Detección de BadUSB

5

Planeamos distribuir nuestro nuevo software utilizando unidades flash USB. El plan es que los especialistas en servicio de campo visiten a nuestros clientes y actualicen el software utilizando una de nuestras unidades de memoria flash. Sin embargo, queremos poder reutilizar las unidades flash. ¿Pueden estas unidades flash se infectan con malware como BadUSB? ¿Recomienda alguna herramienta para detectar una unidad flash USB con malware en el firmware?

    
pregunta JLmatud 09.11.2016 - 01:51
fuente

4 respuestas

4

Aquí encontrará una guía sobre cómo evitar que los palos infectados con BadUSB se vuelvan dañinos. Sin embargo, esto no evitará que el palo se infecte.

El problema con lo que estás tratando de hacer es leer el firmware para analizarlo. Simplemente no puedes para la mayoría de los dispositivos USB. La forma en que el ataque vuelve a flashear el firmware es con un comando SCSI "secreto" (no documentado, específico del vendedor) que lo actualiza. Usualmente no hay comandos de lectura implementados.

  

Una solución más sencilla es usar un USB protegido contra escritura (hay muchos   de modelos que tienen un interruptor de solo lectura).

Necesitará una protección contra escritura para evitar la actualización del firmware USB, no el interruptor de solo lectura normal del almacenamiento. Si recuerdo correctamente, la mayoría de los controladores USB no tienen eso. Hay controladores USB que están protegidos contra escritura con un 'fusible' después de salir de fábrica, pero tendrás que profundizar mucho para encontrar esas especificaciones.

    
respondido por el J.A.K. 09.11.2016 - 10:40
fuente
1

Una infección indetectable es un riesgo potencial

Si bien es probable que un análisis cuidadoso de un dispositivo sospechoso en particular produzca resultados y pueda detectar firmas de ataques populares en particular, no puede simplemente evitar toda la clase de vulnerabilidades "similares a BadUSB".

Para pedir una cita de la detección original de BadUSB, "no hay forma de obtener el firmware sin la ayuda del firmware, y si le preguntas al firmware infectado, simplemente te mentirá".

Conceptualmente, no es posible analizar de forma remota una computadora potencialmente hostil (la unidad USB) conectada a usted a través de una red (el protocolo USB) y asegurarse de que haya contenido en su contenido. Un dispositivo comprometido puede imitar fácilmente todas y cada una de las respuestas de un dispositivo "bueno" hasta que, a menos que se cumplan ciertas condiciones, cuando se implemente una carga útil.

Si aparece un nuevo ataque, sus unidades pueden infectarse de forma indetectable.

    
respondido por el Peteris 14.12.2016 - 16:01
fuente
1

Si ves el documental 'Citizenfour', puedes notar que Edward Snowden entrega los documentos a los periodistas que usan una tarjeta SD.

Muchas tarjetas SD tienen un interruptor de protección contra escritura en el lateral, como han dicho otros respondedores de memorias USB. Aunque me temo que no sé si se trata de un conmutador de hardware o software, tendrá que comprobarlo.

El investigador original de badUSB afirma que muchos lectores de tarjetas SD también son vulnerables.

    
respondido por el infinite-etcetera 10.11.2016 - 11:50
fuente
0

Su propuesta es demasiado compleja para implementar en la práctica. Una forma de detectar es tener una estación de análisis donde almacenar los firmwares de las unidades USB y compararlos cuando regresen los dispositivos USB.

Una solución más sencilla es usar un USB protegido contra escritura (hay muchos modelos que tienen un interruptor de solo lectura).

    
respondido por el Overmind 09.11.2016 - 09:40
fuente

Lea otras preguntas en las etiquetas