Egy USB-s eszköz sincs biztonságban

Az idei év úgy látszik, a veszélyes biztonsági résekről szól: az idén áprilisban befoltozott OpenSSL-sebezhetőség és a Bash több mint húsz éve tátongó hibája után most az USB szabvány biztonsága kérdőjeleződött meg - ebben az esetben pedig javításra sem nagyon érdemes számítani.

Akár a billentyűzet felett is átvehető a kontroll

A BadUSB névre keresztelt hibára először az augusztusi Black Hat konferencián hívta fel a figyelmet Karsten Nohl, a német SR Labs biztonsági kutatója - a szakértő bemutatta, hogy az USB-s eszközökön, például az egyszerű pendrive-okon, egereken vagy billentyűzeteken futó firmware viszonylag egyszerűen lecserélhető malware-t tartalmazó kódra. Nohl akkor nem hozta nyilvánosságra az eszközök feltörésének mikéntjét, két másik kutató, Adam Caudill és Brandon Wilson azonban megelégelte a várakozást, illetve hogy a vállalatok nem mutatnak hajlandóságot a sebezhetőség befoltozására, ezért miután maguk is sikeresen behatoltak a firmware-be, a potenciális támadásokhoz használt kódot GitHubon is közzétették - ezzel jelentősen növelve a nyomást a mielőbbi javításra.

"Meggyőződésünk, hogy ennek nyilvánosnak kell lennie. "Nem szabadna visszatartani. Úgyhogy ki is adunk mindent, amink csak van" - mondta az amerikai Derbycon biztonsági konferencián Caudill. "Ezt nagyrészt az inspirálta, hogy az SR Labs nem adta ki az anyagait. Ha bizonyítani akarod hogy van egy hiba, ki kell adni az anyagokat, hogy az emberek védekeznie tudjanak ellene" - tette hozzá. A probléma az, hogy a hibát kihasználó támadások ellen jelenlegi módszerekkel nem lehet védekezni, a foltozáshoz pedig az egész USB szabványt kellene az alapoktól újragondolni.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A két szakértő egy USB mikrokontroller firmware-jének kódját visszafejtve többfajta, komoly kockázatot jelentő támadást is képes volt végrehajtani a célba vett számítógépeken, szimulálhattak rajta például billentyűleütéseket, jelenleg pedig egy olyan módszeren dolgoznak, amellyel malware-rel fertőzhetik meg az adott USB-s adathordozón található fájlokat, de csak akkor, amikor azok a PC-re másolódnak, így például vírusellenőrzés nem bukkan rájuk, amikor még a háttértáron pihennek.

A szabványt kell újragondolni

A sebezhetőség azért is kiemelkedően veszélyes, mert hétköznapi körülmények között gyakorlatilag lehetetlen kimutatni a malware-t: miután nem az USB-tárhelyen, hanem az adott eszköz firmware-ében található a rosszindulatú kód, azt a tároló teljes formázása sem érinti. A kutatók a Wirednek nyilatkozva elmondták, a biztonsági rés már régóta elérhető lehetett az NSA, illetve hasonló nagy kaliberű ügynökségek számára, miután azonban akkor úgy tűnt, csak a komoly anyagi háttérrel rendelkező hatóságok férhettek hozzá, a gyártók vélhetően nem látták szükségesnek a befoltozását - de akár az is lehet, hogy kötelezték őket a hátsó kapu nyitva tartására.

Ez a biztonsági rés mindenesetre nem hárítható el egy egyszerű patch kiadásával: a befoltozáshoz magát az USB szabványt kell újragondolni és egy olyan biztonsági réteggel ellátni, amely meggátolja, hogy illetéktelenek hozzáférjenek az eszközökön futó firmware-hez. A helyzetet súlyosbítja, hogy ha az USB szabvány megalkotói meg is egyeznének a védekezés mikéntjében, akkor is több évnek kellene eltelnie, mire az új szabványra épülő eszközök széles körben elterjednek, addig pedig mindenki a régi, sebezhető készülékeket használná.

Miklós Tamás, az AIDA64 rendszerdiagnosztikai szoftver vezető fejlesztője a HWSW-nek elmondta, az USB-s eszközök firmware-ének ellenőrzéséhez nem dokumentált parancsok kiadása szükséges, amelyek lefutása nem megjósolható eredményhez vezethet az eszköz függvényében. Ezért egyelőre nincs olyan megoldás, amellyel ellenőrizni lehetne a firmware-ek sértetlenségét. Jelenleg a veszély legfeljebb az USB-s eszközök használatának felfüggesztésével kerülhető el, ez azonban a legtöbbek számára nem járható út. A legjobb védekezés az ilyen támadások ellen a megbízhatatlan USB-s eszközök elkerülése.