¿Cómo puedo probar la vulnerabilidad de BadUSB?

8

Hay noticias de que un exploit de firmware USB no reparable y no reparable está "ahí fuera".

Esto puede parecer ajeno a los servidores, pero dado que el hardware afectado de Phison no se divulga, existe la posibilidad de que los dispositivos que están conectados a una red interna se infecten o sean potencialmente vulnerables. Esta podría ser la peor pesadilla para un administrador de redes y sistemas, un consultor de TIC, etc.

¿Hay alguna manera de verificar si un dispositivo USB tiene la posible vulnerabilidad BadUSB, para que los dispositivos USB puedan ser "examinados por los departamentos de TI"?

Eduard Florinescu
fuente
No tengo idea de cómo podría probar (aparte de esquemas completamente ridículos como obtener otro del mismo dispositivo y herramientas de programación USB para verificar que el firmware sea el mismo en ambos). La mayor parte de la vulnerabilidad potencial debe neutralizarse fácilmente con prácticas básicas de seguridad: 1. no conecte dispositivos no confiables a sus servidores 2. Si el dispositivo está actuando de forma "extraña", póngalo en cuarentena y evalúe su entorno. BasUSB permite que un dispositivo se comporte mal, pero no anula mágicamente el sistema host.
Chris S
3
Resumen de BadUSB : Phision es el fabricante líder de controladores de dispositivos USB (por ejemplo, el chip entre los chips flash de una tarjeta de memoria y el bus USB). Sus chips ofrecen una seguridad muy rudimentaria, fácil de superar, lo que permite que alguien envíe firmware arbitrario al controlador. Por lo tanto, el firmware podría contener malware, o podría ocultar partes de una unidad flash, o anular la contraseña en dispositivos de autocifrado, o actuar como algo diferente de lo que realmente es (por ejemplo, la tarjeta de memoria se convierte en una tarjeta de memoria + teclado o NIC , dispositivo de audio o cualquiera de las otras clases de USB). Y la lista continúa.
Chris S

Respuestas:

5

He estado investigando en Internet y, dado que es difícil saber si un dispositivo es vulnerable, es mejor estar preparado en el otro extremo del puerto USB y descubrí que en realidad hay algunas soluciones:

Para Windows :

Existe un programa gratuito llamado G DATA USB Keyboard Guard que básicamente le pide que otorgue acceso cuando se encuentra un nuevo dispositivo:

G DATA ha respondido desarrollando USB KEYBOARD GUARD, un complemento que lo protege de la forma más probable de ataque USB: dispositivos USB que fingen ser teclados. Si el sistema detecta un nuevo teclado, el acceso se denegará inicialmente y se mostrará una ventana emergente. A continuación, puede comprobar en su propio tiempo si realmente se trata de un teclado y otorgar o denegar el acceso de forma permanente.


También hay una solución para Linux :

Estoy completamente de acuerdo en que, tal como se envía, la mayoría de los sistemas informáticos serán susceptibles a este ataque, y asumo que todos sus ataques funcionarán como se anuncia. Con lo que no estoy de acuerdo en absoluto es con su conclusión, que se reduce a que no existen defensas efectivas.

[...]

... puede desactivar fácilmente este enlace automático, al menos en Linux, con un solo comando:

[root@optiplex ~]# echo 0 >/sys/bus/usb/drivers_autoprobe 

Ahora, cada vez que conecte un dispositivo USB a su computadora, no se conectará automáticamente ...

... para enlazar manualmente este dispositivo, primero debe elegir la configuración USB adecuada ...

# echo 1 >/sys/bus/usb/devices/5-1/bConfigurationValue  ...

( Todos los puntos [...] representan párrafos editados. Consulte el artículo completo para obtener más detalles )

Otras soluciones para Linux se pueden encontrar aquí:

Cómo prevenir ataques BadUSB en el escritorio de Linux


Si desea obtener más información sobre BadUSB, hay un artículo lleno de recursos y enlaces:

Noticias y enlaces de BadUSB

Eduard Florinescu
fuente