Új támadási vektor: malware-es pendrive a postaládádban

Titkosítás, biztonság, privát szféra

Malicsusz USB pendrive-ok

Ausztrália Victoria államának rendőrsége arra figyelmezteti a polgárokat, hogy új számítógépes támadási vektor bukkant fel: ismeretlenek rosszindulatú alkalmazás(oka)t tartalmazó pendrive eszközöket szórnak a helyi lakosok postaládájába. A márkajelzés neélküli pendrive számítógépre dugva rosszindulatú tevékenységeket indít el. A rendőrség arra kéri a lakosokat, hogy ne dugjanak ismeretlen eszközt a gépeikre.

[ Harmful USB drives found in letterboxes ]

( trey | 2016. 09. 22., cs – 09:50 )

Az én postaládámat minden nap teleszórhatná valaki jó nagy méretű, márkás, malicsusz pendrive-okkal. Ígérem nem sértődök meg érte... :D

--
trey @ gépház

Az a baj, hogy ha nem márkás, akkor felmerülhet a lehetősége annak, hogy nem elég formázni vagy végigírni, mert az elektronikában is elrejtettek valami kifinomultabb támadást. Persze, a hamisat elég nehéz lenne megkülönböztetni a valóditól.

Mindenesetre, itt laikusokat akarnak rászedni, nem hiszem, hogy túl nagy erőfeszítést tettek a preparálásra. Inkább csak a kíváncsiságra játszanak.

Hozzáértőt ezzel nem szednek rá, az nem fogja feldugni a gépére.

--
trey @ gépház

Az a probléma, hogy ha malware-rel fertőzött gépbe dugod a pendrive-odat, potenciálisan az is felülírhatja a firmware-t.
Lehet már kapni direkt one-time-programmable vezérlővel szerelt példányokat, security-conscious helyekre.

Ja és sajnos ez vinyóval is működik. Ott ráadásul lehetetlen megállapítani, fertőzött-e, mert sok esetben csak írni lehet a fw-t, olvasni nem.

A word of warning for those of you who may be regular B & Q customers.
Over the last month I became a victim of a clever scam while out shopping. Simply going out to get a few bits and pieces has turned out to be quite traumatic. Don't be naive enough to think it couldn't happen to you!

Here's how the scam works:

Two seriously good-looking 20-21 year-old girls come over to your car as you are packing your shopping into the boot. They both start wiping your windscreen with a rag and Windolene, with their breasts almost falling out of their skimpy T-shirts. It is impossible not to look. When you thank them and offer them a tip, they say "No" and instead ask you for a ride to another B&Q or Wickes. You agree and they get in the back seat. On the way, they start having sex with each other. Then one of them climbs over into the front seat and performs oral sex on you, while the other one steals your wallet.

I had my wallet stolen November 4th, 9th, 10th, twice on the 15th, 17th, 20th, and 24th. Also December 1st, 3rd, twice on the 7th, three times just yesterday and very likely again this upcoming weekend.

So, please be careful during these trying times.

--
A strange game. The only winning move is not to play. How about a nice game of chess? - Wargames

( webmotion v | 2016. 09. 22., cs – 10:13 )

Ausztráliában valakit megihletett a Mr. Robot S01E06 :)

( uid_16313 | 2016. 09. 22., cs – 10:13 )

Volt már áruház polcain is "vírusos" adathordozó, ez csak Direktmarketing.

--
robyboy

Valoszinuleg adatszerzes a cel. Az egyebkent egy erdekes paradoxon, hogy minel fontosabb adatokhoz van valakinek hozzaferese annal kevesbe jartas abban, hogyan tudna megvedeni.
Tegyuk fel, most szetszorna ezeket valaki 20-30 konyvelo postaladajaban, ne legyenek illuzioink mi tortenne...
--

"You can hide a semi truck in 300 lines of code"

Elárulom neked. Az én könyvelőm pl. felhívna, hogy bedobtak valami fekete/fehér/szürke/stb. színű izét a postaládába. Fogalma sincs, hogy mi ez, de valami számítógépes izének néz ki, és megkérdezné, hogy mit csináljon vele. :D
Mondjuk nekem elég költséges támadásnak tűnik. 1. meg kell venni jó sok pendrive-ot + rájuk tolni az image-et 2. ezeket valahogy terjeszteni kell, amire marad az, hogy vagy végigjárnak egy utcát vagy kiküldik postán levélben.
Akárhogy néztem nálunk 1500Ft alatt nem találtam pendrive-ot (bár biztos van) a posta min. 145Ft (rafináltabb bűnözők bevethetik a tértivevényes levelet is, hogy biztosak legyen, hogy a célszemély megkapta a csomagot. :D). Az időt nem számolom, ami alatt feltolja az ember az image-eket a pendrive-okra. Ha meg akar fertőzni 100 gépet, akkor az 164500Ft befektetés, aminek a megtérülése minimum kérdéses. Adatot nagyobb cégtől tudnának lopni, mert annak lenne értelme, de ott meg van postabontó, ahol az ilyeneket szinte biztos, hogy kiszórják.
Az online támadás valahogy egyszerűbbnek, olcsóbbnak, és hatékonyabbnak tűnik nekem, mint pendrive-okkal b@szakodni.

Egy ismerős rendelt Kínából pendrive-ot ilyen áron, ami 2GB-osnak volt mondva, aztán mikor akart rá másolni akkor 128MB után kiírta a gépe, hogy elfogyott a hely. :D A firmware meg volt mókolva és 2GB-osnak hazudta az amúgy jóval kisebb pendrive-ot. VAGY már eleve volt beépített "ajándékcsomag" rajta. :)

( E-Medve v | 2016. 09. 22., cs – 11:53 )

Hmm, egy ilyen tokozásba egy USB Kill-t berakni...

( manfreed (nem ellenőrzött) | 2016. 09. 22., cs – 15:36 )

"A márkajelzés neélküli pendrive számítógépre dugva rosszindulatú tevékenységeket indít el."

Hogy? Nem szoktunk még le az autorun.exe-ről?

Nem feltétlenül kell hozzá autorun.exe, bőven elég, ha az eszköz bejelentkezik HID device-ként (is) és nekiáll billentyűleütéseket szimulálni...

Szerk.: BadUSB címen Black Hat videó is van róla...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Jaja, a BadUSB videóban az is van...

De ha nagyon targetált (és ez akár Linuxon is működik OOB, köszönhetően Poetteringnek): bejelentkezni multi-seat eszközként is, mindent, amit kapsz, egy rejtett wifi-n tolod ki az érdeklődőknek. És azonnal "helyi" hozzáférésed van a géphez, kényelmesen az utcán parkoló kocsiból tudod állítgatni :) [Win-re elvileg van valami dumbed down WinServer, ami tud multi-seatet (mrceeka/gelei majd kijavít), a többi Winen passz, hogy hogyan videlkedne...]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szerintem abban az előadásban inkább a PoC-k voltak a lényegesebbek és az, hogy prezentálták, hogy off-the-shelf cuccok is egyszerűen átalakíthatók.

Egyébként meg nézd meg, egy nagy sajtóvisszhangot kapott prezentáció után is felmerül, hogy a legtöbb, ami egy pendrive-ból kihozható az az autorun.exe/autorun.inf...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ezt láttam, igen. Tényleg működhet, de ahhoz hogy megbízható legyen nem lehet túl gyors, és pontosan ismernie kell a környezetet. És hiába próbálja előhozni a parancssort ha én közben mit sem sejtve kattogtatok és ellopom a fókuszt onnan ahova gépelne, vagy csak simán nem olyan oprendszert használok amire számít.

Amúgy nem értem. Egyrészt hogy mi a fenének van egy pendrive-nak, vagy akármelyik USB eszköznek írható firmware-je, legalábbis az a része miért módosítható ami felel azért hogy milyen eszközként azonosítja magát...

Mert így olcsóbb. Az amúgy is ott lévő sok GB tárterület elejére (vagy végére) simán elfér a kis firmware, a user meg úgyse veszi észre, hogy a 128 GB-ból hiányzik két mega.
OTP fw drágább lenne, mert kell egy külön csip, amit custom gyártatnod kell. Vagy ha Te programozod, akkor is külön csip kell.
Plusz a hely, nyákméret forrasztás, stb.

( sigellef | 2016. 09. 22., cs – 20:08 )

Ilyen olcsó a pendrive Ausztráliában, vagy ilyen jól lehet keresni a géprombolással? ... lehet, mindkét esetben érdemes lenne összekuporgatnom egy repülőútra, meg egy zsák ottani pendrájvra :D:D

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

( prion | 2016. 09. 23., p – 00:53 )

Azért ez durván jó ötlet... :D Ha betennék egy "ön nyert" jellegű media marktos borítékba, akkor szerintem sacc csak az informatikus egy része nem rakná be a gépbe... mindenki más igen...

( freeoli v | 2016. 09. 23., p – 08:56 )

Érdekes.

Vagyis Ausztráliában olyan digitális szilíciumalapú adathordozókat dobálnak a postaládába, ami tönkreteszi az emberek számítógépét és a bűnözők elvehetik az emberek pénzét.

Magyarországon olyan nyomtatott papírdarabokat dogbálnak a postaládába, ami tönkreteszi az emberek agyát és önként adják oda a pénzüket bűnözőknek.

Perszerről Ausztráliában nem írnak :D

( crown v | 2016. 09. 23., p – 11:04 )

Ez jo dolognak tunik: http://askubuntu.com/a/532805

Only use Mass Storage devices on a selected USB port

Mondjuk, ezt beraknam O/S szinten, hogy
a/ figyelmeztessen, kerjen engedelyt
b/ meg lehessen adno storage only usb portot

( blalo | 2016. 09. 23., p – 14:57 )

Kislányom, ha ismeretlen pendrájvokat dugdosol a gépedbe, előbb utóbb elkapsz valami fertőzést.
Ugyanez fordítva:
Kisfiam, ha ismeretlen gépekbe dugdosod a pendrájvodat, előbb utóbb elkapsz valami fertőzést.

Megoldás:
Pendrájv koton. Már írom is a beadványt a szabadalmi hivatalnak. ;)

Kell egy olyan is, amin be tudod pöccinteni hogy milyen eszközt fogsz rádugni, és mást nem enged át. Vagy olyan is, ami véd a túlfeszültség ellen. Vagy olyan, ami mindhárom funkciót ellátja.

Egyébként nem volna hülyeség, ha szoftveresen védve lennénk a bad usb ellen. Tegyük fel létezne egy USB tűzfal. A feldugott eszközt a rendszer azonosítaná, és el tudná dönteni, hogy az adott eszköz azt a funkciót kívánja-e ellátni, amire hivatott. Ha nem, blokkolhatná.

Extra biztonsági funkcióként amikor először dugsz be egy bizonyos USB eszközt a rendszer megmondhatná a típusát, és hogy milyen funkciót akar a bedugott eszköz ellátni, és ha valami nem stimmel, a felhasználó blokkolhatja a használatát. Pl ha bedug egy pendrive-ot, ami egy billentyűzetként azonosítja magát, feltételezhetően a leg alapabb usernek is szemet szúr, hogy bizony gond van amikor a számítógép azt írja, hogy úgy tűnik, hogy egy LG billentyűzetet dugtál be. HA nem, akkor tényleg magára vessen.

Az a helyzet, túl egyszerűnek tűnik ez, hogy új ötlet legyen, hogy más ne csinálta volna már meg, vagy ne legyen valami buktató, amire nem gondoltam. Vagy rohanjak a szabadalmi hivatalba?

"vagy ne legyen valami buktató, amire nem gondoltam."

A buktato az, hogy az atlagfelhasznalok 90%-a nem olvassa el a dialogusablakok tartalmat a 2. alkalom utan, hanem megnyomja azt a gombot, ami tovabbengedi oket a munkajukban.

Ezt elsore nagyon nehez felfogni, es masodikra is. Azonban ne felejtsd el, hogy mi informatikusok vagyunk, letelemunk az informacio, az, hogy hogyan mukodik a gep es eppen mit csinal. Ugyanez mondjuk egy esztergapad-kezelotol nem elvarhato hozzaallas, o bedugta a szerinte esztergarecepteket tartalmazo pendrive-t, es ha a gep akadekoskodik, akkor majd jol lekattintja, ennyi. Az, hogy kozben kicsereltek azt a pendrive-t egy ugyanolyan kinezetu malware-t tartalmazora, az neki eszebe sem jut, mert o neki nem feladata, hogy ez a lehetoseg eszebe jusson, ez nekunk, informatikusoknak a feladatunk. Es ez ellen a mentalitas ellen gyakorlatilag nem lehet vedekezni, legalabbis ily modon nem. Csak a kategorikus tiltas vagy filterezes mukodik, amit persze meg a felsovezetes nem fog jovahagyni, mert plusz adminisztracioval jar, ami lassitja a munkat.
--
Blog | @hron84
Üzemeltető macik

> atlagfelhasznalok 90%-a nem olvassa el

Tudom. De tudod, aki hülye haljon meg. Az ilyen majd max tanul a saját hibájából, vagy azt sem. De addig is azok, akiknek nem fáj elolvasni egy mondatot és értelmezni legalább van egy extra biztonsági feature.

Egyébként nem értem, hogy egy esztergapad kezelőnek miért nem tartozik a feladatai közé az esztergapad kezelése. Nem tudom hogy néz ki egy ilyen gép, hogy működik, de el tudom képzelni, hogy azt, hogy kigyullad az esztergapad, azt is intelligens módon le kell kezelnie, miért nehéz a munkaköri leírásában szerepeltetni, hogy ha bedug valamit, és kap egy gyanús hibüzenetet, akkor értelmezze? Nem kell neki egyébként más jellegű hibaüzeneteket értelmezni? A kezelő gép nem jelez ilyen-olyan hibákat, mondjuk elromlik a hardver vagy ilyesmi?

> amit persze meg a felsovezetes nem fog jovahagyni

Ha van beleszólása. Ha úgy működik az operációs rendszer, hogy nem engedi használni az eszközt manuális jóváhagyás nélkül, akkor úgy működik, nincs beleszólása. Ez nem valami nagy újdonság, Android se engedi hogy akármelyik gép csak úgy ADB-n utasítgassa, manuális jóváhagyás kell miután rádugtad USB-vel.

> Tudom. De tudod, aki hülye haljon meg. Az ilyen majd max tanul a saját hibájából, vagy azt sem. De addig is azok, akiknek nem fáj elolvasni egy mondatot és értelmezni legalább van egy extra biztonsági feature.

Szep gondolat. Kar, hogy az uzemeltetes nem igy mukodik.

> Ha úgy működik az operációs rendszer, hogy nem engedi használni az eszközt manuális jóváhagyás nélkül, akkor úgy működik, nincs beleszólása.

De, van, peldaul utasithatja a rendszergazdat, hogy kapcsolja ki ezt az opciot, kenyszerithet masik operacios rendszer valasztasara, kotelezhet arra, hogy minden user admin legyen a gepen, es meg millio egy dolog van, amit hatalmi szoval meg lehet tenni. Hidd el, ha valami komolyan nem tetszik a vezetesnek, az nem fog letezni a cegben, ellenkezo esetben hirtelen uj allas utan kell nezned. Ahhoz, hogy mukodjon az a vilag, amit te elkepzelsz, ahhoz az kell, hogy a vezetes informatikailag kepzett emberekbol alljon, akik szamara az informatika csucsat nem a Facebookon szelfikepek posztolasa jelenti.

> hogy ha bedug valamit, és kap egy gyanús hibüzenetet, akkor értelmezze? Nem kell neki egyébként más jellegű hibaüzeneteket értelmezni? A kezelő gép nem jelez ilyen-olyan hibákat, mondjuk elromlik a hardver vagy ilyesmi?

Egy gepkezelonel altalaban van egy standard hibakeszlet, amit megtanitanak, meg van egy telefonszam, amin keresztul kihivhat egy szakembert, amikor olyasmivel talalkozik, amire nem terjedt ki az oktatasa. O a sajat szintjen el tudja kezelni, ha kicsorbul a penge vagy elakad az esztergalnivalo, ezeket egyreszt vizualisan is latja, masreszt erre az utalo hibakodokat is ismeri. Neki az a feladata, hogy az esztergalas folyamatat (ami nem kevesbe bonyolult, mint egy szamitogep uzemeltetese) kovetni tudja, es a hibakat tudja javitani. A szamitogepszereles nem szakmaja, es nem is kell ertenie a gombnyomkodasnal tovabb a szamitogephez, ezert alkalmaznak szervizeseket, rendszergazdakat, stb. Lehet, hogy te egy reneszansz ember vagy, es mindenhez ertesz (egy kicsit en is az vagyok), de nem szuksegszeru es nem is elvarhato, hogy mindenki ilyen legyen. Egy szakacs nem fog neked gazsutot szerelni, akarmennyit is dolgozzon vele, mert nem feladata, hogy ertsen hozza. Neki valami mas a feladata.
--
Blog | @hron84
Üzemeltető macik

> Kar, hogy az uzemeltetes nem igy mukodik

Milyen üzemeltetésről van szó? Átlagemberekről beszéltem, akik nem értenek az informatikához.

> peldaul utasithatja a rendszergazdat, hogy kapcsolja ki ezt az opciot, kenyszerithet masik operacios rendszer valasztasara

Miért tenné? A vírusirtókat se tiltogatják le, nem utasítják a rendszergazdát, hogy törölje, mert zavar hogy ott fut a háttérben, stb. Miért lenne akárkinek ellenére, hogy egy biztonsági feature éljen? Egyébként az volna a normális, hogy létezik ilyen. Nem igazán kellene hogy legyen értelmes alternatíva, amire váltást kényszeríthetne akárki is.

> Egy gepkezelonel altalaban van egy standard hibakeszlet, amit megtanitanak

És mennyi ideig tartana elmagyarázni a gépkezelőnek ezt:
"Ha bedusz egy pendrájvot, és kiírja a gép, hogy bedugtál egy pendrájvot, kattints az oké gombra, és folytasd a munkád. Ha azt írja ki, hogy billentyűzetet dugtál be, akkor húzd ki a pendrájvot, és szólj az XY ügyintézőnek."

Értem én, hogy az emberek nem akarnak érteni semmihez, és nem is értenek, hogy nem mindenki gondolkodik úgy mint egy informatikus. De én gondolom, hogy ennyit azért el lehet várni a leganalfabétább szakitól is?? Hol írtam én, hogy értsen a számítógépszereléshez? Értsen egy üzenet elolvasásához. Egy gombra rákattintáshoz.

> Egy szakacs nem fog neked gazsutot szerelni, akarmennyit is dolgozzon vele, mert nem feladata, hogy ertsen hozza. Neki valami mas a feladata.

Az hogy főzzön. Ez még nem akadályozza meg a szakácsot abban, hogy diagnosztikát végezzen a gázsütőn. "Há innye béla, ez nem süt, hívjuk a szerelőt". Ennyi az elvárás, nem az, hogy megjavítsa.

Nem b*meg, de nem is kell értenie a kémiához hogy ne robbantsa fel az éttermet ha valami gond van a gázzal. Várjunk m

Pontosítanék esztergapad tekintetében. Abba nem tud az illető semmilyen eszközt bedugni, az ugyanis csak egy hagyományos esztergapad villanymotorral és főorsóházzal. Előfordulhat rajta elektronikus útmérőrendszer kijelzővel, bonyolultabb elektromechanikus végállás kapcsolókkal. Ezeknek még köze nincs a CNC gépekhez.
Amiről említést teszel azok a CNC esztergák, marógépek, megmunkálóközpontok, esztergaközpontok.
CNC=Computer Numerical Controll
Itt már széles a lehetőségek tárháza, igen vannak olyan gépek amin van USB port. Van ahol használják is, van ahol nem.
Sok helyen az a jellemző, hogy a gépek egy benti hálóra vannak kötve egy központi gépre, amire a technológusok feltöltik az új programokat és ahonnan a gép mellett lévő kiszolgáló terminálon keresztül a CNC gépre letöltik a következő munkadarab programját és az előzőét visszatöltik.
Más helyeken meg notival oldják ezt meg. Nincs hálózat, a programozó technológus vagy a gépkezelő hozza-viszi a notival a CNC programot.
A cég nagyságától és struktúrájától függ, hogy miként oldják meg.
Egy ilyen USB kütyü használata a CNC műhelyben semmivel nem tipikusabb, mintha azt egy normál pc-be dugnák be. Az USB killer itt is ölne, de egy setup.exe futtatása az már nem olyan egyértelmű.
A gép alapértelmezett kezelőfelülete nem az operációs rendszer, hanem a gép gyártója által készített kezelő felület.
Csak néhány példa:
Caldera DOS-on futó Siemens Sinumerik 840D,
Windows2000-en futó Fanuc21,
WindowsXP-n futó Okuma ..........stb.

Sok helyen láthatsz ilyen gépeket, ahol gyártásközben nézhetnéd a működést. Ismerős által szervezett gyár-céglátogatás stb.....

Itt szeretném megemlíteni az NCT KFT-t, amely Magyarország egyetlen CNC vezérlő rendszerét fejleszti és gyártja. Rengeteg gépen végeznek teljeskörű felújítást a hajtásvezérléstől a CNC vezérlőig.

Biztos látnál itt számodra sok szakmai érdekességet, mivel itt is a hardware és szoftver fejlesztés egy speciális területét szemlélhetnéd.
http://www.nct.hu/indexcs.php

A fentiekben csak némi pontosítást szerettem volna adni a szakmámmal és annak felhasználói környezetével kapcsolatban.

( Toma_ | 2016. 09. 23., p – 19:08 )

Egyre idiótábbak az egyre idiótábbakat átbaszó idióták. Mindig van lejjebb!