche senza che noi lo sappiamo e poi continuamo ad usarle ritenendole sicure (mai portate fuori casa) quando non lo sono più.

Unica sicurezza per sapere se si è stati infettati potrebbe essere quello di usare il sw divulgato per scaricare il fw di ogni controller usb in ns possesso al fine di calcolarne la firma hash.
Ossia se ora in cui ci dovrebbe essere zero diffusione dei malware calcolo tutte le firme delle mie periferiche usb (in teoria con fw buoni), e tra 6-12-24 mesi rilevo che alcune mie periferiche (o periferiche di altri identiche, che quindi dovrebbero avere lo stesso fw delle mie) hanno una firma diversa posso sospettare una possibile infezione e smettere di usare la periferica (nonché cercare di riflasharla con un fw noto come pulito).

La tecnica di riprogrammare il fw usb di una periferica usb per fargli fare cose particolari (non necessariamente malevoli) non è nuova ed esiste da anni.
Basta vedere l'oggettino Usb Rubber Ducky qui presente: https://hakshop.myshopify.com/produc...iant=353378649
che nasce apposta per avere uno stick usb programmabile a piacere per fargli simulare tastiere e poi decidere totalmente da codice cosa scrivere e con che tempi.
Un giocattolo interessante per smanettoni o appassionati di hacking.

La differenza del problema segnalato ora è quella che invece di comprarsi in Rubber Ducky si può fare lo stesso con la maggior parte delle periferiche in commercio e magari a volte anche all'insaputa del possessore.

[biffuz]

Tutto questo mi sembra più aria fritta che altro.

Come fa un presunto mouse usb infetto a infettare il mio computer? Se lo collego e windows mi chiede "cosa vuoi fare con il disco che hai collegato" sarei davvero cretino a scegliere "esegui autorun.exe", e se anche lo facessi in questo ipotetico futuro anche l'antivirus sarebbe aggiornato.

Anche gli altri scenari tipo "infetta il controller usb che infetta il bios che infetta l'os che infetta il mondo" mi sembrano più da fantascienza di serie z che realistici.

E sto parlando da programmatore.

[FabryHw]

Ma non è pensato (in teoria) per infettare l'OS del computer ma solo il mondo sommerso dei microcontrollori.

Inoltre non vedo tutta sta sicurezza in un antivirus.
A parte le tecniche euristiche gli antivirus fermano solo i virus noti, che per essere noti vuol dire che qualcun altro (con regolare antivirus) è stato infettato e dopo un po' ci si è accorti della cosa ed analizzando il problema si è rilevata la minaccia e si sono aggiornati gli antivirus.

Se tu becchi l'infezione il 7 ottobre ma il tuo antivirus si aggiorna per evitarla solo dal 25 ottobre, non è che tu possa essere felice della cosa
Certo nel caso di un virus per l'OS del PC in teoria almeno potresti contare sul fatto che il tuo antivirus rimuova il virus una volta che sia in grado di identificarne la presenza (alias dal 25 Ott. in poi e magari solo se fai una full scansione periodica del sistema).
Ma se il virus aveva lo scopo di modificare il fw delle tue periferiche usb, ormai il danno è stato fatto e sta tranquillo che l'antivirus non ti rimetterà a posto tali fw.

[das]

Nel caso di mouse, tastiere, pendrive è semplice: basterebbe memorizzare il firmware su memoria non volatile, in modo che non possa essere sovrascritto.

Tanto quando mai è necessario aggiornare il firmware di questo genere di periferiche ?

[FabryHw]

Molti controller sono comuni e condivisi tra più periferiche.

Un produttore di controller è meglio (per lui alias a livello economico) che faccia n controller diversi e specifici o uno solo che fw riprogrammabile a seconda dell'utilizzo finale ?
La risposta è ovviamente scontata.

Ed anche un controller con fw programmabile one-shot non avrebbe senso.
Se sbaglio il flash del fw (ossia carico un fw con bug) e non posso porvi rimedio (alias devo buttare il controller e ripartire da uno vergine) io produttore di periferiche quel controller non te lo compro.

Semmai il produttore della periferica finale dovrebbe proteggere meglio il suo prodotto e quando possibile impedire la riscrittura del fw da parte di chiunque.

Ma il problema qui citato esiste proprio perché finora questo o non è stato fatto o non era proprio fattibile (il controller non offre una protezione che sia sicura abbastanza e chiunque può cambiare il fw).
Magari sarà fatto per le periferiche del futuro (dubito visti i maggiori costi economici per i produttori), ma il problema rimane per quelle già in commercio che non puoi certo sostituire dall'oggi al domani.