For ni år siden opprettet jeg det jeg tror var verdens første USB-orm. Ved å leke med en USB-minnepinne og plassere en skjult fil på den, var jeg i stand til å lage hvilken som helst datamaskin der den "infiserte" USB-stasjonen ble koblet til automatisk spre filen til vertsdatamaskinen, og deretter tilbake igjen når en ny USB enheten ble koblet til.
Det fungerte i digitale kameraer og mobiltelefoner. Jeg var i stand til å få en hvilken som helst USB-enhet - faktisk en hvilken som helst flyttbar medieenhet - til å kjøre ormfilen min. Jeg hadde det veldig gøy å leke med det.
Jeg rapporterte funnet til arbeidsgiveren min og de involverte leverandørene; de ba om stillheten min i betydelig tid, slik at de kunne lukke hullet. Jeg hadde planlagt å presentere funnene mine på en stor nasjonal sikkerhetskonferanse og måtte velge mellom opptjent hackerkreditt og offentlig sikkerhet. Jeg gikk med sistnevnte.
Sannheten å si, jeg ønsket ikke å forbanne denne leverandøren fordi det var en mulig fremtidig kunde eller arbeidsgiver. Hullet ble lappet, og publikum var ikke noe klokere. Mange år senere ble jeg overrasket over å se en veldig lignende metode som ble brukt i Stuxnet malware-program.
Men min erfaring gjorde at jeg aldri stoler på en tilkoblet enhet igjen. Siden den gang har jeg aldri koblet til en USB-enhet eller et flyttbart mediekort til en datamaskin jeg eide som ikke stammer fra og som er under min kontroll. Noen ganger er paranoia passende.
BadUSB er en alvorlig trussel nå ute i naturen
Det bringer meg til i dag. Det er nå lagt ut på GitHub kildekoden for BadUSB (ikke å forveksle med falskt skadeprogram som heter BadBIOS), som får eksperimentet mitt for ni år siden til å ligne et barns spill. BadUSB er en reell trussel som får alvorlige konsekvenser for maskinvareinndataenheter.
BadUSB skriver - eller overskriver - fastvarekoden til en USB-enhet for å utføre ondsinnede handlinger. Først kunngjort i juli 2014, ble BadUSB oppdaget av et par dataforskere ved Security Research Labs i Berlin, som deretter demoer oppdagelsen sin på Black Hat Conference.
Angrepet fryktes fordi alle tradisjonelle metoder for å sjekke ondskap på en USB-lagringsenhet ikke fungerer. Den ondsinnede koden er plantet i USB-fastvaren, som kjøres når enheten er koblet til en vert. Verten kan ikke oppdage firmwarekoden, men firmwarekoden kan samhandle med og endre programvare på vertsdatamaskinen.
Den ondsinnede firmwarekoden kan plante annen skadelig programvare, stjele informasjon, omdirigere internettrafikk og mer - alt sammen utenom antivirussøk. Angrepet ble ansett som så levedyktig og farlig at forskerne bare demo utnyttelsen. I en overflod av forsiktighet ga de ikke ut proof-of-concept-koden eller infiserte enheter. Men to andre forskere omvendt konstruerte utnyttelsen, opprettet demonstrasjonskode og ga den ut til verden på GitHub.
Hold øye med dramaet som allerede har dukket opp på nyheter og forbrukertekniske nettsteder som CNN, Atlanta Journal-Constitution, Register og PC Magazine, og utbryt: "Verden kommer til å bli full av ondsinnede USB-enheter!"
Hvorfor BadUSB-utnyttelsen går langt utover USB
For det første er det viktig å erkjenne at trusselen er reell. USB-firmware kan bli modifisert for å gjøre det forskerne hevder. Hackere over hele verden laster sannsynligvis ned proof-of-concept-koden, lager skadelige USB-enheter, og bruker proof-of-concept-koden som et utgangspunkt for handlinger som er langt mer ondsinnede enn forskernes testutnyttelse.
For det andre er problemet ikke begrenset til USB-enheter. Faktisk er USB-enheter toppen av isfjellet. Enhver maskinvareenhet som er koblet til datamaskinen din med en fastvarekomponent, kan sannsynligvis bli skadelig. Jeg snakker FireWire-enheter, SCSI-enheter, harddisker, DMA-enheter og mer.
For at disse enhetene skal fungere, må firmwaren settes inn i vertenhetens minne der den deretter kjøres - slik at skadelig programvare lett kan være med på den turen. Det kan være firmwareenheter som ikke kan utnyttes, men jeg vet ikke en grunn til hvorfor ikke.
Firmware er iboende ikke annet enn programvareinstruksjoner lagret på silisium. På grunnleggende nivå er det ingenting annet enn programvareprogrammering. Og fastvare er nødvendig for at maskinvareenheten skal kunne snakke med vertsdatamaskinen. Enhetens API-spesifikasjon forteller enhetens programmerere hvordan de skal skrive kode som gjør at enheten fungerer som den skal, men disse spesifikasjonene og instruksjonene er aldri satt sammen med tanke på sikkerhet. Nei, de ble skrevet for å få ting til å snakke med hverandre (omtrent som Internett).
Det tar ikke mange programmeringsinstruksjoner for å aktivere ondsinnet aktivitet. Du kan formatere de fleste lagringsenheter eller "murstein" en datamaskin med en håndfull veibeskrivelser. Det minste dataviruset som noensinne er skrevet, var bare 35 byte store. Nyttelasten i GitHub proof-of-concept-eksemplet er bare 14K, og den inkluderer mange feilkontroller og finessekoding. Tro meg, 14K er liten i dagens verden av skadelig programvare. Det er enkelt å legge inn og skjule skadelig programvare i en hvilken som helst firmwarekontroller.
Det er faktisk en veldig god sjanse for at hackere og nasjoner lenge har kjent til og brukt disse firmware-bakdørene. NSA-overvåkere har spekulert i lange tider om slike enheter, og disse mistankene ble bekreftet av NSA-dokumenter som nylig ble utgitt.
Den skumle sannheten er at hackere har hacket fastvareenheter og tvunget dem til uautoriserte handlinger så lenge firmware har eksistert.
BadUSB er den største trusselen du kan ta av panikklisten din
Virkeligheten er at du burde ha vært i det minste nervøs for firmwareenheter som er koblet til datamaskinen din - USB eller på annen måte - i lang tid. Jeg har vært slik i nesten et tiår.
Det eneste forsvaret ditt er at du kobler til firmwareenheter fra leverandører du stoler på, og holder dem under din kontroll. Men hvordan vet du at enhetene du har koblet til ikke har blitt kompromittert masse eller ikke har blitt tuklet med mellom leverandøren og datamaskinene dine? Lekkasjene fra Edward Snowden antyder at NSA har fanget opp datamaskiner i transitt for å installere lytteenheter. Sikkert andre spioner og hackere har prøvd den samme taktikken for å infisere komponenter langs forsyningskjeden.
Likevel kan du slappe av.
Ondsinnet maskinvare er mulig, og det kan brukes i noen begrensede scenarier. Men det er usannsynlig å være utbredt. Maskinvarehacking er ikke lett. Det er ressurskrevende. Ulike instruksjonssett brukes til forskjellige brikkesett. Så er det det irriterende problemet å få de tiltenkte ofrene til å godta de ondsinnede enhetene og sette det inn i datamaskinene sine. For mål med svært høy verdi er slike angrep med "Mission Impossible" -stile sannsynlige, men ikke så mye for den gjennomsnittlige Joe.
Dagens hackere (inkludert spionbyråene i USA, Storbritannia, Israel, Kina, Russland, Frankrike, Tyskland og så videre) nyter langt mer suksess ved bruk av tradisjonelle programvareinfeksjonsmetoder. For eksempel, som en hacker, kan du bygge og bruke et supersofistikert og supersneaky Blue Pill hypervisor-angrepsverktøy eller gå med et vanlig Trojan-program for hver dag som har fungert bra i flere tiår for å hacke et mye større antall mennesker.
Men anta at skadelig firmware eller USB-enheter begynte å vises bredt? Du kan satse på at leverandører vil svare og løse problemet. BadUSB har ikke noe forsvar i dag, men det kan lett forsvares mot i fremtiden. Tross alt er det bare programvare (lagret i firmware), og programvare kan beseire den. USB-standardorganene vil trolig oppdatere spesifikasjonen for å forhindre slike angrep, mikrokontrollerleverandører vil gjøre ondskapsevne mindre sannsynlig fra firmware, og leverandører av operativsystemer vil trolig svare enda raskere.
For eksempel forhindrer noen leverandører av operativsystemer nå DMA-enheter å få tilgang til minne før en datamaskin starter helt opp eller før en bruker logger på, bare for å forhindre at oppdagede angrep kommer fra tilkoblede DMA-enheter. Windows 8.1, OS X (via Open Firmware-passord) og Linux har forsvar mot DMA-angrep, selv om de vanligvis krever at brukere aktiverer disse forsvarene. De samme slags forsvar vil bli implementert hvis BadUSB blir utbredt.
Ikke frykt for BadUSB, selv om en hackervenn bestemmer seg for å lure deg med sin skadelige kodede USB-tommelstasjon. Gjør som meg - ikke bruk USB-enheter som ikke har vært under din kontroll hele tiden.
Husk: Hvis du er bekymret for å bli hacket, må du være mer bekymret for hva som kjører i nettleseren din enn hva som kjører fra fastvaren din.
