BadUSB: Perché il firmware è scrivibile in primo luogo? Backdoor del produttore?

Tutto è bacato. Hardware, software, firmware, wetware. Tutto.

La maggior parte delle volte questi bug rientrano in limiti accettabili. Qualunque computer tu stia utilizzando, ad esempio, probabilmente ha 5-20 aggiornamenti del BIOS, a seconda di quanti anni ha. E per la maggior parte delle persone, possono essere molti aggiornamenti dietro senza problemi -. Perché i bug fissati dal versioni successive o non li impatto o non siano catastrofiche

A volte i bug sono più seri e devono essere risolti prima che qualcosa possa essere spedito / venduto. Ad esempio, farebbe schifo per fabbricare un milione di pen drive USB, quindi sarà costretto a lanciarli in perdita a causa di un bug che è emerso. Il produttore sarebbe molto meglio se fossero in grado di compensare l'errore (e il firmware possono spesso compensare i problemi di hardware, firmware non solo problemi).

Quindi, la regola generale è quella di sistemi che hanno un piccolo aggiornamento, la capacità, anche se il normale ciclo di vita del prodotto non si prevede che lo richiedono design.

Perché tutto è bacato.

WhiteWinterWolf pone questa domanda di follow-up nei commenti:

In the Black Hat presentation by Karsten Nohl and Jakob Lell, the solution presented as the most simple and effective one would be to lock the firmware down at the factory, blocking any firmware update. Following your answer, do you think that such possibility would therefore be not very realistic "in the real world"?

Ora siamo puramente nel territorio della speculazione. Ecco la mia opinione :

Il blocco del firmware è una soluzione tecnica, ma è uno che sarà abbracciato solo alla fine molto basso (a basso costo, dispositivi usa e getta) e il molto di fascia alta (marketing incentrata sulla sicurezza). Il vasto mezzo continuerà a spedire dispositivi scrivibili perché il business case esclude il caso di sicurezza.

Lascia che ti dica come sono arrivato qui:

Il blocco del firmware ha impatti positivi (maggiore sicurezza) e negativi (incapacità di aggiornare per correggere i problemi come descritto sopra).

Al molto bassi - dove è possibile acquistare un pen drive da 8 GB per $ 2 - l'impossibilità di aggiornare è meno di un problema. Con ogni probabilità, il produttore è relativamente generico e non si preoccuperà del colpo di PR per avere un dispositivo buggy che non può essere aggiornato. E a quel prezzo, i consumatori sono più propensi a buttarlo nella spazzatura e comprare qualcos'altro che cercare un aggiornamento.

Quindi i benefici per la sicurezza superano i costi aziendali della fascia bassa. (Sia i produttori di fascia bassa possono essere convinti di fare un semplice passo così è un'altra questione; per definizione, si preoccupano di meno il consumatore, perché non stanno costruendo la fedeltà alla marca).

Dall'altra parte dello spettro ci sono aziende che si vendono come provider di sicurezza prima di tutto. IronKey, ad esempio, vende dispositivi che si puliscono da soli se la password errata viene immessa troppe volte e che vengono cotti in resina epossidica per impedire l'accesso fisico. Per loro offrire il compromesso del firmware bloccato (nessun aggiornamento, ma meno insicurezza) va bene - questa è la loro proposta di valore. I loro clienti preferiscono gettare via costosi dispositivi piuttosto che avere rischi per la sicurezza che potrebbero essere evitati.

Come per tutti tra questi due estremi ...

Immagina una presentazione che viene data intorno a una sala riunioni. Il presentatore dice: "Siamo in grado di migliorare la sicurezza dei nostri clienti, contro un attacco di nicchia molto particolare, bloccando il nostro hardware in modo che gli aggiornamenti non sono possibili. C'è la possibilità ciò potrebbe causare alti tassi di restituzione dei prodotti, la pubblicità negativa, e danni generali al nostro marchio. Siamo qui per decidere se proteggere noi stessi o un piccolo sottoinsieme sconosciuto della nostra base di clienti contro una potenziale sconosciuta. "

Voteranno per fare la cosa giusta per l'azienda, non per l'ipotetico cliente individuale. E continueranno a spedire cose che possono aggiornare.

Solo i miei 2 centesimi (che è abbastanza buono per comprare una pen drive da 256 MB in questi giorni)

Le chiavette USB sono composte da diversi moduli elettronici e logici. Combinati, questi moduli possono soddisfare alcuni requisiti tecnologici necessari per costituire lo storage portatile. Questi moduli possono essere acquistati alla rinfusa e sono il più generici possibile in modo che il produttore possa venderli al maggior numero possibile di compratori senza richiedere una quantità ridicola di diversità produttiva.

Quindi, ad esempio, abbiamo un'azienda chiamata ScanDisk che desidera produrre unità flash portatili. ScanDisk comprerà chip di memoria, PCB, orologi al quarzo e, soprattutto, un controller. Per far sì che questi componenti interagiscano in modo significativo con un computer, ScanDisk dovrà caricare il firmware sul controller.

Questi controller sono disponibili in tutte le forme e dimensioni, alcuni dei quali consentono firmware più complessi di altri. In tutti i casi è necessario che il controller sia scrivibile in un modo o nell'altro, un'unità USB appena creata non avrà alcuna funzionalità finché il controller non sarà dotato di firmware. È più economico sia per il produttore che per l'acquirente consentire il flash del firmware tramite la porta USB e, in realtà, è necessario che una porta speciale racchiusa nell'alloggiamento non escluda alcun tipo di attacco.

Come per i controllori progettati in modo sicuro ... non è certamente più economico del tuo chip medio all'ingrosso, quindi non è difficile indovinare quale è il preferito.

How many of you have actually updated their mouse, keyboard firmware? How many vendor actually propose updates for such devices?

Ho aggiornato il mio mouse e il firmware della tastiera in diverse occasioni. È abbastanza comune tra i dispositivi creati e indirizzati alla comunità di gioco. Questi dispositivi possono essere abbastanza avanzati e utilizzare una tecnologia che non esisterebbe in un comune mouse di livello consumer. Ad esempio, SteelSeries crea un mouse con un processore ARM a 32 bit incorporato e uno schermo mini LCD sul lato inferiore del mouse. È la stessa storia con le tastiere. Processori e RAM incorporati per l'archiviazione di macro, profili, ecc. Come con qualsiasi dispositivo hardware, possono sorgere problemi di compatibilità con la miriade di combinazioni hardware possibili che richiedono la necessità di aggiornare il firmware di questi dispositivi.