BadUSB jako nečekaná hrozba? Ale nikoliv!

Vysvětlení k problematice zabezpečení čipů, zajišťujících komunikaci zařízení USB rozhraním, poskytl Ing. Ondřej Ševeček - programátor, bezpečnostní analytik a konzultant, produktový manager a odborný lektor Počítačové školy Gopas.

Pojďme se nejprve v klidu zamyslet nad údajnou revolučností objevu problému nazvaného BadUSB. A doufejme, že kampaň, která ho obklopuje, alespoň přivede další jedince k zamyšlení nad bezpečností informačních technologií obecně.

O co se jedná? Virus, možná lépe řečeno škodlivý kód, napadající firmware nějakého zařízení, které se připojuje k počítači. V tomto případě USB zařízení. Co je na tom nového? Nic. Pokud jste o tom nevěděli, prakticky každá součástka počítače, jako jsou harddisky, síťové i grafické karty i PS2 klávesnice, mají nějaký firmware. To znamená, že obsahují nějaký software, který ovládá jejich funkci. To, že základní deska počítače obsahuje taky firmware, tedy velmi zjednodušeně řečeno BIOS, jste asi věděli, že?

Jestli si až do teď někdo myslel, že nelze infikovat firmware harddisku, nebo rovnou BIOS, tak bohužel, jde to, stejně jako kterýkoliv jiný software. Technický problém je jen v tom, jestli je možné software změnit v paměti daného zařízení, ale to ve většině případů možné je, protože i výrobce má zájem na možnosti svůj firmware vyvíjet a aktualizovat.

Otázka také je, jestli to jde "vzdáleně", lépe řečeno přímo z počítače, kde je zařízení zastrčeno, a jaká k tomu potřebuje případný Windows uživatel oprávnění? Musí být lokální správce? Další otázka je, co takto napadnuté zařízení může vůbec způsobit. Firmware běží na procesoru daného zařízení, nikoliv na "velkém CPU" počítače. Ovládá jen svoji sběrnici. Takže nemá přímo přístup k ostatnímu hardware počítače, na rozdíl právě od onoho "velkého" CPU. Může tedy ovlivňovat jen data, proudící z a do daného zařízení, možná data proudící do ostatních zařízení připojených na stejné sběrnici.

Takže ano, pokud zavirujete myš, můžete chaoticky měnit polohu myši a klikat. Software ale nemá žádnou zpětnou vazbu a operační systém do myši zpět nic neposílá. V případě úložiště, jako je flash-disk, nebo harddisk, může firmware ovlivnit obsah ukládaných a čtených dat. Může tedy dynamicky měnit obsah spustitelných EXE souborů, které člověk z úložiště kopíruje, nebo rovnou spouští.

Pokud si ale kopíruji z flash disku do počítače nějaký soubor, antivirový software v operačním systému jeho infekci detekovat může. Stejně tak, pokud spouštím EXE přímo z USB úložiště, může ho antivirus v OS detekovat. Kód viru se musí nejprve dostat do hlavní paměti počítače, kde ho tam antimalware uvidí.

Na disk by se ale dala uložit data, která nebudou vidět. V klávesnici by mohl takto fungovat keylogger. Jenže ve všech případech platí, že uložená data musí někdo vyzvednout. Buď se útočník musí dostat fyzicky znovu zpět k dané klávesnici, nebo disku. Nebo si je musí stáhnout přes operační systém počítače, ve kterém jsou připojeny. A tím se dostáváme k jádru problému.

Pokud mám za a) svoje zařízení fyzicky pod kontrolou a za b) pokud mi nikdo nenapadne můj počítač, těžko mě taková nákaza může ohrozit. Ano, když zastrčíte USB do infikovaného počítače, dojde k napadení daného USB. Ale z něho se nákaza do chráněného počítače nemá jak sama od sebe dostat, ani z něho nebude sama schopna extrahovat data, která jsou připojena k jiné sběrnici.

Ondřej Ševeček se jako jeden z přednášejících představí v rámci největší bezpečnostní konference pořádané v ČR - HackerFest. Letošní ročník pořádá Počítačová škola Gopas ve dnech 20. – 21.10. 2014 v Praze.

Článek GOPAS, a.s. ze dne pondělí 18. srpna 2014

Další články od GOPAS, a.s.