Ho letto un articolo della BBC sulle chiavette USB vuote contenenti malware:
Berlin-based researchers Karsten Nohl and Jakob Lell said a device that appeared to be completely empty could still contain a virus.
Questa domanda potrebbe sembrare simile a altre domande ma quelle non hanno riguardato vuoto bastoni.
È possibile modificare il firmware di un dispositivo USB. Con questo puoi dire al sistema operativo quello che vuoi, ad es. il dispositivo è vuoto anche se non lo è. Oppure attaccare lo stack di software USB del SO inviando i dati che un normale dispositivo USB non invierà (quindi il dispositivo potrebbe addirittura essere vuoto, l'attacco proviene dal firmware).
Puoi anche fare altre cose divertenti, come dire al sistema operativo che il dispositivo USB è anche una tastiera, quindi digitare automaticamente i comandi che fanno qualcosa se è collegato. O dire al sistema operativo che il dispositivo USB è una scheda di rete, e reindirizza tutto il traffico verso un server che controlli.
Divertimento senza fine con firmware USB compromessi ...
Temo che ciò derivi da un fraintendimento del reporter:
... said a device that appeared to be empty could still contain a virus.
In il video che il giornalista si riferisce a è chiaro, infatti, nei primi due minuti Karsen dice che è NOT parlando di virus. Prosegue poi a dimostrare, sullo schermo, che il dispositivo USB apparentemente vuoto si sta trasformando in un dispositivo diverso (ad esempio, emulando memoria e tastiera e giocando sequenze di tasti), come accennato nella mia precedente risposta (sotto), ma Al momento non avevo esaminato la risorsa completa per stabilirlo come prova conclusiva.
Quindi ce l'hai, l'autore ha in qualche modo frainteso la presentazione del video, e la BBC l'ha pubblicata ...
How can "empty" USB sticks contain malware?
Questa domanda non costituisce un'immagine chiara.
Per prima cosa dobbiamo definire "vuoto" .
Is this only a problem for (legacy) Windows systems?
No. Dovremmo considerare cosa costituisce "malware". È possibile che una sequenza arbitraria di byte sia considerata malware poiché causa danni a un sistema (ad esempio codice macchina x86 / x64 su un processore x86 / x64) ma non un altro (ad esempio lo stesso bytecode su ARM / SPARC). Per rispondere a questa domanda, dobbiamo solo trovare (o progettare) un sistema che decodifica la sequenza arbitraria come malware, anche se in precedenza non lo era.
Is there some way to use these sticks while protecting yourself?
No. Infine, considera la definizione di Chiavetta USB . È possibile che, invece di collegare un dispositivo di archiviazione , sia possibile collegare alcuni tipi di bug elettronici, come un adattatore per tastiera wireless o un thumb killer USB. Tali dispositivi in sé non costituiscono veramente malware , perché non sono software o non sono progettati per essere dannosi ... sebbene potrebbero comunque rappresentare dei rischi per la sicurezza. Potrebbe anche essere possibile per un dispositivo accedere alla memoria (ad es. Apparire come caricabatterie per il tuo cellulare e poi rubare tutte le tue foto, i tuoi video, ecc. Usando la linea dati o una rete wifi nascosta).
Non inserire dispositivi USB non sicuri. Periodo. Potrebbero non contenere malware, ma questo non è l'unico pericolo ... specialmente in questi giorni in cui la competizione, il sabotaggio elettronico e l'amp; la sorveglianza è di gran moda.
USB funziona così, AFAIK, nota dove le menzogne possono portare fuori strada il sistema.
Considera dispositivi USB con microcontrollore sovvertito (riprogrammato) ...
Computer: +5V, GND
Microcontroller: I am a keyboard.
Computer: OK
Microcontroller: "FORMAT C:" ENTER "Y" ENTER
(riferimento Dilbert)
Cerca la vulnerabilità "BadUSB" per i dettagli.
Ora c'è un gadget GoodUSB: link
Un computer non è solo un processore, una RAM e un disco rigido. Ci sono molti processori all'interno di un computer, inclusi processori host USB, processori di tastiera, processori di clock, processori bus di indirizzi, processori IDE / SATA e altro.
Una chiavetta USB "completamente vuota" potrebbe riportare 0 file e cartelle in una singola partizione, anche se fosse, ad esempio, una tastiera programmata per pubblicizzarsi come dispositivo di archiviazione di massa.
C'è molta fiducia a livello di hardware per la maggior parte dei processori. Il firmware su molte penne USB è progettato con l'idea che non saranno programmati dagli utenti finali. Il firmware su molti host USB assume anche che non saranno programmati dagli utenti finali.
In altre parole, un utente con competenze tecniche sufficienti potrebbe scrivere il proprio codice su una chiavetta USB, che a sua volta potrebbe scrivere un carico utile sul processore host USB, che a sua volta potrebbe essere utilizzato per sovvertire altri sistemi tramite bus comuni .
Questo ambiente esiste solo in primo luogo perché molti processori includono RAM non volatile che usano come ROM per memorizzare il loro codice. Ciò consente ai produttori di costruire prima l'hardware, quindi rilasciare il software in un secondo momento. È molto più economico che costruire il software direttamente nell'hardware.
Quindi, con tutto questo in mente, ecco le risposte che probabilmente non vuoi sentire:
How can "empty" USB sticks contain malware?
Solo perché il sistema operativo vede qualcosa come vuoto non significa che lo sia. Al minimo, ha un codice firmware in esecuzione in un processore che avvia il millisecondo del dispositivo. Tutti i dispositivi USB hanno memoria, anche tastiere, mouse e schede audio. Se fosse veramente vuoto, il dispositivo non funzionerebbe.
Tuttavia, se il dispositivo si segnala come dispositivo di archiviazione e il sistema operativo esegue una query sulla tabella delle partizioni, il dispositivo può quindi semplicemente inviare i dati desiderati, incluso apparire vuoti o disporre di una capacità di archiviazione arbitraria, ecc. , puoi trovare truffatori che vendono dispositivi di archiviazione con capacità insufficiente che sono riprogrammati per riportare più capacità di quella che hanno. Ad esempio, potresti acquistare una chiavetta da 32 GB che in realtà ha solo 2 GB di spazio fisico. Il firmware risiede nel sistema operativo, che alla fine risulta in dati corrotti quando l'utente tenta di utilizzare più (ad esempio) 2 GB di spazio di archiviazione.
Is this only a problem for (legacy) Windows systems?
No. Questo è un problema praticamente per ogni dispositivo hardware sul mercato. Alcune persone stimano che questo possa raggiungere il 90% o più di dispositivi, inclusi laptop, tablet, telefoni, desktop, lettori mp3 e qualsiasi altra cosa che contenga firmware USB. C'è almeno un produttore di cui ho sentito parlare che ha "indurito" il loro firmware contro la riprogrammazione. Una semplice ricerca su Google troverà dispositivi di archiviazione resistenti alla riprogrammazione.
Is there some way to use these sticks while protecting yourself?
No. Infatti, a meno che non si esamini il codice di ogni firmware prima di collegarlo al computer e, di fatto, di leggere il codice del firmware del computer prima di collegarlo, non si può essere certi. È possibile che il tuo dispositivo sia stato infettato dalla NSA prima che fosse spedito al tuo negozio e venduto a te. Potrebbe persino essere infetto anche se hai acquistato tutto l'hardware in modo frammentario e l'hai creato da solo. A meno che tu non abbia creato e programmato fisicamente ogni aspetto del tuo computer, non c'è assolutamente alcun modo di essere perfettamente al sicuro.
Il meglio che puoi fare è stabilire un certo livello di fiducia ed evitare comportamenti rischiosi. Evita di acquistare hardware aperto su e-bay, a meno che tu non abbia ragionevolmente fiducia nel venditore. Preferisco acquistare parti di computer di marca invece di imitazioni knockoff, a meno che non si possa essere ragionevolmente sicuri che siano al sicuro (cioè fare ricerche). Usa il minor numero di dispositivi possibile ed evita di condividere i tuoi dispositivi con persone che non conosci. In altre parole, prendi le stesse precauzioni che prendi quando cerchi di comprare cibo, un'auto o qualsiasi altra cosa. La maggior parte dell'hardware non è attualmente infetto, solo perché ci sono modi più semplici per ottenere i dati di qualcuno, ma devi evitare l'esposizione casuale ai rischi.
Ci sono diversi modi per farlo sembrare vuoto:
Utilizzo di caratteri non supportati nel nome del file
Utilizzo delle opzioni di occultamento per i file
Utilizzando le speciali cartelle di Windows (come Informazioni di sistema)
In tutti i casi, con un file manager decente sarete in grado di rilevarli, ma da un sistema operativo Windows sarete in grado di rilevarli solo nel caso 2 e, se è stato abilitato per mostrare i file nascosti.
Sì, principalmente è un problema del sistema operativo Windows.
Sì, ci sono modi per proteggere:
La stessa chiave USB potrebbe essere il virus, non i dati sulla sua memoria flash.
Lascia che ti mostri come:
Potresti usare gli endpoint rimanenti per emulare una tastiera o un mouse.
Se fatto bene, l'utente nota solo un'unità flash apparentemente vuota. Quindi nessun modo per eliminare il virus senza modificare il firmware USB
Diverse buone risposte sopra - un altro relativo alla risposta di waltinator sarebbe qualcosa come un USB ruberducky questo potrebbe avere malware in un partizione nascosta che verrà distribuita durante la visualizzazione di una partizione vuota.
A causa di dati corrotti. Tutto ciò che può scrivere sulla memoria può in teoria salvarsi senza alcuna interazione dell'utente. Con questa definizione si potrebbe dire che Windows stesso è un malware perché ogni volta che si collega un'unità o una chiavetta USB, vengono scritti alcuni byte invisibili che potrebbero contenere qualsiasi cosa. Ovunque dalle informazioni di backup necessarie per il sistema operativo o addirittura software canaglia che si copia su qualsiasi cosa scrivibile. Negli anni '90 i floppy disk avevano un inserto fisico del pollice che si poteva girare come un interruttore, girandolo in una posizione bloccata, i dati non potevano essere scritti sul disco. Non esiste nulla di simile per le unità USB, anche se sono sicuro che probabilmente c'è del software che può consentire di bloccare le unità. In Linux nulla viene montato automaticamente a meno che non sia configurato in questo modo, se si cattura malware su hardware rimovibile si tratta di un problema di Windows.
La mia risposta breve: è facile fondere i dati per far sembrare che qualcosa sia qualcosa che non è.
Questo può essere fatto maliziosamente o semplicemente come sottoprodotto di un'applicazione diversa.
Caso in punto di sottoprodotto accidentale. Ho una chiavetta USB3 da 16 gb che ho trasformato in un USB avviabile di Kali linux. Il programma che ho usato ha finito per rendere lo spazio inutilizzato in una partizione non allocata, quindi ora il sistema vedeva solo il bastone come lo spazio totale occupato dai dati ISO. Ho finito per dover utilizzare un programma di partizionamento di terze parti per ripartizionare l'intero stick e ottenere il totale di 16 gb.