В июле двум известным исследователям в области компьютерной безопасности – Карстену Нолю и Якобу Лелю – удалось найти критическую уязвимость в основах интерфейса USB и создать специальное вредоносное приложение под названием BadUSB, превращающее любое USB-устройство в средство для взлома компьютеров.
Тогда сообщалось, что теоретически данную уязвимость невозможно устранить, по крайней мере, Нолю и Лелю эта задача оказалась не по силам. Именно поэтому код, позволяющий использовать данную уязвимость, до недавнего времени держался в тайне. Однако другая пара исследователей по компьютерной безопасности – Адам Каудилл и Брэндон Уилсон – в рамках мероприятия DerbyCon сообщили, что им удалось провести обратную разработку прошивки микроконтроллеров USB тайваньской компании Phison, одного из крупнейших производителей USB-контроллеров, и создать вредоносный код наподобие BadUSB.
Эти двое не разделяют опасения своих коллег. Они не только выложили исходные коды компонентов, необходимых для модификации прошивок Phison на GitHub, но и показали разные сценарии использования уязвимости, включая атаку методом подстановки клавиатурного ввода. По сути, здесь речь идет об эмуляции одним устройством с модифицированной прошивкой USB-устройств совершенно иного типа. Код инструментария для совершения атак через модификацию прошивок USB-накопителей опубликован под лицензией MIT.
Для модификации прошивки не требуются специальные средства, ее можно провести в обычном программном окружении. На wiki-странице проекта исследователей на GitHub можно найти набор программных средств и всю необходимую документацию, включая руководство по внесению изменений в прошивку.
По словам Каудилла, основным мотивом для публикации кода стало желание заставить производителей принять более активное участие в поисках метода решения этой проблемы.
Тем не менее, общий эффект от публикации кода вряд ли станет стимулом для обеспечения более высокого уровня безопасности интерфейса USB. До тех пор, пока будет доступна возможность модифицировать прошивку USB-устройств, атаки, наподобие той, что продемонстрировали Каудилл и Уилсон, будут представлять собой серьезную угрозу.
Главная опасность данного инструментария в том, что ни один из производителей не обеспечивает свое решение технологиями верификации прошивок – проверка по контрольной сумме. Более того, возможность использования подобной защитной меры не допускает спецификация стандарта USB. Специальное ПО для обнаружения вредоносных программ не проверяет прошивку и вряд ли будет обладать подобной функциональностью в ближайшем будущем.
Устранить данную уязвимость можно только одним способом – применить особый защитный механизм поверх прошивки, но внедрение новых средств безопасности повлечет за собой полный пересмотр стандарта как такового. На реализацию этой задачи могут уйти годы, на протяжении которых обычные пользователи будут находиться в зоне риска.
Какой бы не была реакция производителей USB-устройств, вероятно, эта проблема будет актуальна еще очень долго. Пока же, каждое подключение USB-устройства открывает огромный вектор атаки на ваш ПК.
Напоследок стоит отметить, что предложенный исследователями инструментарий не является универсальным и может использоваться только в случае прошивок Phison. Еще предстоит выяснить, насколько родственными являются связи между прошивками различных производителей USB-устройств.
itc.ua