USB-s eszközök biztonsága?
Egy új eljárás miatt – ami lehet, hogy nem is annyira új? – gyökeresen változhat meg az USB-s adathordozók biztonsági ellenőrzése.
Eddigi általános módszerek közé tartozott az, hogy az USB-s eszközt, mint adathordozót is védeni kell, azokon a fertőző fájlok, a számítógépen történő megnyitása után könnyen terjedhetnek. Mindezek védelmére egy hatékony Anti-Virus megoldást jelentett, ami az eszköz csatlakozásakor a rajta tárolt adatokat ellenőrizte, így képes megelőzni az ilyen módú terjedésüket. De mi a helyzet magával az USB vezérlővel, azaz a firmware-el szemben?
Két külön dologról beszélünk, ugyanis az eszköz alapvető kezelését (hardveres kommunikáció, írás-olvasási műveletek végrehajtása) az eszköz firmware-e kezeli, befolyásolja, amely területen lévő vezérlő kód elkülönül az általános tárterülettől. És sajnos a firmware működésének ellenőrzése már korántsem olyan könnyű feladat…
Ennek módosításával az USB-s eszközök alapvető működését használják ki, amit egy tetszőleges mikro-kóddal módosítva, az eszközön lévő összes adatot, sőt a csatlakoztatott PC-t is befolyásolni képesek. Megállapították, hogy ezzel az eljárással az USB-s eszköz firmware-ét oly módon lehet átírni, befolyásolni, hogy abban bármilyen támadó kód elrejthető. És ezek megtisztítására, hacsak nem használunk speciális visszafejtési eljárást – reverse engineering metódust – nincs lehetőség, nem lehet patch-el javítani vagy törléssel-formázással eltüntetni.
Sőt mi több, a felmerült probléma nem limitálódik a pendrive-okra. Az USB-s eszközök minden variánsa, pl. billentyűzetek, egerek és okostelefonok is tartalmaznak vezérlést ellátó firmware-t, amit adott esetben át lehet programozni. Ezt az eljárást két informatikai biztonsági szakember (Karsten Nohl és Jakob Lell etikus hackerek) fejlesztette ki, akik tesztelésre egy Androidos okostelefon kiegészítőjét használták fel, amit egy PC-hez csatlakoztattak.
A BadUSB névre keresztelt malware csak pár trükköt tartalmaz, de az eljárás gyakorlati megvalósításával szinte bármi kivitelezhető. Az USB-s eszköz “kiadhatja magát” billentyűzetnek, és a felhasználó nevében bármilyen parancs és billentyűkombinációt futtathat. Ezekkel a módszerekkel tulajdonképpen bármit meg lehet tenni: megfigyelni, parancsot kiadni, MITM módszereket alkalmazni, beállításokat módosítani, meglévő programokat felülírni vagy lekapcsolni, és ez csak a zöme a használható lehetőségeknek… A fertőzés terjedhet bármely számítógépről az USB eszközökre, és vissza irányba is, mindezt teljesen észrevétlenül. Az eljárás működik Linux és Mac rendszerekre is, csupán a kártékony kód utasításkészletét kell az adott rendszerekre aktualizálni.
Védekezési módszer?
A hagyományos védelmi technikák nem képesek felfedezni és ezáltal meggátolni sem a terjedést. A közösséget még megosztja a leírt lehetőségek “korlátlan” megvalósíthatósága, a felfedezők a Las Vegasi BlackHat konferencián mutatták be a leírtakat. Az elsődleges információk és tapasztalatok alapján az alábbi konzekvenciákkal élhetünk:
A felfedezők által használt, kivizsgált és ezzel a megoldással sebezhetőnek bizonyuló eszközök bizonyos távol-keleti gyártóktól származtak. De azt kijelenteni, hogy minden USB-s eszköz érintett, felelőtlenség.
A fertőzendő USB-s eszköznek “fejlett”, felülírható firmware-el kell rendelkezni. Tipikusan az olcsóbb, alsó kategóriás termékek egyszeri, gyárilag beégetett firmware-el rendelkeznek, aminek módosítására hardware-es szinten sincs lehetőség, így az ilyen eszközök immunisak ezzel a sebezhetőséggel szemben.
A felülírható firmware-el rendelkező eszközöknél a gyártó élhet a digitális aláírás ellenőrzésével: ha ezt a megoldást alkalmazzák, akkor önmagában az eszköz firmware-ét egyszerű módszerrel nem lehet felülírni, hanem ahhoz hitelesített – megfelelő digitális aláírással rendelkező – program kell, amit megoldani már fölöttébb nehéz feladat. Ilyen védelemmel rendelkeznek többek között az Ironkey eszközei is, amik immunisak erre a sebezhetőségre.
Összességében leszűrhetjük, hogy a feltárt sebezhetőség valós veszélyeket is rejt, ám ezek fizikai kivitelezése nagyban függ a használt eszközök megoldásaitól, amik kihasználási lehetősége nagyban lecsökkenti a veszélyfaktor megjelenési valószínűségét. Minden esetre- ettől az esettől függetlenül is – óvakodjunk az ismeretlen eszközök használatától és kerüljük ezek megbízható számítógépeinkkel való érintkezését.
-VJ