BadUSB este o clasă de atacuri de hackeri bazate pe o vulnerabilitate a dispozitivelor USB . Ajută la autentificare fără parolă. Datorită lipsei de protecție intermitent în unele dispozitive USB, un atacator poate modifica sau înlocui complet firmware -ul original și poate face dispozitivul să imite orice alt dispozitiv. BadUSB este proiectat să livreze și să execute cod rău intenționat [1] .
Dispozitivele USB poartă un microcontroler responsabil pentru comunicarea cu gazda prin interfața USB. În timpul procesului de inițializare, microcontrolerul spune gazdei, împreună cu alte informații de serviciu, clasele cărora le aparține dispozitivul. Gazda încarcă driverul necesar și lucrează cu dispozitivul pe baza clasei sale și a acestor date. Un dispozitiv fizic poate implementa mai multe clase și poate fi mai multe dispozitive separate pentru gazdă: camerele web implementează atât o clasă video, cât și o clasă de dispozitiv audio [2] .
BadUSB profită de faptul că producătorii nu își protejează dispozitivele împotriva intermitenței, iar gazdele nu verifică autenticitatea dispozitivelor USB. Datorită acestui fapt, un atacator poate schimba firmware-ul microcontrolerului și poate trece un dispozitiv drept altul. De asemenea, deoarece toate comunicațiile sunt efectuate prin acest microcontroler, un atacator poate intercepta și înlocui orice date și comenzi între dispozitiv și gazdă [3] . Infectarea automată a dispozitivelor este, de asemenea, posibilă: dispozitivul infectează gazda rulând malware pe acesta, apoi gazda infectează automat toate dispozitivele USB conectate la acesta [3] .
Fiecare controler este unic și pentru fiecare este necesar să se dezvolte separat un firmware sau un patch infectat. Nu este posibil să scrieți software generic și să îl utilizați pe orice microcontroler. Procedura firmware-ului diferă de la un controler la altul. Toate acestea reduc semnificativ probabilitatea unei epidemii BadUSB, dar nu protejează împotriva unui atac țintit [3] .
Conceptul de BadUSB a fost introdus în august 2014 la conferința BlackHat USA 2014 de către cercetătorii Security Research Labs Karsten Nohl și Jakob Lell , care au făcut o prezentare „BadUSB - On Accessories that Turn Evil” . Au reproiectat controlerul USB Phison 2251-03 (2303) și au dezvoltat firmware pentru anumite tipuri de atacuri. Firmware-ul controlerului a fost realizat de aplicația DriveCom . Au fost demonstrate falsificarea tastaturii, atacul plăcii de rețea, atacul de protecție a unității flash și ascunderea partiției unității flash. Au fost luate în considerare și câteva modalități de protecție împotriva atacurilor BadUSB [1] [3] .
Pe 5 august 2014, a fost publicat un exploit BadAndroid care transformă un telefon Android într-un sniffer de trafic de rețea [4] .
Pe 26 septembrie 2014, a fost publicat codul sursă pentru firmware-ul și patch-urile pentru controlerul Phison 2251-03, incluzând un atac de falsificare a tastaturii, un atac cu parola de unitate și ascunderea partiției unității [5] .
Vulnerabilitățile afectează toate dispozitivele cu controlere USB neprotejate la bord: unități flash , camere web , șoareci , tastaturi , dispozitive Android . BadUSB nu necesită software special pe computerul victimei și funcționează sub orice sistem de operare care acceptă dispozitive USB-HID [3] [6] .
Necesitatea unei inginerie inversă consumatoare de timp a fiecărui dispozitiv USB limitează această clasă de atacuri la atacuri personalizate pe anumite dispozitive, ca parte a tehnologiilor de PR neagră sau atacuri împotriva unei anumite victime folosind anumite dispozitive.
Dispozitivul se prezintă la computerul victimei ca o tastatură și, după un timp, începe să trimită secvențe de apăsări de taste. Drept urmare, un atacator poate efectua orice acțiune pe computerul victimei care este disponibilă unui utilizator autorizat folosind doar tastatura. De exemplu, un atacator poate descărca și rula programe malware de pe Internet [3] .
Un dezavantaj semnificativ al acestui tip de atac este lipsa accesului la informațiile de pe ecran și, ca urmare, lipsa feedback-ului asupra oricăror acțiuni de la dispozitivul infectat. De exemplu, un atacator nu poate determina atât aspectul curent al tastaturii, cât și dacă un utilizator s-a autentificat [3] .
Dispozitivul apare computerului victimei ca o placă de rețea și astfel poate intercepta sau redirecționa traficul de rețea. În special, răspunzând la o solicitare DHCP cu adresa serverului DNS al atacatorului și nefurnizarea unui gateway implicit, atacatorul poate redirecționa traficul victimei: computerul victimei va rezolva adresa prin serverul DNS al atacatorului, dar, în absență a unui gateway implicit, va folosi o interfață de rețea reală diferită [3] .
Un dispozitiv cu spațiu suficient pentru a stoca cod rău intenționat, cum ar fi o unitate flash, poate detecta în momentul în care computerul este pornit și, în momentul în care BIOS-ul îl detectează, poate emite un virus pentru încărcare pentru a infecta sistemul de operare. Acest lucru devine posibil datorită faptului că, prin comportamentul gazdei atunci când comunică cu microcontrolerul USB, este posibil să se determine sistemul de operare gazdă, în special Windows , Linux , MacOSX și, de asemenea, BIOS -ul [7] .
Atacul exploatează capacitatea de a reinițializa dispozitivul [2] . Rulând într-o mașină virtuală , virusul infectează orice dispozitiv conectat prin USB. Firmware-ul infectat efectuează reinițializarea și apare ca două dispozitive independente: unul nou și unul care a fost deja conectat la mașina virtuală. Noul dispozitiv va fi conectat automat la sistemul de operare gazdă, iar vechiul dispozitiv va fi conectat înapoi la mașina virtuală. Astfel, se poate face o tranziție în afara mediului virtual, adică s-a făcut o tranziție de la client la OS gazdă [7] .
Raportul „BadUSB - On Accessories that Turn Evil” a propus mai multe modalități de a proteja împotriva BadUSB, cu toate acestea, conform cercetătorilor, integrarea completă a protecției va dura mult timp [3] [7] .
O posibilă contramăsură este semnarea firmware-ului de către producătorul hardware și validarea acestuia pe partea gazdă înainte de a utiliza dispozitivul, care nu este acceptat de specificația USB actuală. O altă soluție la problemă poate fi blocarea posibilității de a clipi dispozitivele de către producător [2] [6] .
Mark Shuttleworth , fondatorul Canonical Ltd. , a vorbit și despre problema securității dispozitivelor USB și, ca soluție la problemă, a propus deschiderea completă a codului sursă al firmware-ului [8] .
În ciuda faptului că o serie de instrumente cuprinzătoare de protecție antivirus, cum ar fi ESET Endpoint Antivirus , Kaspersky Endpoint Security , componenta de control parental a Dr.Web AV-Desk , vă permit să restricționați accesul la mediile amovibile și să permiteți activarea în conformitate cu „lista albă”, în cazul USB Bad, astfel de măsuri nu sunt suficiente. Utilizatorul însuși poate permite conectarea unui dispozitiv periculos, considerându-l în mod eronat sigur. Potrivit lui Andrey Vasilkov, corespondent Computerra , dezvoltatorii de soluții antivirus vor fi obligați să adauge „module separate pentru un control suplimentar mai flexibil asupra dispozitivelor conectate prin USB” în viitor [9] .
Protecția împotriva atacurilor BadUSB a apărut în Kaspersky Endpoint Security 10, într-o actualizare din 7 decembrie 2015 [10] .
Soluțiile de securitate Dr.Web începând cu versiunea 11 protejează împotriva vulnerabilității BadUSB pentru dispozitivele care imită o tastatură [11] .