Rilevazione di BadUSB

5

Abbiamo in programma di distribuire il nostro nuovo software utilizzando unità flash USB. Il piano prevede che gli specialisti del servizio sul campo visitino i nostri clienti e aggiornino il software utilizzando una delle nostre unità flash. Tuttavia, vogliamo essere in grado di riutilizzare le unità flash. Queste unità flash possono essere infettate da malware come BadUSB? Raccomanderesti qualche strumento per rilevare l'unità flash USB con malware nel firmware?

    
posta JLmatud 09.11.2016 - 01:51
fonte

4 risposte

4

Qui troverai una guida su come evitare che i bastoncini infetti da BadUSB diventino dannosi. Ciò tuttavia non impedirà l'infezione del bastone.

Il problema con quello che stai cercando di fare è leggere il firmware per analizzarlo. Semplicemente non puoi per la maggior parte delle USB. Il modo in cui l'attacco riflette il firmware è con un comando SCSI "segreto" (non documentato, specifico del fornitore) che lo aggiorna. Di solito non ci sono nemmeno comandi di lettura implementati.

A simpler solution is to use a write-protected USB (there are plenty of models that have a read only switch).

Avrai bisogno di una protezione da scrittura per evitare il reflash del firmware USB, non il normale switch di sola lettura della memoria. Se ricordo correttamente la maggior parte dei controller USB non hanno questo. Ci sono dei controller USB protetti da scrittura con un "fusibile" dopo aver lasciato la fabbrica, ma dovrai scavare molto in profondità per trovare quelle specifiche.

    
risposta data 09.11.2016 - 10:40
fonte
1

L'infezione non rilevabile è un rischio potenziale

Sebbene un'attenta analisi di un particolare dispositivo sospetto possa produrre risultati e sia possibile rilevare le firme di particolari attacchi popolari, non è possibile semplicemente evitare l'intera classe di vulnerabilità "di tipo BadUSB".

Per prendere in prestito una citazione dal rilevamento originale di BadUSB, "Non c'è modo di ottenere il firmware senza l'aiuto del firmware, e se chiedi al firmware infetto, ti mentirà."

Concettualmente non è possibile analizzare da remoto un computer potenzialmente ostile (l'unità USB) collegato a te tramite una rete (il protocollo USB) e assicurarsi di tutto sul suo contenuto. Un dispositivo compromesso può facilmente imitare qualsiasi e tutte le risposte di un dispositivo "buono" fino a quando non vengono soddisfatte determinate condizioni, quando verrà distribuito un carico utile.

Se viene visualizzato un nuovo attacco, le unità potrebbero essere infettate da esso in un modo non rilevabile.

    
risposta data 14.12.2016 - 16:01
fonte
1

Se guardi il documentario "Citizenfour" potresti notare che Edward Snowden consegna i documenti ai giornalisti usando una scheda SD.

Molte schede SD hanno un interruttore di protezione da scrittura sul lato, come altri risponditori hanno menzionato sulle chiavette USB. Anche se temo di non sapere se si tratta di un interruttore hardware o software, dovrai verificarlo.

Il ricercatore originale di badUSB afferma che molti lettori di schede SD sono anche vulnerabili.

    
risposta data 10.11.2016 - 11:50
fonte
0

La tua proposta è troppo complessa da implementare praticamente. Un modo per rilevare è disporre di una stazione di analisi in cui archiviare i firmware delle unità USB e confrontarle quando le USB tornano.

Una soluzione più semplice è utilizzare un USB protetto da scrittura (ci sono molti modelli con un interruttore di sola lettura).

    
risposta data 09.11.2016 - 09:40
fonte

Leggi altre domande sui tag