Чем опасна USB флешка для компьютера, или кто открыл ящик Пандоры

Ящик Пандоры

Карстен Нол и Джейкоб Лелл, исследующие проблемы информационной безопасности, впервые продемонстрировали атаку этим летом на конференции Black Hat , посвященной компьютерной безопасности в Лас Вегасе. Здесь они показали большому количеству собравшихся, как их вредоносная программа внедряется в прошивку, которая позволяет ЮСБ-устройствам связываться с компьютерами.

Нол и Лелл не опубликовали свой программный код, названный BadUSB из опасений, что его используют в неблаговидных целях. Однако два других исследователя открыли ящик Пандоры.

На прошлой неделе, на конференции хакеров ДербиКон Адам Кодилл и Брендон Уилсон продемонстрировали, что у них есть обратным образом сконструированный (reverse engineered) червь BadUSB и затем опубликовали его на Github для всеобщего обозрения.

«Есть мнение, что все подобные вещи надо делать общественно доступными. Не следует это удерживать скрытым. Поэтому мы выпускаем все, что у нас есть», - сказал Кодилл на конференции ДербиКон. «Если вы хотите доказать, что в чем-либо есть изъян, вы должны опубликовать этот материал так, чтобы люди могли защититься от него».

Два подхода к одной проблеме

Заявление Кодилла высветляет философское расхождение среди исследователей безопасности – между теми, кто предпочитает держать недостатки, которые они обнаружили подальше от публики, чтобы таким образом защитить общественность напрямую, и другие, которые верят, что опубликование их исследовательских поисков самый лучший способов оказать давление на промышленность в усилии заставить как можно скорее исправить недостатки.

В интервью Wired Кодилл сказал, что даже если этот конкретный глитч пока еще не используется огромным количеством хакеров, он считает, что такие хорошо финансируемые организации как NSA, вполне могут уже иметь возможность и уже пользуются ею.

«Необходимо объяснить миру, что это имеет практическую выгоду, что это может сделать любой человек… Это оказывает давление на производителей и заставляет их исправить проблему", -говорит Кодилл, «Если есть необходимость в этом исправлении, то это не должно ограничиваться только сообщением на конференции Black Hat".

Непобедимый червь

В виду того, что червь находится в прошивке устройства, которая контролирует его основные функциональные возможности, его очень трудно обнаружить, его невозможно удалить с помощью очистки от хранимого содержимого. Кодилл также продемонстрировал, как можно использовать вредоносную программу для того, чтобы спрятать файлы и секретно лишить свойств безопасности, защищенных паролем.

До демонстрации на прошлой неделе Нол рассказал Wired, что считает данный глитч практически неисправимым с помощью патча. Для того, чтобы противостоять подобным атакам, говорит он, необходимо перестраивать всю архитектуру безопасности с нуля с помощью программного кода, который нельзя изменить без подписи изготовителя. И даже тогда, продолжает он, может потребоваться больше десяти лет, чтобы избавиться от всех уязвимых устройств и защититься от всех новых багов.

Обе исследовательские команды сделали обратную разработку прошивки для ЮСБ-устройств от фирмы Phison, компании из Тайваня, одной из крупнейших изготовителей ЮСБ-устройств. Даже если вы сами не пользуетесь устройствами Phison, ваш компьютер все равно уязвим, в особенности, если вы обмениваетесь файлами с другими пользователями или вы взяли подаренную флешку на какой-нибудь бизнес конференции.