BadUSB-virus wordt slechter: nieuwe malwarebedreiging opgelost
Toen je jonger was, liet je moeder je waarschijnlijk altijd buiten spelen, maar met het begrip dat je niet met vreemden zou praten.
Sindsdien zijn de tijden echter veranderd en nu zou geen enkele ouder het risico lopen om hun kind te lang uit het zicht te laten – de risico’s zijn tegenwoordig gewoon veel te groot en de gevolgen van een slechte beslissing kunnen zowel tragisch als permanent zijn.
Maar je hebt geluk – je hebt een les geleerd die je altijd bijblijft en je niet alleen tot een betere ouder maakt, maar ook tot een veiligere computergebruiker. Als u een vreemd persoon niet zou vertrouwen, waarom zou u tenslotte een e-mailbijlage of een USB-stick van onbekende oorsprong vertrouwen?
Helaas is echter niet iedereen zo slim.
Afgezien van sociaal ontwikkelde aansporingen, worden zelfs de meer voor de hand liggende lokmiddelen vaak over het hoofd gezien door de click-happy gebruiker die eraan gewend is alles en alles te openen van bronnen waarvan ze denken dat ze ze kunnen vertrouwen, maar ook van bronnen waarvan ze echt dubieus moeten zijn.
Het goede nieuws is dat een dergelijk verval in veilige werkwijzen in verschillende mate kan worden bestreden door training in veiligheidsbewustzijn, die gelukkig steeds vaker beschikbaar is via overheidsinitiatieven en via werknemersregelingen die voornamelijk zijn ontworpen om bedrijfsgegevens te beschermen, maar die nuttig kunnen zijn ook voor de gebruiker thuis.
Het niet-zo-goede nieuws is dat zelfs een besef van potentiële beveiligingshoofdpijn soms onvoldoende kan blijken, zoals blijkt uit een sneaky nieuwe optie voor het leveren van malware die is ontdekt door twee onderzoekers van het Duitse beveiligingsbedrijf SR Labs.
Eind juli gebruikten Jakob Lell en Karsten Nohl de Black Hat-conferentie in LA om aan te tonen hoe het mogelijk is om de firmware op een USB-stick te gebruiken en te herprogrammeren met iets dat veel schadelijker van aard is.
Gezien de ernst van de aanslagen die zouden kunnen volgen, besloten Lell en Nohl de codering voor zichzelf te houden in een beweging die aantoonbaar kritisch zou kunnen zijn, omdat publicatie tot tegenmaatregelen had kunnen leiden.
USB-malware
Niettemin is BadUSB, dat het paar omschreef als een aanvalsvector die kon worden “geïnstalleerd op een USB-apparaat om een pc volledig over te nemen, onzichtbaar de bestanden geïnstalleerd vanaf de geheugenstick wijzigen, of zelfs het internetverkeer van de gebruiker omleiden”, nu gebouwd op door onderzoekers Adam Caudill en Brandon Wilson die de code hebben geüpload naar software repository GitHub waar elke geïnteresseerde partij deze kan downloaden van.
Hun beslissing, die de code natuurlijk binnen handbereik van de slechteriken plaatst, is een strategie met een bepaald risiconiveau, maar, zoals het tweetal de veertien dagen geleden de Derbycon hackerconferentie in Louisville Kentucky vertelde, “zou dergelijke informatie niet moeten zijn ingehouden, ‘met Caudill die zegt:’ Als je gaat bewijzen dat er een fout is, moet je het materiaal vrijgeven zodat mensen zich ertegen kunnen verdedigen. ‘
Nu de informatie beschikbaar is en gemakkelijk te vinden is, is de nadruk op het oplossen van de fout zeer stevig op de schouders gelegd van degenen die de hardware leveren – die bedrijven die USB-sticks produceren en op de markt brengen – en geen van beide zullen waarschijnlijk snel reageren.
In de tussentijd hebben bedrijven en particulieren die afhankelijk zijn van USB-sticks twee verschillende opties, behalve wachten – ze kunnen extreem voorzichtig zijn met wat ze in hun USB-slots glijden of ze kunnen hun risico nemen met een semi-patch die door Caudill en Wilson.
De patch ‘Add no-boot-mode’ van het duo is beperkt bruikbaar omdat het een handmatige aanpassing vereist en niet met elk apparaat werkt. Het voorkomt ook geen herprogrammering van firmware als een aanvaller fysieke toegang tot een schijf heeft – er is een andere moeilijke oplossing vereist voor het gebruik van epoxy om ‘pin shorting’ van het apparaat te blokkeren.
Caudill, in gesprek met Wired, legde uit hoe fysiek het voorkomen van een ‘harde reset’ op een USB-apparaat kan helpen:
“Met de opstartmodus uitgeschakeld kan een aanvaller de firmware van een USB-stick nog wijzigen als hij of zij fysieke toegang heeft tot een thumb drive, met behulp van een techniek die” pin shorting “wordt genoemd. Die methode houdt in dat de drive op een computer wordt aangesloten terwijl een stuk geleidend materiaal wordt geplaatst metaal over twee of drie van de pinnen die de controller-chip verbinden met de printplaat van de USB-stick. “
Hoewel een dergelijke aanval je niet al te waarschijnlijk zal beïnvloeden, zou het extreem schadelijk zijn als dat wel het geval was. Daarom raden we aan heel goed na te denken voordat u een USB-stick gebruikt, tenzij u weet waar deze vandaan komt en waarvoor deze is gebruikt. Wat betreft ‘pin shorting’, dat is iets dat heel erg op ‘eigen risico’ gebeurt als u besluit het te proberen.