Nieuwe bedreiging: besmetting van firmware van USB-apparaten

[Joris Donders]

http://tweakers.net/nieuws/97760/onderzoekers-demonstreren-hack-linux-pc-via-besmette-usb-sticks.html

stevig artikel.

[Lowlands]

Dus eigenlijk zit je snor als je geen screensaver laat werken compleet met wachtwoord?Dat heb ik dus niet,geen screensaver,geen wachtwoord,alleen bij de terminal..

[jvecht]

• Ik ga maar voorzichtig zijn met vreemde USB sticks. Kunnen die elkaar eigenlijk besmetten via een besmette PC?
  
• Zou het helpen als ik in zo'n situatie eerst alle USB sticks uit de PC trek voor ik het wachtwoord voor de screensaver intik?
  
• Andere optie: apart root wachtwoord. Dus de terugkeer in Ubuntu van de aparte root?
  
• Of even wachten tot de eerste meldingen van echte besmettingen er zijn?
  

[Gandyman]

• Ik ga maar voorzichtig zijn met vreemde USB sticks. Kunnen die elkaar eigenlijk besmetten via een besmette PC?
  
• Zou het helpen als ik in zo'n situatie eerst alle USB sticks uit de PC trek voor ik het wachtwoord voor de screensaver intik?
  
• Andere optie: apart root wachtwoord. Dus de terugkeer in Ubuntu van de aparte root?
  
• Of even wachten tot de eerste meldingen van echte besmettingen er zijn?
  

In dit bijzondere geval gaat het erom dat men de USB stick zelf hackt en in de chip andere software erin kan zetten.
USB stick's hebben (net als harddisken en andere soorten hardware) een stukje software ingebakken * zodat de computer weet wat voor apparaat het is, *om te kunnen functioneren.

Zij kunnen dus de software aanpassen en zodra je die USB stick in de pc stopt herkend de PC het niet als USB stick maar bijv. als toetsenbord.

[jvecht]

zodra je die USB stick in de pc stopt herkend de PC het niet als USB stick maar bijv. als toetsenbord.

Dan is het eigenlijk allemaal een beetje een theoretisch verhaal? Als ik een stick in mijn PC duw wil ik er wat vanaf halen of er wat opzetten. Dat gaat natuurlijk niet bij een toetsenbord. Ik ga me er voorlopig maar niet druk om maken. Alleen geen usb sticks kopen op www.dx.com dan maar (dat was ik eigenlijk van plan om ze te gebruiken als installatie-sticks).

[Johan van Dijk]

Helemaal niet theoretisch. Een USB apparaat kan zich voordoen als meerdere type apparaten. Er zijn genoeg muizen die aan de computer laten weten dat ze ook een toetsenbord zijn. Zo kan je bijv. met een muisknop een toetsaanslag doen. De wat oudere 3G-dongels deden net of ze een cd-rom waren zodat de drivers direct geïnstalleerd konden worden. Pas na het installeren van die drivers werd het apparaat omgeschakeld en was hij zichtbaar als modem. Mijn oude mobieltje van Nokia is zichtbaar als 3 verschillende apparaten, enzovoort...

Wat ze nu bedacht hebben is het toevoegen van een toetsenbordfunctie aan een normale usb stick. Zodra je die inplugt zie je de normale opslag, maar ondertussen "tikt" dat apparaat ook allerlei commando's in alsof jij die zelf intikt op je normale toetsenbord. De computer ziet het verschil niet.

[jvecht]

Wat ze nu bedacht hebben is het toevoegen van een toetsenbordfunctie aan een normale usb stick. Zodra je die inplugt zie je de normale opslag, maar ondertussen "tikt" dat apparaat ook allerlei commando's in alsof jij die zelf intikt op je normale toetsenbord. De computer ziet het verschil niet.

OK! Niet zo onschuldig als het lijkt dus. Maar de besmetting door een geïnfecteerde PC dan? Of moeten die door derden gemanipuleerde sticks zijn? Dat lijkt me wel een pracht kans voor allerlei (bedrijfs)spionage.

[Vistaus]

@jvecht: Hoewel ik zeer van DX houd en er zo nu en dan bestel, lijkt me USB-sticks voor installatiedoeleinden sowieso erg overbodig om daar te kopen. ELke week hier in NL zijn er wel prachtige aanbiedingen. Zo had Media Markt bijv. vorige week een 16 GB USB-stick voor 7,99 en Dixons (? in ieder geval een andere tech-winkel) een 4 GB USB-stick voor 4,99. En zo heb je elke week van die prachtige aanbiedingen

[jvecht]

@jvecht: Hoewel ik zeer van DX houd en er zo nu en dan bestel, lijkt me USB-sticks voor installatiedoeleinden sowieso erg overbodig om daar te kopen. ELke week hier in NL zijn er wel prachtige aanbiedingen. Zo had Media Markt bijv. vorige week een 16 GB USB-stick voor 7,99 en Dixons (? in ieder geval een andere tech-winkel) een 4 GB USB-stick voor 4,99. En zo heb je elke week van die prachtige aanbiedingen

Ik dacht meer in de richting van 2 GB sticks voor 2 euro, bosje van 5 of tien. Ik heb zojuist even gekeken, maar dat kan ik wel vergeten De prijzen hier in Nederland, die jij nu noemt, zijn trouwens alleszins redelijk.

[Johan van Dijk]

Als je er een live-USB van wil maken kan je beter een tientje meer uitgeven voor een stick die lekker snel is. Dat kan later heel veel tijd en frustraties schelen.

Voor het "ik wil even wat bestandjes uitwisselen"-werk is een trage USB stick niet zo heel erg en is een stick van 2 euro ook prima.

[Vistaus]

Ik heb hier USB-sticks liggen met verschillende snelheden. Een paar erg langzaam qua snelheid, een paar erg snel. Maar met Live USB merk ik geen enkel verschil.

[testcees]

Dus eigenlijk zit je snor als je geen screensaver laat werken compleet met wachtwoord?Dat heb ik dus niet,geen screensaver,geen wachtwoord,alleen bij de terminal..

Dus iedereen die achter je computer gaat zitten kan deze zomaar gebruiken met jouw inlognaam. Ook niet erg veilig, zeker niet op een groot kantoor of bij een balie met bezoekers. Het gebruik van een screensaver is een goede beveiligingsmaatregel.

Ik ga maar voorzichtig zijn met vreemde USB sticks. Kunnen die elkaar eigenlijk besmetten via een besmette PC?

Ja.

Zou het helpen als ik in zo'n situatie eerst alle USB sticks uit de PC trek voor ik het wachtwoord voor de screensaver intik?

Nee.

Andere optie: apart root wachtwoord. Dus de terugkeer in Ubuntu van de aparte root?

In theorie ja maar huis-tuinen-keuken beheerders zoals wij  gaan niet voor ieder wissewasje opnieuw aanmelden. Geen praktische optie.

Of even wachten tot de eerste meldingen van echte besmettingen er zijn?

Voor nu de beste optie. Dit topic bespreekt een demonstratie die 2 onderzoekers hebben gegeven op een conferentie voor collega veiligheidsexperts. Het is aangetoond dat dit beveiligingsprobleem kan worden misbruikt maar nergens heb ik gelezen dat dit ook grootschalig worden gedaan.

[Vistaus]

@testcees: Opnieuw aanmelden? Ubuntu kan ook sudo zo instellen dat sudo een ander wachtwoord vereist dan je gewone computerwachtwoord. Dan meld je dus niet opnieuw aan, maar typ je een ander wachtwoord als daar om gevraagd wordt.

[jvecht]

Testcees, hartelijk dank voor je uitgebreide antwoord!

Nog even over een aparte root. De essentie van een apart root wachtwoord in dit geval is dat - als je als gebruiker je wachtwoord in moet geven om de schermbeveiliging op te heffen - dat dan niet langer ook je root wachtwoord is. Dan kan de aanvaller niets meer installeren dan wat je als gebruiker mag.

Ik heb met veel plezier Slackware gebruikt voordat ik overstapte naar Ubuntu. Ik mis het nog steeds een beetje. Ik vond daar de aparte root helemaal niet storend. Al dat ge-sudo in Ubuntu  is ook niet alles. Maar is dat dan hier een optie? Ik snap wel dat Ubuntu echt niet afstapt van dit principe, maar gewoon even voor mijn begrip deze vraag.

[testcees]

Ik heb met veel plezier Slackware gebruikt voordat ik overstapte naar Ubuntu. Ik mis het nog steeds een beetje. Ik vond daar de aparte root helemaal niet storend. Al dat ge-sudo in Ubuntu  is ook niet alles. Maar is dat dan hier een optie? Ik snap wel dat Ubuntu echt niet afstapt van dit principe, maar gewoon even voor mijn begrip deze vraag.

Zo'n 20 jaar geleden ben ik ook met veel plezier begonnen met Slackware (floppy disks downloaden met 14K4 modem ).

Zo gezien zijn gebruikers zonder sudo rechten veiliger en zou je een aparte zogenaamde sudo-gebruiker met alleen sudo rechten kunnen overwegen voor beheertaken, vergelijkbaar met het apart root account in Slackware. Persoonlijk geef ik nog steeds de voorkeur aan sudo zonder apart root account. Er zijn meerdere voordelen: http://wiki.ubuntu-nl.org/community/Sudo#Voor-_en_nadelen

Het wordt op de wiki (nog?) niet als nadeel van sudo genoemd maar het is een punt dat als je in Ubuntu het wachtwoord van de 1^e gebruiker (door een malware-screensaver, social engineering, of anders) weet te achterhalen je ook beheerrechten hebt.

Ubuntu kan ook sudo zo instellen dat sudo een ander wachtwoord vereist dan je gewone computerwachtwoord. Dan meld je dus niet opnieuw aan, maar typ je een ander wachtwoord als daar om gevraagd wordt.

Dat is niet standaard maar ook minder praktisch omdat je dan 2 verschillende wachtwoorden moet onthouden. Vind het juist een voordeel van sudo dat er maar 1 wachtwoord is. 

[Vistaus]

@testcees: Ja, maar verschillende wachtwoorden heb je toch al mee te maken. Of heb jij op elk forum, elke maildienst, etc. hetzelfde wachtwoord? Op zich, als Ubuntu het zo zou instellen zoals ik voorstel, zou het wel veiliger zijn.

[Tom]

Kijk hé ,koop je een USB sticky in de originele verpakking bij een erkende PC zaak ,bv een Kingston dan is er niets aan de hand.
Koop je ze via internet of één of andere goedkope aanbieding dan  *kun*  je een risico lopen eventueel ,dus verder niks aan de hand alles paniek zaaien pfff.
Zo op naar het volgende paniek berichtje ,ik wacht erop. 

[Vistaus]

Kijk hé ,koop je een USB sticky in de originele verpakking bij een erkende PC zaak ,bv een Kingston dan is er niets aan de hand.

Behalve als die winkel of dat merk er iets mee gedaan heeft en zo teruggestopt heeft dat het niet te zien is. Jij kunt dat niet nagaan. Ik zeg niet dat het persé onveiliger is dan via internet kopen, maar het risico blijft altijd wel aanwezig.

[Gandyman]

Kijk hé ,koop je een USB sticky in de originele verpakking bij een erkende PC zaak ,bv een Kingston dan is er niets aan de hand.
Koop je ze via internet of één of andere goedkope aanbieding dan  *kun*  je een risico lopen eventueel ,dus verder niks aan de hand alles paniek zaaien pfff.
Zo op naar het volgende paniek berichtje ,ik wacht erop. 

Je moet het zien in het licht van ( Het is mogelijk dat..........)

Het wil dus niet zeggen dat het gaat gebeuren, nu of in de toekomst, maar het is mogelijk.
En omdat het mogelijk is moeten de fabrikanten direct actie ondernemen om ervoor te zorgen dat het straks niet meer mogelijk is.

Ditzelfde gebeurt bijna dagelijks in Linux, er word een bug gevonden en die word gerepareerd..
In dit geval moeten de fabrikanten ervoor zorgen dat het stukje waar de software voor de besturing staat niet meer herschreven kan worden.

BTW. jij en ik kunnen gewoon in China 10 000 USB sticks laten maken, eruit laten zien hoe we dat zelf willen en een naam erop laten zetten die we zelf willen en ook nog de verpakking bepalen.

En dan zie jij echt het verschil niet tussen de Kingston die echt van die fabrikant afkomt of je eigen Kingston 

Met dit verschil dat je eigen Kingston gewijzigde software heeft.

[Joris Donders]

Het gaat hier nog steeds om een theoretisch bewezen hack; het wil niet zeggen dat die hack massaal verspreid is geraakt. Bovendien is het een expert die die hack heeft verwezenlijkt.
Om nu direct alle USB-sticks en aanverwanten te gaan schuwen, lijkt me een uitwaai van doemdenken.

In ieder geval: ik koop mijn sticks altijd via de rechtstreekse kanalen van de fabrikant (in China) mocht daar zo'n besmet geval tussen zitten zijn zij een reuzecontract in een klap kwijt.

Ik hoop maar dat die hacker zijn methode of bewezen hack niet doorverkoopt aan louche bedrijven of organisaties. Moest dat niet het geval zijn acht ik de wereldwijde uitzaai van deze hack nihil.

[Gandyman]

Het is niet een een theoretisch bewezen hack, maar een bewezen hack, dus uitvoerbaar.

Daarom zij ik al eerder dat ik hoop dat de mensen die dit uitgedacht hebben het zo snel mogelijk melden aan de fabrikanten zodat die het lek kunnen dichten.

Al het andere wat beschreven is zijn alleen maar hypothetische mogelijkheden die weliswaar ver gezocht, toch uitvoerbaar zijn.

Gewoon afwachten dus