Vaatasin Eesti IT (turvalisuse)maastik kuidagi vajunud rahulikku unne, tekkis mõte, et ehk tutvustaks teadmist, kus saab teada, tavaline mälupulk võib olla ebameeldivalt ohtlik. Tavalises IT foorumis sellest rääkida pole eriti kasu, sealsed teadmised / arutelud ei jõua suure massini (tavakasutajad) kes ei aimagi, et selline asi võimalik.
BadUSB ohtlikkus (2014. a avalikustatud http://www.zdnet.com/article/badusb-big-bad-usb-security-problems-ahead/) on Eestis kuidagi hirmus vähe tähelepanu pälvinud.
Inimesed ei ole sellest turvaohust teadlikud, samuti puudub teadlikkus firmadel.
Lool oleks kaks aspekti:
* esiteks tundmatuid USB mälupulkasid mitte kasutada!
* teiseks ühte reaalselt rünnakut tutvustada.
Sai sportlikust huvist koostatud üks selline USB pulk BadUsb modifikatsiooniga, mis peale arvutisse sisestamist 10 sekundi jooksul tõmbab alla netist keylogger’i, mis püüab ID-kaardi (https://tingmarprog.wordpress.com/2014/11/13/id-kaart-windows-pole-pin-pad-lugejat-paha-idee/) paroole ning käivitab selle. Koheselt kõik katsed ei õnnestunud, 3 USB pulka … muutusid “kiviks”, enne kui töötava ver. sain. Uskuge, see töötav versioon tekitab kõhedust lausa 🙂
Kui RIA tooks kasti head veini laenutaksin selle USB pulga demode jaoks välja 😉
Uskuge mind sellised “spetsiaalse” USB mälupulga koostamiseks ei pea te raketiteadlane olema. Ärge muretsege, BadUSB töötab ka Linuxi ja Maci’ga…
—
Ostate mälupulga, kuhu andmeid salvestada, ühendate arvutiga, võtate väikese kohvi ja avastate, et mälupulk on teie arvuti üle võtnud. Tegemist on USB-arhitektuuri probleemiga, mida ei saa lahendada lihtsalt.
Sisuliselt on kirjutatud spetsiaaltarkvara USB-pulgale, mis hakkab arvutisse ise käske tippima (mälupulk tutvustab ennast kui klaviatuur). Ka e-sigareti võib selliseks pahalaseks ümber teha – nagu laadima panete, võetakse teie arvuti üle.
Kunagi CD-de puhul oli autorun’i võimalus: panid CD lugejasse ja kohe tõmmati sealt mõni programm tööle. Aga turvariske mõistes hakati enne küsima, kas tõesti soovid käivitada autorun’i.
Seda autorun-omadust ei eelda keegi aga tavalise mälupulga puhul, mida peaks kasutama justkui andmete salvestamiseks. Samas on võimalused, kuidas mälupulga abil kahju teha, piiritud: erinevatest troojakate installeerimine, failide krüpteerimine kettal või kustutamine.
Asja saab viia palju kaugemale. Mitte just ammu olid meil valimised ja ID-kaart asendamatu vahend e-valimistel.
Nüüd võtame järgmise ründevektori: kasutades inimlikku käitumist, kui midagi saab tasuta, siis krabame…
Tuleb teha N + 1 sellist USB-mälupulka, mille maksumus pole suur. Seejärel võtame usaldusväärse välimusega nännijagajad, kelle paneme neid – näiteks erakonna logoga – USB-pulkasid nö õigele sihtgrupile jagama. Jagamise võiks ajastada ca 4-5 nädalat enne valimisi. Või unustada neid USB-pulkasid näiteks ülikoolidesse.
Kui see mälupulk arvutiga ühendada, tõmbab USB-le paigaldatud muudetud riistvara Windowsi arvutisse pahavara, mis hakkab ID-kaardi paroole nuhkima, kogub andmeid, vajadusel paigaldab arvutisse kaughalduse tarkvara. Kui õigel hetkel õiged inimesed käivitavad kaughalduse või automatiseeritud robotid, on neil võimalik paroole ära kasutades valida “õige kandidaat”.
Kas sellisel ründel oleks mõtet?
Poliitika on väga räpane, iga “õige” kandidaat võib ise summa välja käia, et riigikokku saada.
Samamoodi saaks ID-kaardi PIN-koode nuhkides teha kaughaldusega pangaülekandeid jne.
Kui nüüd turvaspetsid võtavad välja ärakedratud plaadi teemal “teil peab olema uusim viirusetõrje”, siis esiteks need definitsioonid jõuaks liiga hilja viirusetõrjujateni, kui rünnak õigesti korraldada. Teiseks istub pahavara sisuliselt USB-riistvaras, teda ei saagi sealt ära kustutada.
See lugu on hoiatuseks, mida saab soovi ja väikeste oskuste korral teha. Ärge uskuge “tasuta” asjadesse. Kui ID-kaarti ei kasuta, võtke ta ID-kaardi lugejast välja! Loodetavasti tuleb aeg, kus meil on juba varem lubatud PIN-pad lugejad, millel mõistlik hind ja mille riistvara ka toetatud.
Ingmar Tammeväli 
mai 6, 2015, 18:29 |
Mobiil-ID kasutaja pääseb õnneks suuremast jamast. Samas kõik muud kohad on ligi pääsetavad kui kasutusel ei ole kahe astmelist sisse logimist vms.
mai 6, 2015, 18:48 |
Ega siin niivõrd polegi ID kaardi paroolide kättesaamine teemaks, see pigem oli mitme “turvakala” kombineerimine ja sai ühe hea rammusa kompoti 🙂 Tegelikkuses võiks BadUSB abil teha suht palju pahandust, kui arvutiga ühendad saaks ta isegi kõik failid ära krüpteerida või kustutada. Üks ebameeldiv USB arhitektuuriline kala…
mai 8, 2015, 17:14 |
Lisaks tarkvara installimisele on mälupulgaga võimalik muudki paha teha. Näiteks on olemas sellised mälupulgad, mis arvuti emaplaadi mõne hetkega läbi põletavad. Sisuliselt kasutab pulk USB kaudu antavat toitevoolu selleks, et impulsspinget vastu anda.
Saab vaid ühineda soovitusega mitte suvalisi pulki oma arvutisse toppida.
mai 8, 2015, 17:33 |
Natuke ehk off-topic, aga selliste läbipõletamiste vastu on olemas hea asi. Olen seda kasutanud enda hobi riistvara projektides, sest kunagi ei tea, mis võib viltu minna. Arvutist natuke kahju 🙂 BadUSB puhul sellest pole kahjuks kasu.
USB protection /ADUM4160 Evaluation Board /USB Isolator
http://www.ebay.de/itm/121324868559?_trksid=p2060353.m1438.l2649&ssPageName=STRK%3AMEBIDX%3AIT
mai 27, 2015, 12:04 |
Tõepoolest, ei tasu tundmatuid pulki arvutisse toppida, kuid nagu teada, siis kõige suurem turvaauk IT-süsteemides on inimene. Alati on võimalik nn tehnosotsiaalset sahkerdamist kasutades teha inimesele selgeks, et ta “peab” selle pulga oma arvutisse toppima.
mai 27, 2015, 13:33 |
Just, aga see selline turvarisk, mida isegi firmade IT turvaosakond tihti ei tea. Ala keegi ütleb, et kuule seal minu CV või mingid äridokumendid ja ühendatakse arvutiga. KORRAS ! Kusjuures kui BadUSB suudab ka komposiitseadmena USB seadet kuvada, ehk näedki kenasti USB ketas ja dokumendid peal. Mitte midagi ei kahtlustata.