BAD-USB - что это?
USB-устройства временами переносят вредоносные программы. «Здоровье» нашей машины зависит от качества антивирусников и нашей внимательности. Но, оказывается, проблема с безопасностью USB куда глубже: риск не в хранящейся информации, но в прошивке устройства.
USB-устройство может остаться заражённым даже после полного форматирования.
Эти выводы сделали исследователи в области безопасности Karsten Nohl и Jakob Lell. Вредоносный код, созданный ими и названный BadUSB, может быть установлен на любом USB-устройстве для получения контроля над машиной пользователя, как то:
- изменение файлов;
- исполнение файлов;
- перехват интернет-траффика.
По словам исследоватетей, эту уязвимость настолько сложно устранить, что проще полностью отказаться от работы со стандартом USB. Nohl и Lell оказались едва ли не первыми, кто указал на способ хранения и распространение вредоносного кода данным способом. После нескольких месяцев работы бул получен код, позволяющий обмениваться данными между флэшкой и компьютером. Основной вывод работы состоит в том, что все существующие прошивки можно переписать, спрятав изменения.
«Вы можете отдать флэш-карту на анализ вашим IT-специалистам, и те, удалив некоторые файлы, скажут вам, что карта чиста. Однако, они даже не коснулись того, о чём говорим мы» — Nohl
Проблема не ограничивается флэш-накопителями. Все виды USB-устройств, от клавиатур до смартфонов имеют драйвера, которые могут быть подвержены той же атаке, что и флэш-карты. Nohl и Lell говорят, что проверили это на BadUSB-инфецированном Android-телефоне. В их опыте телефону удалось выдать себя за клавиатуру и начать вводить команды от её лица.
«Он мог сделать всё, что могла бы сделать клавиатура» — Nohl
BadUSB-инфецированные машины могут перехватить Интернет-траффик, изменить настройки DNS; если BadUSB-код находится на телефоне, то телефон может выступать в качестве MITM.
Большинство из нас привыкло не запускать левые исполняемые файлы, однако, этих мер недостаточно для остановки эпидемии BadUSB: ведь USB-устройства не имеют подписи кода, и проверить «оригинальность» прошивки проблематично.
Исследование Nohl и Lell показывает, что BadUSB-инфекция может путешествовать как с устройства на компьютер, так и обратно. Каждый раз, когда флэш-устройство подключено к компьютеру, его прошивка может быть перепрограммирована, и владельцу это будет непросто заметить.
Nohl соглашается, что быстро проблема не решится: она настолько обширная, что надо писать не патч, а полностью перерабатывать концепцию USB. Что надо не подключать устройств USB к компьютерам, которым не доверяете.
«В новом образе мышления вы не можете доверять флэш-носителю просто потому что знаете, что там вируса быть не должно. Доверие может быть только тогда, когда вы знаете, что USB этого устройства никогда не касался компьютера. Это несовместимо с тем, как мы используем устройства сейчас» — Nohl