- Vezeték nélküli fülhallgatók
- AMD Ryzen 9 / 7 / 5 / 3 3***(X) "Zen 2" (AM4)
- Apple notebookok
- Mini-ITX
- NVIDIA GeForce RTX 3080 / 3090 / Ti (GA102)
- Fejhallgató erősítő és DAC topik
- TCL LCD és LED TV-k
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Milyen videókártyát?
- Furcsa processzorrészt kap a Lunar Lake
Hirdetés
-
AMD Radeon undervolt/overclock
lo Minden egy hideg, téli estén kezdődött, mikor rájöttem, hogy már kicsit kevés az RTX2060...
-
Sony Xperia bemutató lesz május 17-én
ma Különleges Xperia eseményt tart a Sony Tokióban, száz résztvevőt invitálnak.
-
QLC-s Team Group SSD jön a PCI Express 4.0-s halmaz belépőszintjére
ph A vállalat fél évtizedes jótállással kísért újdonságát tárhelymérettől függően 512, 1024, valamint 2048 TBW tartósságra hitelesítették.
Új hozzászólás Aktív témák
-
Kékes525
félisten
Most hogy ismert a hiba, ki lehet majd fejleszteni szoftveres védelmet ellene?
Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.
-
titán
Nem lehet. Nem ismerem pontosan a problémát, de én úgy csinálnám, hogy az usb eszközt firmware módosítással másodlagos hid-módba kapcsolnám, és a rendszer az eszközt az eredeti funkció mellett egy valódi billentyűzetnek és/vagy egérnek látná, ami bármilyen billentyűzet vagy egér által végrehajtható műveletet el tud végezni. Ez ellen nem lehet védekezni a gazdarendszerben se szoftveresen, se hardveresen. Őszintén szólva firmware vagy usb szabvány szinten sem tudom, mit lehetne tenni ellene. És nagyjából gyerekjáték megoldani, ha vissza van fordítva az eredeti eszköz kódja, vagy pedig kicseréli valaki egy eredeti egér/bill vezérlőhardverét.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
titán
Legegyszerűbb betörés egy rendszerbe, amit néha fizikailag meg lehet közelíteni, ha megfigyelik, milyen egeret használnak az adott gépen, majd egy pontosan azonos típust szoftverben feltörnek (még egyszerűbb, ha a teljes belét kicserélik ), és a megfelelő pillanatban kicserélik. Így hackelt billentyűzet, de akár bluetooth vagy hálózati funkciókat is felvehet az a nyomorult egér. Nem kell ecsetelni, hogy mire jó is ez...
evDirect villanyautós töltőhálózat
-
blattida
nagyúr
-
Nekem azt magyarázzátok már el, hogy lehet-e olyan, hogy rossz gépbe dugom a pendrive-om és akkor megfertőződik a rossz firmware-el vagy mnodjuk netről fertőződik meg valahogy. Szóval anélkül, hogy valami hacker kiszemelne és fizikailag is kapcsolatba lépne valamiylen USB-s eszközömmel, érinthet-e a probléma?
Ahogy a cikkben írta Abu, elvileg lehetséges: A már visszafejtett eszközök akár úgy is támadhatók, hogy a PC-n egy fájlban lesz elrejtve a kártékony kód, ami futtatás során megfertőzi az összes olyan USB-re kötött eszközt, amelyek esetében ez lehetséges. Akkor ez msot elég nagy szívás, mi? -
#16939776
törölt tag
Hardveres kapcsolót kell rakni az érintett eszközökre amivel lehet engedélyezni/tiltani az FW írhatóságát.
Ki kell törni az FW-t tároló ic írást engedélyező lábátUSB3-as szabvány 100% biztosan nem érintett?--> innen is hozzáférhető minden uh. hülye kérdés volt részemről...
[ Szerkesztve ]
-
titán
De az nem véd az #5-ben jelzett probléma ellen. A távoli fertőzés ellen az eszköz gyártójának eddig is millió védekezési lehetősége volt. Csak akarat kérdése. A kapcsoló most is megoldható lenne, nem kell hozzá szabványt módosítani.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
blattida
nagyúr
De, hiszen a hips-ek úgy is működhetnek, hogy minden tevékenység a számítógépen, még a legalacsonyabb szinten is egyedileg szabályozott legyen, csak erre írtam, hogy ennek a kontrolljára a felhasználók zöme alkalmatlan és nem is elvárható tőlük egy ilyen szintű interakció.
Ha nem lehet frissíteni, módosítani a firmware-t, az kezdésnek nem rossz megoldás...
[ Szerkesztve ]
Gauranga! हरे कृष्ण हरे कृष्ण कृष्ण कृष्ण हरे हरे || हरे रामा हरे रामा रामा रामा हरे हरे||
-
raziel01
veterán
Ugyan olyan marhaság, mint a hasonló sebezhetőséggel/vírusokkal kapcsolatos cikkek 99%-a.
Lehet, hogy létezik ilyen dolog csak az is biztos, hogy annak az esélye, hogy megtámadjanak egy átlag felhasználót kb 0.00001%. Az ilyen cikkek arra jók, hogy a laikusok bepánikoljanak. -
#16939776
törölt tag
Ismert eszköznél: Ha az oprendszerhez való csatlakoztatás előtt kiolvassa a FW-t a víruskergető és összehasonlítja egy eltárolt és egy gyártó által közzétett verzióval, akkor egészen jó pontossággal ki lehet szűrni ha változás történt az utolsó csatlakozás óta, és a víruskergető egyből felülírhatja az okosított FW-t.
Ha új (ismeretlen) eszközt észlel, akkor már nehezebb az ügy.[ Szerkesztve ]
-
helkis
addikt
detektáltatni kell a rendszerrel, hogy milyen sn-es (vagy más egyedi azonosítójú) usb kütyük van rádugva, ez egy telepítésnél megoldható, aztán mint pl a ups-s modemcsere, hálókártyacserénél, addig nincs adatforgalom (nem tudja használni) amíg a user nem engedélyezte.. pl egy felugró ablakban, vagy jelszóval..
ipari környezetben, meg szvsz alap hogy nem lehet semmit telepíteni-cserélni, csak admin joggal, de hogy ők ezzel vissza tudnak élni ha akarnak ez szvsz most is így van, bárhol.."Egyedi vagy és megismételhetetlen! Csakúgy, mint bárki más!!!'" - 3Dmarkillers - hwbot.org
-
Rive
veterán
..én úgy csinálnám, hogy az usb eszközt firmware módosítással másodlagos hid-módba kapcsolnám, és a rendszer az eszközt az eredeti funkció mellett egy valódi billentyűzetnek és/vagy egérnek látná..
A konkrét módszer ismerete nélkül ez oda-vissza csak vaktában lövöldözés, de ez ellen az operációs rendszerek szintjén elég egyszerű védekezni - szimplán nem szabad elfogadni mittudomén: háttértérral házasított billentyűzetet valid eszköznek.
/// Nekünk nem Mohács, de Hofi kell! /// Szíriusziak menjetek haza!!!
-
azbest
félisten
Lehet szoftveres védelem, hiszen az usb eszközök működéséhez driverre van szükség, ami szoftver. Csak ezeknek a driverek a nagyrésze már előre telepítve ott van a gépen vagy automatikusan letölti az oprendszer tárhelyéről.
Tehát, ha mindig usb inicializáláskor rákérdezne az oprendszer, hogy engeded-e betölteni a driverét, akkor tudod kontrolálni, hogy működésbe léphessen-e. Csak ez elég macerás. A másik probléma, amiről beszéltek, hogy az usb-n nem egyedi eszköz példányt engedélyezel, hanem egy terméket. Tehát, ha egy elterjedt billentyűzetnek hazudja magát, amit te is használsz és megbízhatónak jelöltél, akkor ezt az azonosítót használva a trükkös eszköz is engedélyezve lesz. Tehát minden egyes usb inicializáláskor újra és újra rá kell kérdezni, hogy engedélyezed-e. Na de gép indítása után sem árt ellenőrizni, de amivel rányomhatsz az ok gombra, már az us usb eszköz általában. A bluetooth eszközök pin alapú engedélyezéséhez hasonló megoldás lehetne egy plusz védelem (ilyesmiről volt szó az egyik videóban), hogy egyedi eszköz példányt jelezhess megbízhatónak.
Nemrégiben az sd kártyákról is kiderült hasonló probléma, azokban is komoly lehetőségek vannak (meg nemcsak tárhelyet adhat, hanem sdio-n akár mást is).:
On Hacking MicroSD CardsDe valójában bármelyik eszköz lehet ferzőzött vagy támadható. A pci vagy pcie kártyák firmware is gyakran frissíthető. Talán usb vezérlőnek is hazudhatja magát.
A kapcsoló és írásvédelem dolog mind olyan védekezés, ami tőlünk független. Nem lehetünk biztosak benne, hogy a gyártó tényleg körültekintően jár el. Ezekre eddig is megvolt a lehetőség. Szóval az oprendszerek usb kezelése felől is szükség lehet változtatásokra.
Sok eszköz egyébként úgy működik, hogy a gépen futó driver tölt rá firmware-t inicializáláskor. Sok usb 3g modul, tv tuner is így működik. Ezeknél amíg áram alatt van az eszköz, addig megmarad rajta a feltöltött firmware. Például sima újraindítás után nem is tölti újra rá a driver (warm módot szoktak emlegetni a tuner driverek például).
[ Szerkesztve ]
-
azbest
félisten
válasz #16939776 #14 üzenetére
Nem tudhatod, hogy a kiolvasás parancsra azt kapod, ami rajta van vagy azt kapod, amit mutatni akar.
(#15) helkis:
az a baj, hogy usb eszközöknél csak gyáró:eszköz azonosítót vizsgál. Ha a bluetoothnál is alkalmazott párosítás lenne, akkor nem lenne ilyen probléma, de vezetékesnél nem gondoltak erre.(#16) Rive:
lehet, hogy órákkal később újracsatlakozik és akkor nem háttértár, hanem billentyűzet lesz. Például kivár egy órát azután, azután hogy a legutolsó műveletet végezte pendrive módban. -
p87
senior tag
És mi van akkor ha egy szervezet konkrétan rááll ilyen USB-s eszközök gyártására és piacra dobják a terméket?
Vagy pl. NSA titokban szövetkezik egy már piacon lévő hardvergyártóval, hogy rakják bele ezt a kódot a termékük firmware-ébe.
Szép új világ... -
Psych0
őstag
Ennyi erovel, minden hardver, amit bedugsz a gepbe veszelyforras meg a videokartya sot az alaplap is. Sose tudhatod, hogy mi van a cucc firmvareben es a zartforrasu kerneldriverben. Ez a "friss" biztonsagi res is csak azota letezik miota hardverek leteznek.
"As an online discussion grows longer, the probability of a comparison involving Nazis or Hitler approaches 1."
-
azbest
félisten
Ehhez nem kell szövetkezniük. A kiszivárogtatós hírek kapcsán volt arról is szó, hogy a csomagok eltérítése és trükkös firmware telepítése bevett gyakorlat. Másrészt most nem arról van szó, hogy fertőzötten érkezik a gyárból, hanem arról, hogy megfertőződhet utólag is.
A "hagyományos" vírusokkal kombinálva jön ki igazán a veszélyük.
(#20) Psych0:
Így van. Viszont ahol egy szoftveres réteg is kell fusson a gépen, ott lehet betenni olyan fékeket, amik megfoghatják. A még csúnyább az lenne, ha valami dma móddal közvetlenül az os nélkül is képesek lehetnének megfertőzni más a buszra kötött eszközöket.[ Szerkesztve ]
-
Degeczi
nagyúr
"lehet, hogy órákkal később újracsatlakozik és akkor nem háttértár, hanem billentyűzet lesz"
igen, és mit tud akkor végrehajtani? Csak olyan parancsot adhat ki, amit a gépre épp bejelentkezett user egyébként is kiadhat - ha épp nyitva is van egy parancsor...
ez így tényleg csak FUD, riogatás -
azbest
félisten
Attól, hogy a rendszer maga nincs megfertőzve, a user módban futó programok is okozhatnak kellemetlenségeket. Ha user módban is lehet billentyűzetet figyelni, akkor a user böngészőkben megadott jelszavait is ellophatja. Amit példának mondanak, hogy elég gyakori, hogy a usernek van joga átlépni admin módra. A su átlépéskor lelopja a bekért jelszót és máris képes a trükkös eszköz által kiadott parancsor is átlépni admin módra. Vagy win alatt rá tud kattintani / entert ütni az ok-ra a felugró megerősítő ablakban.
Arra gondolj, hogy ami mindig ugyanúgy történik vagy ugyanoda pozicinálva jelenik meg, azt el tudja találni. Ehhez csak egy user módú programot kell futtatnia, ami összegyűjt pár infót, amit átad a kamu eszköz firmware-ének. A programot pedig szintén el tudja helyezni billenytűparancsok segítéségével.
Ha jól emlékszem az usb kézfogás alapján az oprendszert is fel lehet ismerni, mert nem teljesen egyformán viselkedik a windows és a linux vagy más driver. Tehát már elve úgy kezdhet, hogy az oprendszernek megfelelő billentyűkombinációt ad ki, azzal pedig mindent elérhet, amit a gép előtt ülő felhasználó.
Régebben amikor kiderült egy VNC szerverben lévő hiba és elkezdték alkalmazni, akkor egyik ismerős meg is járta vele. Éppen a gépe előtt ült és csak annyit látott, hogy egy másodpercre felvillant a parancssor ablaka és valami lefutott, majd eltűnt. Mivel távolról hozzáférhető volt a hiba miatt a gép, ezért a támadó automata (nem ember nyomogatja) végignyomta az előre megadott billentyűütés sorozatot. Ez pont olyan, mint amikor a billentyűzet kel "önálló" életre.
-
#81187072
törölt tag
"Bár ez a procedúra egy tapasztalt szakember számára nem olyan nehéz"
Fenét nem nehéz, csak ez nem lényeges pont, nincs mértékegysége. :-)
[ Szerkesztve ]
-
Degeczi
nagyúr
Hogyan lopná el a jelszót, ha a kamu USB-s cucc csak hazudja magát billentyűzetnek, de a user természetesen nem azon, hanem egy másik USB eszközön gépel?
(aminek a forgalmához nem fér hozzá a pendrive-on futó program)Ilyen jelszólopás csak akkor működik, ha a tényleges billentyűzet a kémcuccon keresztül csatlakozik a géphez, így figyelhető a valós billentyűzet forgalma.
Vagy ha a gépen fut figyelő program - de a cikkekben folyamatosan keverik, h mi hol fut, és úgy állítják be, mint ha a pendrive-on lévő firmware a gépen hajtódna végre, holott szó sincs róla.Az egész riogatásnak csak ott van valós alapja, h az erre fölkészített firmware-ű pendrive képes lehet a saját tárolójára másolt futtatható programot megfertőzni és az már a gépen futva természetesen bármit megtehet, amit egy vírus egyébként tud - de futás előtti betöltéskor a vírusellenőrző éppúgy találkozik vele, és megfogja, mint ha más tárolóról lett volna indítva.
-
Erre már régóta vannak kémkedő "bumszlik", amik rögzítik/továbbítják a rajtuk áthaladó adatfolyamot. Persze ezt se feltétlen a KGB-s "extra szekrény a szobában" típusú megoldásként kell elképzelni, átalakított elektronikával valszleg nagyon sokmindent ki lehetett eddig is nyerni egy billentyűzetből.
Azért kíváncsi lennék, hogy egy amcsi 3betűs intézmény hogyan vizsgálja át a kínából érkező billentyűzeteket a hardver-trójaiak kiszűrésére.
Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.
-
nap
addikt
Nem hiszem, hogy nagy volumenben terjednének el az ezen sebezhetőséget kihasználó megoldások.
Néhány fanatikus biztosan elmolyol vele, de a net felől még mindig egyszerűbb a bejutás.browser.tabs.insertRelatedAfterCurrent;false | wing32.dll -> Windows\SysWOW64 | január, február, itt a nyár...
-
azbest
félisten
Nem véletlenül keverik, hiszen a leghatékonyabb működéshez a pécén is kell futtatni kódot. A hangsúly azon volt, hogy user módban elindított programok hozzáférnek a user minden adatához és az admin módra lépés jelszavát is megszerezhetik.
A vírusírtók pedig nagyrészt vírusinfó adatbázis alapján működnek. Ha már elkapták a vírust és betették az adatbázisba, akkor fognak jelezni rá. A viselkedés alapú védelem nem tudom menniyre megbízható, de azóta is előfordulnak fertőzöttségi hullámok.
Mondjuk példának egy lehetséges műveletsor:
- bedugod a pendrive-ot, a firmware az usb kézfogás módjából megállapítja, hogy melyik oprendszer típust használok. Megmutatja a normál fájlrendszerét.
- eltelik egy óra, a felhasználó nem piszkálja a pendrive tartalmát (hátha nem is ül a gép előtt), ekkor aktiválódik a billentyűzet mód.
- egy oprendszernek megfelelő billentyűütés sort elküld a pécére, amely begépel egy fájlba egy programot, amely a user módban futva figyel, adatokat gyűjt és kommunikál az usb eszközzel. A kommunikáció lehet akár az általa létrehozott meghajtóra másolt adat alapú is, de máshogyan is megoldható. A firmware egy példányát is eldughatja valahová. Ha eleve ügyesen változóan kódolva teszi, akkor a fájlrendszerben sosem lesz jelent a normál firmware fájl, amit felismerhetne a vírusírtó.
- a figyelő programot úgy helyezi el, hogy az mindig aktívvá váljon amikor a user belép. Win és linux alatt is betehet a usernek automatikusan induló alkalmazásokat. Gondolom mac alatt is megoldható. Esetleg a böngészőbe betehet valami bővítményt is.
- a figyelő program gyűjtögeti a jelszavakat, adatokat, esetleg megszerzi az admin mód jelszavát amikor átlép rá a user.
- ha jelen van az eredeti pendrive, akkor áttölti rá az összegyűjtött információt: pl admin jelszó
- alkalmas inaktív időszakban, amikor valószínűleg a user nincs jelen, akkor a kapott adatokkal átlépteti a kamu billentyűket admin módra a konzolt. Onnantól kezdve pedig már bármit megtehet, tűzfalat állítgathat, frissítéseket tölthet le, adatokat küldhet el.
- ha már adminként is feretőzött a gép, akkor a tiszta pendriveokat is könnyedén megfertőzheti (ha ez user módban nem lehetséges).Nagyjából ilyen lépéseket az eddigi programozói ismereteim alapján, úgy hogy nem kifejezetten ezzel a biztonsági területtel foglalkozom, szerintem pár hét vagy hónap alatt meg lehet valósítani. Nem látok komolyabb akadályt benne, az usb firmware rész tűnik valamivel nehezebbnek, de azt közzé is adták az alapjait. Ha valaki kifejezetten ebben jártas, akkor valószínűleg ujjgyakorlat nehézségű számára.
A legparanoidabb vírusírtó/tűzfal alkalmazás használatával lehet, hogy gyanússá válik a ténykedés, mert az mindenre rákérdez... de a többségnél sokkal csendesebb fajta fut - eleve meg sem tudják ítélni, hogy mi jelent problémát. -
AeSDé Team
őstag
Ez alapján létrehozható olyan pendrive ami adott laptophoz csatlakoztatva kiolvassa a hálózati jelszavakat?
-
titán
válasz AeSDé Team #31 üzenetére
Tulajdonképpen igen. De nem biztos, hogy a usernek nem tűnne fel.
Jelenleg van ilyen? Nem valószínű. Össze lehet ütni ilyet? Szerintem pár nap alatt végeznék, ha van visszafordított firmware a pendrivehoz. Ha én csinálhatom a hardvert is, akkor egy nap alatt megvan.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
titán
Hát ezaz. Nem kell se beépített ember, se különleges kütyü, amivel le lehet bukni. Csak egy, a fizikai jellemzők alapján felismerhetetlen, firmwaremódosított egér, vagy billentyűzet. Biztonsági ember, vagy informatikus legyen a talpán, aki ezt kiszúrja.
evDirect villanyautós töltőhálózat
-
Degeczi
nagyúr
Ahol van bármilyen alapszintű biztonság, sehol nem rendszergazdaként lépnek be a userek, és akkor a kémegérnek sem kap több jogot, nem tud adatokat kinyerni akármilyen programot is gépel be
Az elindított konzolablak (ami alapvető ahhoz, h egyáltalán gépelhessen) váratlan megjelenése pedig elég feltűnő -
nap
addikt
Oké, de azt az egeret valakinek el kell ott helyeznie...
Ha meg a számítógép felől akarod meghekkelni az egeret vagy billentyűzetet, akkor már rég nincs szükséged rá, hogy megtedd.browser.tabs.insertRelatedAfterCurrent;false | wing32.dll -> Windows\SysWOW64 | január, február, itt a nyár...
-
azbest
félisten
A tűzfalnak ehhez semmi köze.
A vírusírtó még nekem egyszer sem szólt, amikor egy parancsikont tettem a start menü startup részére. De akkor sem nagyon szoktak ugrálni, ha a registry aktuális felhasználóra vonatkozó részére szúr be adatot. A mostani normál vírusok is megoldják valahogyan.A comodo lehet, hogy ezért is szól, de az minden második egérkattintáskor panaszkodik paranoid módban. Ezt meg nem sokáig tolerálják a felhasználók.
[ Szerkesztve ]
-
AeSDé Team
őstag
Igen én olyasmire gondoltam ami teljesen láthatatlan. Például valaki bedug egy pendriveot a projektornál lévő laptopba, megnyitja róla a prezentációját és az előadás ideje alatt a háttérben átkerülnek a jelszavak a pendrivera, mindezt úgy hogy senki sem veszi észre. Azt hiszem ez a prezentációs eset elég gyakori manapság.
-
titán
válasz AeSDé Team #41 üzenetére
Valószínűleg megoldható. De talán inkább egy mezei vírussal, mint USB firmware használatával.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
priti
addikt
Komoly.
Hardverlesen
Új hozzászólás Aktív témák
- Macbook Pro 13" - 2018 gyártás, i7 16/512GB, touchbar, új akku, garancia, szürke (53)
- Mikrotik hAP ac2
- Macbook Air 15" - 2023, M2, 8/512GB, Apple gar, 100% akku, doboz, éjfekete (05)
- Macbook Air 13" - 2021 gyártás, M1, garancia, szürke (09)
- Macbook Air 13" - 2019, i5, 16/256GB, garancia, doboz, szürke (01)