Es una maniobra discutible, pero quizá necesaria. El pasado mes de julio, dos investigadores de seguridad descubrieron una vulnerabilidad muy grave y muy difícil de detectar que afecta a cualquier memoria o dispositivo de almacenamiento USB. Hoy, otros dos expertos han decidido ponerla a disposición de cualquiera que quiera usarla, para bien o para mal. Relacionada:Descubren un grave fallo de seguridad en los USB que compromete los ordenadores, ratones, discos duros y móviles
#12:
#2 lo peor de todo es que no es simple software corriendo en tu sistema operativo a más alto o bajo nivel como un virus cualquiera, sino que corre en el hardware del propio dispositivo usb reprogramando su firmware, así que... de qué manera lo detectarían los antivirus? Los antivirus basados en firmas (o huellas) buscarán en el sistema operativo "rastros", pero no lo encontrarán porque no deja esas huellas en el sistema operativo porque NO trabaja en el sistema operativo. Los basados en tecnologías proactivas buscarán actividad sospechosa y cualquier dispositivo usb que está conectado al que le has dado permisos de ejecución a nivel de driver (y por tanto su firmware) pasará desapercibido por eso mismo, porque tú lo has permitido y su actividad se clasifica dentro de lo aceptado ya que el antivirus desconoce de qué se trata y cuál es su función... podría ser un teléfono móvil que sincroniza datos (carpetas, música, agenda, correo...) y por tanto podría necesitar soporte de red también... es preocupantemente grave.
Creo que la única manera de protegerse algo de esta vulnerabilidad (que como tal no es una vulnerabilidad, sino un problema de diseño, cualquier cosa que se conecta físicamente se sobreentienda que tiene el consentimiento del usuario para actuar como su firmware indique que ha de hacerlo, con lo cuál...) es que los sistemas operativos desarrollen una capa de seguridad sobre el protocolo usb y soliciten "manifiestos" de actividad al dispositivo usb que se conecta, pero eso obligará a cada fabricante de dispositivos usb a exponer dicho manifiesto y protegerlo para que la misma sobreescritura de firmware no sea posible pues en tal caso se podría sobreescribir el manifiesto y, al final, toda la responsabilidad de permitir al dispositivo hacer algo que no debe recae en la confianza que el usuario le otorgue y, por supuesto, en el conocimiento de las razones por las que solicita ciertos permisos.
Preocupante.
#17:
#14 La infección se puede evitar con software, tienes mucha razón, pero hay que tener dos cosas en cuenta:
1.- la mayoría de firmware se actualiza en tu sistema sin que tú te enteres a través de actualizaciones de software que tú si permites. Si alguien intercepta esa conexión e inyecta código malicioso en un paquete de drivers aparentemente inofensivo el antivirus lo va a permitir porque para él será actualizar los drivers, nada más, pero a bajo nivel esos drivers sobreescribirían el firmware y una vez infectado date por jodido.
2.- el verdadero peligro de un dispositivo usb es que parece inofensivo porque no tiene "sistema operativo" y a casi nadie le cabe en la cabeza que se pueda ejecutar código en un ratón usb, por ejemplo, pero se puede, pues tienen un chip de proceso de señales y comunicaciones. Se lo prestas a un amigo, se infecta, te lo traes a casa y ya lo estás propagando y a partir de ahí el antivirus ni se inmuta. Cómo va a distinguir la amenaza de lo que se supone que el dispositivo usb debe hacer?
El caso más flagrante puede ser el de los teclados, que poseen un buffer de memoria para volcado de señales, si el atacante puede usarlo para almacenar todos aquéllos tecleos en "casillas" donde su identificador sugiera una contraseña... después sólo hay que volcar ese buffer.
Y, lo peor de todo es que la mayoría de dispositivos en un ordenador portátil corren sobre el protocolo usb hoy en día incluso aunque te parezca que no porque está integrado y no lo tienes que enchufar, pero si quieres hacer la prueba cárgate el driver genérico de usb y es posible que el teclado y touchpad de tu laptop dejen de funcionar (integrados, pero usando el protocolo usb igualmente...)
#22:
#12 Si no se pudiese sobreescribir el firmware del dispositivo, el fallo estaría solucionado directamente... pero no sería lo más práctico para los fabricantes.
Si como mínimo el firmware necesitase estar firmado, sería una forma básica de protección.
Si además llevase un manifiesto firmado con clave pública que el SO pudiese verificar, más seguro aún. Creo que yo apostaría por esta.
Y si luego el usuario va y le da a "aceptar" a un manifiesto firmado por una clave desconocida ofrecido por un pendrive con forma de perrito follador made-in-china que en realidad llevase un chip modificado dentro... pos se jode, como siempre.
#19:
#13 Por desgracia, en seguridad muchas veces hay que hacer públicos los bugs para que se tomen en serio.
Puedes ver en el enlace de la Wikipedia que he puesto la cronología de BEAST. La vulnerabilidad era conocida (de forma teórica) desde 2002, pero hasta 2011 nadie había conseguido explotarla y, por tanto, hasta que no se hizo una demostración pública nadie se interesó en corregirla.
#16:
#13 No, yo creo que no, le dieron la oportunidad, igual que hicieron con heartbleed o el shellshock a la industria de ponerse las pilas y sacar sus respectivos parches, pero en ésta ocasión la cosa es más delicada porque hay millones de empresas que fabrican hardware que necesita un usb y sólo los grandes les han hecho caso (cosa obvia, por cierto, pues son los que pueden permitirse reprogramar la circuitería en fábrica), pero los pequeños, que compran una placa + chip + firmware más o menos estándar para usar en su dispositivo, no tienen ni siquiera acceso a esas cajas negras, lo que significa que la responsabilidad de hacerlo recae en el fabricante del circuito + chip + firmware en el más bajo nivel, pero no lo han hecho (os miro a vosotras, fábricas de China...) porque supone un costo muy elevado para ellas y mientras no se sepa, qué más da...
La técnica avanza con la competencia y con las "amenazas"... es como todo, peligroso, pero útil para el desarrollo.
#14 La infección se puede evitar con software, tienes mucha razón, pero hay que tener dos cosas en cuenta:
1.- la mayoría de firmware se actualiza en tu sistema sin que tú te enteres a través de actualizaciones de software que tú si permites. Si alguien intercepta esa conexión e inyecta código malicioso en un paquete de drivers aparentemente inofensivo el antivirus lo va a permitir porque para él será actualizar los drivers, nada más, pero a bajo nivel esos drivers sobreescribirían el firmware y una vez infectado date por jodido.
2.- el verdadero peligro de un dispositivo usb es que parece inofensivo porque no tiene "sistema operativo" y a casi nadie le cabe en la cabeza que se pueda ejecutar código en un ratón usb, por ejemplo, pero se puede, pues tienen un chip de proceso de señales y comunicaciones. Se lo prestas a un amigo, se infecta, te lo traes a casa y ya lo estás propagando y a partir de ahí el antivirus ni se inmuta. Cómo va a distinguir la amenaza de lo que se supone que el dispositivo usb debe hacer?
El caso más flagrante puede ser el de los teclados, que poseen un buffer de memoria para volcado de señales, si el atacante puede usarlo para almacenar todos aquéllos tecleos en "casillas" donde su identificador sugiera una contraseña... después sólo hay que volcar ese buffer.
Y, lo peor de todo es que la mayoría de dispositivos en un ordenador portátil corren sobre el protocolo usb hoy en día incluso aunque te parezca que no porque está integrado y no lo tienes que enchufar, pero si quieres hacer la prueba cárgate el driver genérico de usb y es posible que el teclado y touchpad de tu laptop dejen de funcionar (integrados, pero usando el protocolo usb igualmente...)
Ahora se podrá hacer como en las peliculas, que enchufan un cacharro al pc y automaticamente te da poderes milagrosos en plan dios con todos los privilegios en ese pc para poder hacer lo que te salga del nardo ...
#20 Los superpendrives esos siempre me han alucinado y mira que busco en dealextreme y alibaba, pero no encuentro uno de esos de piratear todo lo pirateable con su correspondiente barrita de progreso infartante... vamos, coño, corre más, que vienen los malos!!
En Linux no se infecta al ordenador, necesita elevación de privilegios, en Windows sí, porque consideran a todo usb fuera de peligro (oh sorpresa!) y le dejan ejecutar código sin problema...
#2 lo peor de todo es que no es simple software corriendo en tu sistema operativo a más alto o bajo nivel como un virus cualquiera, sino que corre en el hardware del propio dispositivo usb reprogramando su firmware, así que... de qué manera lo detectarían los antivirus? Los antivirus basados en firmas (o huellas) buscarán en el sistema operativo "rastros", pero no lo encontrarán porque no deja esas huellas en el sistema operativo porque NO trabaja en el sistema operativo. Los basados en tecnologías proactivas buscarán actividad sospechosa y cualquier dispositivo usb que está conectado al que le has dado permisos de ejecución a nivel de driver (y por tanto su firmware) pasará desapercibido por eso mismo, porque tú lo has permitido y su actividad se clasifica dentro de lo aceptado ya que el antivirus desconoce de qué se trata y cuál es su función... podría ser un teléfono móvil que sincroniza datos (carpetas, música, agenda, correo...) y por tanto podría necesitar soporte de red también... es preocupantemente grave.
Creo que la única manera de protegerse algo de esta vulnerabilidad (que como tal no es una vulnerabilidad, sino un problema de diseño, cualquier cosa que se conecta físicamente se sobreentienda que tiene el consentimiento del usuario para actuar como su firmware indique que ha de hacerlo, con lo cuál...) es que los sistemas operativos desarrollen una capa de seguridad sobre el protocolo usb y soliciten "manifiestos" de actividad al dispositivo usb que se conecta, pero eso obligará a cada fabricante de dispositivos usb a exponer dicho manifiesto y protegerlo para que la misma sobreescritura de firmware no sea posible pues en tal caso se podría sobreescribir el manifiesto y, al final, toda la responsabilidad de permitir al dispositivo hacer algo que no debe recae en la confianza que el usuario le otorgue y, por supuesto, en el conocimiento de las razones por las que solicita ciertos permisos.
#12 ¿Y como se infecta el dispositivo USB? En caso de se haga mediante software desde el S.O (como actualizar el firmware de la impresora, el del SSD etc...) el antivirus podría detectarlo, no?
#12 Si no se pudiese sobreescribir el firmware del dispositivo, el fallo estaría solucionado directamente... pero no sería lo más práctico para los fabricantes.
Si como mínimo el firmware necesitase estar firmado, sería una forma básica de protección.
Si además llevase un manifiesto firmado con clave pública que el SO pudiese verificar, más seguro aún. Creo que yo apostaría por esta.
Y si luego el usuario va y le da a "aceptar" a un manifiesto firmado por una clave desconocida ofrecido por un pendrive con forma de perrito follador made-in-china que en realidad llevase un chip modificado dentro... pos se jode, como siempre.
#28 Si cada víctima se tuviese que descargar algo, no habría noticia, solo sería un troyano más.
El tema es encontrar una forma de proteger a quien no se ha descargado nada, porque ahora mismo un pendrive modificado de esta forma puede arrasar.
#12: Sí, muy preocupante.
En entornos de departamentos técnicos puede suponer auténticas debacles.
Ya se han dado soluciones para entornos Linux activando el automontado de dispositivos removibles con "noexec", pero eso no impide que la malicia del firmware haga su posible cambio de identidad, aunque sería inofensivo, en un principio.
En Windows va a ser el salvaje oeste. Tras el insertado se debería comprobar que no hay dispositivos nuevos en el sistema pero esto no impide que un pendrive venga con firmware que lo haga pasar por un teclado y que envíe un win+r y escriba una url que descargue un rootkit, todo en 1 segundo.
Va a ser momento de considerar volver a reactivar UAC...
Esto es como cuando en equipo de investigación te muestran cómo hacer billetes falsos.
Destapando algo peligroso/ilegal connun tutorial pormenorizado de cómo hacerlo, ventajas, inconvenientes, herramientas, precios de todo y hasta dónde comprarlo.
#13 No, yo creo que no, le dieron la oportunidad, igual que hicieron con heartbleed o el shellshock a la industria de ponerse las pilas y sacar sus respectivos parches, pero en ésta ocasión la cosa es más delicada porque hay millones de empresas que fabrican hardware que necesita un usb y sólo los grandes les han hecho caso (cosa obvia, por cierto, pues son los que pueden permitirse reprogramar la circuitería en fábrica), pero los pequeños, que compran una placa + chip + firmware más o menos estándar para usar en su dispositivo, no tienen ni siquiera acceso a esas cajas negras, lo que significa que la responsabilidad de hacerlo recae en el fabricante del circuito + chip + firmware en el más bajo nivel, pero no lo han hecho (os miro a vosotras, fábricas de China...) porque supone un costo muy elevado para ellas y mientras no se sepa, qué más da...
La técnica avanza con la competencia y con las "amenazas"... es como todo, peligroso, pero útil para el desarrollo.
Puedes ver en el enlace de la Wikipedia que he puesto la cronología de BEAST. La vulnerabilidad era conocida (de forma teórica) desde 2002, pero hasta 2011 nadie había conseguido explotarla y, por tanto, hasta que no se hizo una demostración pública nadie se interesó en corregirla.
#13 Si no lo haces público, la gente con malas intenciones la terminará consiguiendo. Si lo haces público, las empresas o gente interesada en el tema podrán ver cómo solucionar dicho problema.
Es por eso que lo libre y abierto es generalmente más estable y seguro que lo cerrado, porque lo ha podido testear más gente y así te aseguras de que no de problemas.
Comentarios
Eso con el RS232 no pasaba.
#3
Yo he conectado terminales tontos (familia VT100) vía RS-232, así que vía RS-232 si puedes controlar un ordenador.
#3 RS-232 es de señoritingos, lo ideal es volcado hexadecimal en pantalla y copiarlo a boli en papel.
#3 No, porque Arturito, (RS-232), era muy inteligente.
http://es.wikipedia.org/wiki/R2-D2
#14 La infección se puede evitar con software, tienes mucha razón, pero hay que tener dos cosas en cuenta:
1.- la mayoría de firmware se actualiza en tu sistema sin que tú te enteres a través de actualizaciones de software que tú si permites. Si alguien intercepta esa conexión e inyecta código malicioso en un paquete de drivers aparentemente inofensivo el antivirus lo va a permitir porque para él será actualizar los drivers, nada más, pero a bajo nivel esos drivers sobreescribirían el firmware y una vez infectado date por jodido.
2.- el verdadero peligro de un dispositivo usb es que parece inofensivo porque no tiene "sistema operativo" y a casi nadie le cabe en la cabeza que se pueda ejecutar código en un ratón usb, por ejemplo, pero se puede, pues tienen un chip de proceso de señales y comunicaciones. Se lo prestas a un amigo, se infecta, te lo traes a casa y ya lo estás propagando y a partir de ahí el antivirus ni se inmuta. Cómo va a distinguir la amenaza de lo que se supone que el dispositivo usb debe hacer?
El caso más flagrante puede ser el de los teclados, que poseen un buffer de memoria para volcado de señales, si el atacante puede usarlo para almacenar todos aquéllos tecleos en "casillas" donde su identificador sugiera una contraseña... después sólo hay que volcar ese buffer.
Y, lo peor de todo es que la mayoría de dispositivos en un ordenador portátil corren sobre el protocolo usb hoy en día incluso aunque te parezca que no porque está integrado y no lo tienes que enchufar, pero si quieres hacer la prueba cárgate el driver genérico de usb y es posible que el teclado y touchpad de tu laptop dejen de funcionar (integrados, pero usando el protocolo usb igualmente...)
#17 Pues se acabó la promiscuidad de los periféricos USB
Te tiras un rato intentando conectar el USB y cuando lo consigues te jode la máquina.
Vaya 2014 de escalada de locuras: Heartbleed, Shellshock y ahora esto. Sólo falta el BadBIOS y volvemos a las cavernas.
Todo esto en el PP ya lo sabían . !unos linces, oiga!
Ahora se podrá hacer como en las peliculas, que enchufan un cacharro al pc y automaticamente te da poderes milagrosos en plan dios con todos los privilegios en ese pc para poder hacer lo que te salga del nardo ...
#20 igual no es un un bug, sino una "feature".
#20 Los superpendrives esos siempre me han alucinado y mira que busco en dealextreme y alibaba, pero no encuentro uno de esos de piratear todo lo pirateable con su correspondiente barrita de progreso infartante... vamos, coño, corre más, que vienen los malos!!
#23 Deberías haber mirado en Silk Road. Por 0.20btc los tenías.
En Linux no se infecta al ordenador, necesita elevación de privilegios, en Windows sí, porque consideran a todo usb fuera de peligro (oh sorpresa!) y le dejan ejecutar código sin problema...
#26 GOTO #12
Una nueva era dorada para los virus (casi extinguidos) USB acaba de comenzar.
#2 lo peor de todo es que no es simple software corriendo en tu sistema operativo a más alto o bajo nivel como un virus cualquiera, sino que corre en el hardware del propio dispositivo usb reprogramando su firmware, así que... de qué manera lo detectarían los antivirus? Los antivirus basados en firmas (o huellas) buscarán en el sistema operativo "rastros", pero no lo encontrarán porque no deja esas huellas en el sistema operativo porque NO trabaja en el sistema operativo. Los basados en tecnologías proactivas buscarán actividad sospechosa y cualquier dispositivo usb que está conectado al que le has dado permisos de ejecución a nivel de driver (y por tanto su firmware) pasará desapercibido por eso mismo, porque tú lo has permitido y su actividad se clasifica dentro de lo aceptado ya que el antivirus desconoce de qué se trata y cuál es su función... podría ser un teléfono móvil que sincroniza datos (carpetas, música, agenda, correo...) y por tanto podría necesitar soporte de red también... es preocupantemente grave.
Creo que la única manera de protegerse algo de esta vulnerabilidad (que como tal no es una vulnerabilidad, sino un problema de diseño, cualquier cosa que se conecta físicamente se sobreentienda que tiene el consentimiento del usuario para actuar como su firmware indique que ha de hacerlo, con lo cuál...) es que los sistemas operativos desarrollen una capa de seguridad sobre el protocolo usb y soliciten "manifiestos" de actividad al dispositivo usb que se conecta, pero eso obligará a cada fabricante de dispositivos usb a exponer dicho manifiesto y protegerlo para que la misma sobreescritura de firmware no sea posible pues en tal caso se podría sobreescribir el manifiesto y, al final, toda la responsabilidad de permitir al dispositivo hacer algo que no debe recae en la confianza que el usuario le otorgue y, por supuesto, en el conocimiento de las razones por las que solicita ciertos permisos.
Preocupante.
#12 ¿Y como se infecta el dispositivo USB? En caso de se haga mediante software desde el S.O (como actualizar el firmware de la impresora, el del SSD etc...) el antivirus podría detectarlo, no?
#12 Gracias por aclararlo...
#12 Si no se pudiese sobreescribir el firmware del dispositivo, el fallo estaría solucionado directamente... pero no sería lo más práctico para los fabricantes.
Si como mínimo el firmware necesitase estar firmado, sería una forma básica de protección.
Si además llevase un manifiesto firmado con clave pública que el SO pudiese verificar, más seguro aún. Creo que yo apostaría por esta.
Y si luego el usuario va y le da a "aceptar" a un manifiesto firmado por una clave desconocida ofrecido por un pendrive con forma de perrito follador made-in-china que en realidad llevase un chip modificado dentro... pos se jode, como siempre.
#22 "¡Descarga este driver y convierte tus viejos puertos USB2.0 en 3.0 con tasas de transferencia nunca vistas!"
#28 Si cada víctima se tuviese que descargar algo, no habría noticia, solo sería un troyano más.
El tema es encontrar una forma de proteger a quien no se ha descargado nada, porque ahora mismo un pendrive modificado de esta forma puede arrasar.
¿se han ido suministrando drivers nuevos, firmas digitales del firmware y herramientas para testearlo?
Descubren un grave fallo de seguridad en los USB que compromete los ordenadores, ratones, discos duros y móviles/c74#c-74
#22 #12 #0
#12: Sí, muy preocupante.
En entornos de departamentos técnicos puede suponer auténticas debacles.
Ya se han dado soluciones para entornos Linux activando el automontado de dispositivos removibles con "noexec", pero eso no impide que la malicia del firmware haga su posible cambio de identidad, aunque sería inofensivo, en un principio.
En Windows va a ser el salvaje oeste. Tras el insertado se debería comprobar que no hay dispositivos nuevos en el sistema pero esto no impide que un pendrive venga con firmware que lo haga pasar por un teclado y que envíe un win+r y escriba una url que descargue un rootkit, todo en 1 segundo.
Va a ser momento de considerar volver a reactivar UAC...
En 3,2,1 alguno suelta que esto en linux no pasa
#4 Te has adelantado en decirlo.
No es una vulnerabilidad es una feature. Al menos han pillado que no es bug. [/nsa]
No han hecho películas ni nada basándose en este feature desde hace décadas
Esto en Linux con un kernel 2.2 no pasaba.
Buena estrategia para forzar el cambio de componentes ...:S
#27 Pues ya me dirás que hay en el mercado para sustituir al USB.
Pues nada, hasta que inventen condones USB habrá que tener cuidado de andar metiendolo en el puerto de cualquiera
#9 Bueno, ¿y a cuánta gente conoces que se haya puesto a hacer billetes falsos después de ver uno de esos reportajes? Pues eso
#10 Eso ya se hacía con los módems analógicos
#10 Esta todo inventado. http://int3.cc/products/usbcondoms
#10 genial el comentario
No puedo más que acordarme de esta noticia.
http://www.theguardian.com/world/2013/oct/29/russia-denies-spying-g20-putin-spokesman
Esto es como cuando en equipo de investigación te muestran cómo hacer billetes falsos.
Destapando algo peligroso/ilegal connun tutorial pormenorizado de cómo hacerlo, ventajas, inconvenientes, herramientas, precios de todo y hasta dónde comprarlo.
¿Todavía estáis con el USB? Anticuados.....
Enviado desde mi MIR-2
http://en.wikipedia.org/wiki/MIR_(computer)Esto en linux sin usb no pasa semos mas mejores
Digo yo que se podrian haber metido la lengua en el puto culo, ¿no?
#13 No, yo creo que no, le dieron la oportunidad, igual que hicieron con heartbleed o el shellshock a la industria de ponerse las pilas y sacar sus respectivos parches, pero en ésta ocasión la cosa es más delicada porque hay millones de empresas que fabrican hardware que necesita un usb y sólo los grandes les han hecho caso (cosa obvia, por cierto, pues son los que pueden permitirse reprogramar la circuitería en fábrica), pero los pequeños, que compran una placa + chip + firmware más o menos estándar para usar en su dispositivo, no tienen ni siquiera acceso a esas cajas negras, lo que significa que la responsabilidad de hacerlo recae en el fabricante del circuito + chip + firmware en el más bajo nivel, pero no lo han hecho (os miro a vosotras, fábricas de China...) porque supone un costo muy elevado para ellas y mientras no se sepa, qué más da...
La técnica avanza con la competencia y con las "amenazas"... es como todo, peligroso, pero útil para el desarrollo.
#13 Por desgracia, en seguridad muchas veces hay que hacer públicos los bugs para que se tomen en serio.
Fue Juliano Rizzo quien, al recibir quejas por hacer pública una vulnerabilidad (http://es.wikipedia.org/wiki/Transport_Layer_Security#Ataque_BEAST), dijo: "No hemos venido a liberar a la Bestia. Hemos venido a matar a la Bestia".
Puedes ver en el enlace de la Wikipedia que he puesto la cronología de BEAST. La vulnerabilidad era conocida (de forma teórica) desde 2002, pero hasta 2011 nadie había conseguido explotarla y, por tanto, hasta que no se hizo una demostración pública nadie se interesó en corregirla.
#13 Si no lo haces público, la gente con malas intenciones la terminará consiguiendo. Si lo haces público, las empresas o gente interesada en el tema podrán ver cómo solucionar dicho problema.
Es por eso que lo libre y abierto es generalmente más estable y seguro que lo cerrado, porque lo ha podido testear más gente y así te aseguras de que no de problemas.