10:20
21/8/2018

Coraz więcej ludzi ma świadomość, że urządzeniom USB nie można ufać ze względu na atak BadUSB. Warto więc zwrócić uwagę, że równie niebezpieczne mogą być kable. Tym bardziej, że kable mogą być użyte do zasilania “zaufanych” urządzeń.

W projekt opracowania złośliwego kabla zaangażował sie m.in. Vincent Yiu z firmy SYON Security. Przedstawił on gotowe kable na swoim blogu i opublikował film prezentujący atak.

Ten kabel nie musi być całkowicie identyczny jak sprzedawane w sklepach czy z urządzeniami. Wystarczy, że jest bardzo podobny.

Atak BadUSB może być widoczny, ale Vincent Yiu wspomina o pracach nad nową generacją takich zabawek, które mogłyby być aktywowane fizycznym przełącznikiem, magnetycznie lub nawet zdalnie przez Bluetooth. Yiu przyznał też, że idea stworzenia takiego kabla nie jest nowa, ale inni badacze z jakiegoś powodu nie mogli sprawić by złośliwy kabel dostarczał zasilanie.

BadUSB – nierozwiazany problem

Idea rzeczywiście nie była nowa. Już w styczniu o pracach nad “BadUSB cables”  pisał na Twitterze MG, który sugerował możliwość stworzenia złośliwej prezerwatywy USB. Idea złośliwego kabla jest również promowana przez Kevina Mitnicka, któremu w opracowaniu odpowiedniego urządzenia pomagali Olaf Tan i Dennis Goh z RFID Research Group.

USBHarpoon to tylko rozwinięcie opisanego w 2014 roku ataku BadUSB. Stanowi ono jednak dobre przypomnienie, że problem bezpieczeństwa USB ciągle istnieje i nie powinniśmy ufać nikomu, kto chce nas przekonać do włożenia czegokolwiek w nasze USB.

 

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

15 komentarzy

Dodaj komentarz
  1. “USBHarpoon to tylko rozwinięcie opisanego w 2014 roku ataku BadUSB. Stanowi ono jednak dobre przypomnienie, że problem bezpieczeństwa USB ciągle istnieje i nie powinniśmy ufać nikomu, kto chce nas przekonać do włożenia czegokolwiek w nasze USB.”

    Tak jak w zyciu kiedy poznasz kogos nowego na Tinderze ;)

    • zadales sobie tyle wysilku by wkleic cytat i idiotycznie skomentowac…

    • @zyga Fajnie skomentował. Nie marudź, tylko wykaż się poczuciem humoru.

  2. Pracuję w sklepie, przyjmując reklamację. Czasem zachodzi potrzeba uzyskania załączników od klienta – najczęściej zgrywamy z telefonów przez USB lub prosimy o mail – mamy jednak ograniczony rozmiar załączników do 15 MB. W jaki prosty sposób najbezpieczniej uzyskać pliki nie narażając zanadto służbowych komputerów?
    Niestety większość załączników jest większa niż 15 MB, a nie mamy dostępu do żadnej chmury (ograniczony dostęp do WEBa)

    • Dedykowany komputer do takich rzeczy

    • Zgranie przez bluetooth z telefonu?

    • Polecam airdroid, wysyła po wifi / a po sparowaniu nawet przez 3g/4g/
      https://www.airdroid.com/

    • Kazdy zalacznik od klienta, zarowno przez USB, BT czy email to potencjalne niebezpieczenstwo. Dedykowany komputer z AV lub taki, ktory mozna w szybki sposob postawic od nowa z obrazu. Nie podlaczony do reszty sieci najlepiej, albo mocno blokowany firewallem POZA nim, nie instalowanym na nim. To takie minimum.

    • Dedykowany komputer a na nim windows + deepfreeze

    • Liveusb coś mówi? Po co dedykowany komputer… Stawiasz linuxa na pewnie i już. I do tego masz zawsze przy sobie

    • Pewnie= penie ta auto poprawa ;)

  3. To jest was dwóch :)

  4. Nadal nie wiem na czym polega ten atak?
    Jaka różnica pomiędzy BadUSB a USBHarpoon?

  5. Problem z dostarczeniem prądu przy BadUSB jest taki że ataki zazwyczaj wykorzystują USB device. Projektując urządzenia z USB OTG (jak telefony) odcina się zasilanie z kabla na poziomie sprzętowym jeżeli zgłasza się ono jako device. No chyba że celem ataku jest komputer do którego podłączamy telefon.

    • Dla zilustrowania problemu: spóbujcie znaleźć dock do telefonu/tabletu, który jednocześnie – będzie ten telefon/tablet ładował i pozwoli na podłączenie fizycznej klawiatury czy myszki.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.