mboost-dp1

Microsoft

Modificeret mus omgår firmas it-sikkerhed

- Via The Register - , redigeret af Pernicious

Et sikkerhedsfirma, Netragard, har udført et sofistikeret hackerangreb ved at lave om på en almindelig computermus. Opgaven lød på at angribe et netværk, hvor de ikke måtte anvende social-engineering, som at kontakte medarbejdere via Facebook eller telefonisk, ligesom de ikke måtte opnå fysisk adgang.

Derfor fandt man hos Netragard på at indkøbe en mus, skille musen ad, indsætte en microkontroller samt storage i den, ved siden af den eksisterende hardware, programmere microkontrolleren med et hackerprogram, og så sende den “opererede” mus til en medarbejder i virksomheden, der skal angribes.

Medarbejderen som fik musen tilsendt som en sponsorgave, tilsluttede den til sin computer og 60 sekunder senere startede den indbyggede elektronik med at angribe computeren, der kort tid senere kunne sende informationer til Netragard.





Gå til bund
Gravatar #1 - el_barto
4. jul. 2011 08:52
"fysisk adgang" er i min verden præcis det som de har gjort her. Om den fysiske adgang er etableret af en insider eller endog medarbejderen selv, er vel irrelevant.
Gravatar #2 - PHP-Ekspert Thoroughbreed
4. jul. 2011 08:54
el_barto (1) skrev:
"fysisk adgang" er i min verden præcis det som de har gjort her. Om den fysiske adgang er etableret af en insider eller endog medarbejderen selv, er vel irrelevant.


Jeg tror at der "fysisk adgang" blev ment som, at hackeren (eller en medskyldig) ikke måtte have adgang til computeren/netværket.

Ved at bruge en mus og sende den til en medarbejder, er medarbejderen jo ikke medskyldig :)

Idéen er smart nok!
Gravatar #3 - froksen
4. jul. 2011 09:01
En mus med indbygget lagerkapasitet.. Cool... Sådan en vil jeg have, slut med at have en ekstern harddisk/USB-Pen og mus hver for sig. :-D

(Dog hvis Netragard vil sponsorer en må de gerne sende den uden Malware ;-) )
Gravatar #4 - Ramius
4. jul. 2011 09:01
#2 Ikke kun er den smart nok, den er også 95% umulig at beskytte sig mod. 9 ud af 10 medarbejdere der fik en fin mus i sponsor gave ville da lige sætte den til (ihvertfald hvis de er lidt nørdede) og vupti så er direkte adgang til computeren.

Jeg går ud fra de har brugt en svaghed i usb driveren. Hvis dette skal håndteres så skal der en helt ny form for sikkerhed der gør at drivere også kører i en form for sandboxed dims.
Gravatar #5 - HerrMansen
4. jul. 2011 09:06
Ahhh....hardware engineering. Hurr Hurr.
Gravatar #6 - fjols
4. jul. 2011 09:13
For mig lyder det som en form for social engineering.

Ramius (4) skrev:
9 ud af 10 medarbejdere der fik en fin mus i sponsor gave ville da lige sætte den til (ihvertfald hvis de er lidt nørdede) og vupti så er direkte adgang til computeren.


Det er jeg ikke sikker på. Nogen virksomheder har politikker på det område. Og selvom vi i Danmark er gode til at skide på den slags, så er jeg ikke sikker på det er sådan i alle andre lande.

Ramius (4) skrev:
Jeg går ud fra de har brugt en svaghed i usb driveren. Hvis dette skal håndteres så skal der en helt ny form for sikkerhed der gør at drivere også kører i en form for sandboxed dims.


Hvis de har brugt en svaghed i USB driveren så kan de medarbejdere der ikke har en administrator konto vel ikke få lov at installere den?
Gravatar #7 - Erroneus
4. jul. 2011 09:15
Du skal ikke være administrator for at installere en mus, ikke medmindre der er sat en politik op som forbyder det.
Gravatar #8 - fjols
4. jul. 2011 09:17
Det gælder vel kun hvis musen bruger standard driver?
Jeg tænker på hvis der f.eks. følger en driver med på CD.
Gravatar #9 - Prion
4. jul. 2011 09:25
Det er blevet gjort før, bedre og mere uskyldigt ved at hackere smider software på en USB stick, og smider den på parkerings pladsen ved en virksomhed. Tror det er omkring 40% af dem der samler dem op der putter dem i deres computer. Det virker meget mindre suspekt end en pludselig modtaget "sponsergave".
Gravatar #10 - dizko
4. jul. 2011 09:25
Tænk hvis Kina installerer sådan nogle chips i de produkter som de sender til Vesten..

May the war begin
Gravatar #11 - erialor
4. jul. 2011 09:30
fjols (8) skrev:
Det gælder vel kun hvis musen bruger standard driver?
Jeg tænker på hvis der f.eks. følger en driver med på CD.


Så vidt jeg lige kan læse er den ikke driver-afhængig (kræver dog nok at selve USB root-hub'en er fundet af Windows)


Prion (9) skrev:
Det er blevet gjort før, bedre og mere uskyldigt ved at hackere smider software på en USB stick, og smider den på parkerings pladsen ved en virksomhed. Tror det er omkring 40% af dem der samler dem op der putter dem i deres computer. Det virker meget mindre suspekt end en pludselig modtaget "sponsergave".


Er Autorun efterhånden ikke disabled overalt på USB/CD?
Og så har jeg da modtaget flere mus og usb-sticks i sponsorgave.
Gravatar #12 - Kornwit
4. jul. 2011 09:34
Indbygget ekstern hardware?
Det lyder meget som en Roccat Kone mus.
En Roccat Kone kræver at man installere deres driver, da Windows 7 eller ældre ikke har dette som standard.

Mens en mus som kun kræver standard software, kan kun bruge de normale funktioner.
Så med mindre at de har kunne udnøtte standard mouse driveren eller brugeren har admin rettighed, så burde dette ikke bare lige være til at gøre.
Gravatar #13 - imacomputer
4. jul. 2011 09:38
Det minder mig lidt om Markus Kuhns mange skriverier. Især den om trojan hardware.
Gravatar #14 - dizko
4. jul. 2011 09:40
Prion (9) skrev:
Det er blevet gjort før, bedre og mere uskyldigt ved at hackere smider software på en USB stick, og smider den på parkerings pladsen ved en virksomhed. Tror det er omkring 40% af dem der samler dem op der putter dem i deres computer. Det virker meget mindre suspekt end en pludselig modtaget "sponsergave".


http://www.version2.dk/artikel/ups-seks-ud-af-ti-i...
Gravatar #15 - mf1910
4. jul. 2011 10:02
Det fungere selv om autorun er disabled fordi musen fungere som et usb tastatur og udfører kommandoer der afvikler programmet på tilhørende usb memory stick.

Det er meget svært at gøre noget for at forhindre det som jeg læser det.
Gravatar #16 - sysadm
4. jul. 2011 10:54
Uden at vide det, går MCU'en vel ind og emulerer et flashdrev, som via autorun kører noget software, hvorefter MCU'en skifter til at sende en std mouse HID via usb forbindelsen?

Ligesom f.eks diverse 3g dongles, der emulerer et cdrom drev første gang de sættes til, hvor software/drivere installeres.
Gravatar #17 - Bladtman242
4. jul. 2011 11:01
Ehm, er det ikke en kombination af de to ting de ikke måtte?
social engineering (check)
fysisk kontakt (check, well, kinda)
Gravatar #18 - Hekatombe
4. jul. 2011 11:06
#16, Læs artiklen!
The modified mouse wasn't hemmed in by the change because it didn't rely on Autorun for the malicious code to be executed.
Gravatar #19 - zcuba
4. jul. 2011 11:54
uanset hvad de har lavet er det ikke nødvendigt at køre autorun kode på klienten, eller have en lagerenhed da en mus er en HID enhed.

Du kan sagtens med en HID enhed sende både mus og keyboard data, det er jo bare at registrere sig som 2 usb enheder..

Så skal man bare programmere en tastatur emulator til:
[windows tast] (ctrl esc) RUN eller kør eller whatever
- some native ftp commando for at downloade et lille bitte program
[enter]

den dowload vil gå hurtigt, og det er langt fra sikkert at brugeren opdager det hvis der i musen er et lille ur der siger "gør det her når musen har stået stille længe nok"

det næste den skal gøre er at eksekvere det lille program med bruger rettigheder..

hvad der så står i det program, tja... det er vel op til den kreative hacker.
men lur mig om ikke man kan lave mange tricks hvis først man kører på maskinen...

Det her scenarie kan man sådan set gøre fra en vilkårlig usb enhed med mikroprocessor i ...
Gravatar #20 - Jonasee
4. jul. 2011 12:21
zcuba (19) skrev:
det næste den skal gøre er at eksekvere det lille program med bruger rettigheder


Når det bliver kørt fra en mus, kan den vel køre med system rettigheder i stede for bruger, så børe man komme uden om problemer med bruger der ikke har administrative rettigheder, eller tager jeg helt fejl?
Gravatar #21 - nielsbrinch
4. jul. 2011 12:25
fjols (6) skrev:
Det er jeg ikke sikker på. Nogen virksomheder har politikker på det område. Og selvom vi i Danmark er gode til at skide på den slags, så er jeg ikke sikker på det er sådan i alle andre lande.


Fjols! Ja det hedder du. Der er da ikke nogen der har en sikkerhedspolitik for at sætte en mus i computeren. De har for USB stick, CD-rom, hjemmeside og alt muligt andet, men mus eller hørebøffer eller webcam osv. har jeg aldrig hørt om at der var en politik om man ikke måtte sætte i af sikkerhedsmæssige grunde.
Gravatar #22 - fjols
4. jul. 2011 12:42
Vi må ikke bare skifte vores mus og tastatur. Vi har 3-4 godkendte modeller som kan indkøbes.
At der bliver set stort på det er så en anden ting.
Gravatar #23 - Saxov
4. jul. 2011 12:53
nielsbrinch (21) skrev:
Der er da ikke nogen der har en sikkerhedspolitik for at sætte en mus i computeren. De har for USB stick, CD-rom, hjemmeside og alt muligt andet, men mus eller hørebøffer eller webcam osv. har jeg aldrig hørt om at der var en politik om man ikke måtte sætte i af sikkerhedsmæssige grunde.

Så har du nok ikke været så meget rundt omkring... har sågar hørt om cases hvor usb porte bliver "blokeret" med superlim eller andet, for at medarbejderne ikke bruger dem til randome ting.
Gravatar #24 - Zedilt
4. jul. 2011 13:18
#21+23..

Hos Forsvaret disabler vi alle USB Indgange på klassificeret net, minus Admin PC'er selvfølgelig.
Gravatar #25 - Jonasee
4. jul. 2011 13:29
Hawkwing (24) skrev:
#21+23..

Hos Forsvaret disabler vi alle USB Indgange på klassificeret net, minus Admin PC'er selvfølgelig.


admins er nogle gang den største sikkerheds brist :)
Gravatar #26 - Mulpacha
4. jul. 2011 13:36
Haha, smart angreb. Jeg tager hatten af for dem, den var godt fundet på, og ikke mindst udført.
Gravatar #27 - dub
4. jul. 2011 14:06
Hawkwing (24) skrev:
#21+23..

Hos Forsvaret disabler vi alle USB Indgange på klassificeret net, minus Admin PC'er selvfølgelig.
Så skal man vel bare sende en BT mus istedet?
Gravatar #28 - ty
4. jul. 2011 14:26
Hawkwing (24) skrev:
Hos Forsvaret disabler vi alle USB Indgange på klassificeret net, minus Admin PC'er selvfølgelig.

I kommer altså aldrig til at bruge usb-mus/tastatur?
Gravatar #29 - Taxwars
4. jul. 2011 16:02
el_barto (1) skrev:
"fysisk adgang" er i min verden præcis det som de har gjort her. Om den fysiske adgang er etableret af en insider eller endog medarbejderen selv, er vel irrelevant.


Det betyder at bryde fysisk ind og pille ved noget.
Gravatar #30 - ty
4. jul. 2011 16:38
Taxwars (29) skrev:
Det betyder at bryde fysisk ind og pille ved noget.

Hvis det er noget, så er det nok nærmere en omgåelse af betingelserne. De har opnået fysisk adgang uden at være personligt til stede.
Gravatar #31 - Keba
4. jul. 2011 16:48
Dejligt at thimon ændrede overskriften. Den gav da ingen mening før.
Gravatar #32 - Keba
4. jul. 2011 17:31
froksen (3) skrev:
En mus med indbygget lagerkapasitet.. Cool... Sådan en vil jeg have, slut med at have en ekstern harddisk/USB-Pen og mus hver for sig. :-D

(Dog hvis Netragard vil sponsorer en må de gerne sende den uden Malware ;-) )

Been done.
http://hackaday.com/2010/09/30/usb-mouse-with-stor...
Gravatar #33 - kalleguld
4. jul. 2011 18:49
Er det ikke social engineering at sende en mus?
Gravatar #34 - tentakkelmonster
4. jul. 2011 21:30
Jo, og samtidigt cyber-rodent engineering! ;)
Gravatar #35 - vandfarve
4. jul. 2011 21:42
Hawkwing (24) skrev:
#21+23..

Hos Forsvaret disabler vi alle USB Indgange på klassificeret net, minus Admin PC'er selvfølgelig.


Og i Libyen bruger de pick-up-trucks som motoriseret infanteri, men det betyder jo ikke, at samme biler ikke må bruges andersledes i resten af verden, no?

Dit eksempel er en ekstrem variant og derfor irrelevant for debatten udover "nå!"-faktoren.
Gravatar #36 - Slettet Bruger [682741846]
5. jul. 2011 09:30
[Indlæg er markeret som spam]
Gravatar #37 - mireigi
6. jul. 2011 09:44
nielsbrinch (21) skrev:
Fjols! Ja det hedder du. Der er da ikke nogen der har en sikkerhedspolitik for at sætte en mus i computeren. De har for USB stick, CD-rom, hjemmeside og alt muligt andet, men mus eller hørebøffer eller webcam osv. har jeg aldrig hørt om at der var en politik om man ikke måtte sætte i af sikkerhedsmæssige grunde.


Mange steder forholder det sig sådan at alle medarbejderes computere, inklusive tilsluttet hardware, er af et bestemt mærke og fra samme leverandør. De fleste af disse steder skal man søge om lov hos IT-administrationen for at tilslutte egen indkøbt hardware, og vil ofte blive mødt med: "Hvis du har et reelt behov for det, kan vi købe det hos vores leverandør, hvis de sælger det. Ellers er det bare ærgerligt."

Eneste mulighed for at omgå en sådan politik er, hvis du kan medbringe en læge-erklæring, eller tilsvarende, på at du har behov for fx en ergonomisk mus. Så er det op til IT-administrationen at finde alternativer til dig uden om deres leverandør.
Gravatar #38 - Nize
7. jul. 2011 21:38
Printere i netværket, plads til switch/AP indeni, med phonehome osv. "Prøv ny printer, lige til netværket".
Gravatar #39 - Magten
8. jul. 2011 06:40
nielsbrinch (21) skrev:
Der er da ikke nogen der har en sikkerhedspolitik for at sætte en mus i computeren.
Jeg har nu set steder som har en IT politik der forbyder folk at sætte hardware til computeren som ikke kommer fra eller er godkendt af IT afdelingen.
Gravatar #40 - Slettet Bruger [3289054113]
8. jul. 2011 06:47
Vi tæver brugere der sætter private ting i pc'en
Gravatar #41 - XorpiZ
8. jul. 2011 19:12
Jeg tæver bare brugerne. Sådan er en rigtig BOFH.
Gravatar #42 - vandfarve
8. jul. 2011 19:27
"- 100 % tilfredshed. Umuligt siger du? Så har du ikke mødt mine brugere."
Gravatar #43 - PHP-Ekspert Thoroughbreed
9. jul. 2011 12:19
SlettetBruger (40) skrev:
Vi tæver brugere der sætter private ting i pc'en


Hvor arbejder du da? :P Det vil jeg se før jeg tror det
Gravatar #44 - Magten
10. jul. 2011 16:01
Magten (39) skrev:
Jeg har nu set steder som har en IT politik der forbyder folk at sætte hardware til computeren som ikke kommer fra eller er godkendt af IT afdelingen.
Som tilføjelse så har jeg også set flere steder hvor det er forbudt at sætte fremmede computere på andet end firmaets trådløse gæste netværk.

Vi må ikke engang have kunde maskiner på vores netværk på arbejdet selvom vi skal lave dem. Det foregår i kælderen på et netværk der udelukkende har adgang til kundens miljø.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login