アカウント名:
パスワード:
もちろん攻撃者は物理的にデバイスへアクセスできないんだよね?
この発表者の人はブータブルUSBメモリからLinuxかなんかを起動して、そこから別のUSBメモリにウイルスを仕込んだという発表をするということです。そして、その最初のブータブルUSBメモリにもそのウイルスが書き込まれていて、BIOSから見たときだけ複合デバイスに見える、と。
私はWindowsのUSBメモリをICカードリーダとして認識されるようなUSBメモリのデバイスドライバの開発経験があるのだけど。ICSPモードの説明にしても、ブータブルUSBメモリの説明も、ほとんどわからない。限られた文字数で説明しようとするから、省略されているところが多すぎなのかもしれない。
このストーリで問題なのは、USBメモリが単体でCPUを持っていて、かつUSBメモリのファームウェアがPC単体、USB経由で書き換えられるというところです。それを利用して、PCから書き換えたり、接続してくるホストのOSを判別したり、判別結果に応じて動作を変えたりすることができたというのが内容です。
その結果として、BIOSがUSBメモリを読み出したと判定したときと、それ以外の通常のOSが読み出した時とではフラッシュメモリ上の別の領域を内容として返し、かつBIOS判定の場合はUSBキーボードとしても認識させている(複合だかハブだか)ということです。その領域には攻撃者に都合の良いOSが書き込まれていて、キーボード操作を送って外部ストレージからの起動を選ばせます(F12を押して、下キーを押して、というような単なる操作記録のようです)。
この"攻撃者にとって都合の良いOS"には、単体でファームウェアを書き換えるプログラムが書き込まれていて、同時に繋がれているほかの改造可能なUSBメモリが存在すれば、自分と同じプログラムを書き込むという風に設計されています。
また、BIOSか通常のOSかを判別するほかに、USBメモリ(マスストレージ)以外のデバイスとして見えるよう、まったく違うファームウェアを書き込むことができるともされています。例えばUSB NICとして認識させ、DNSサーバを実装し、応答を偽装し、詐欺をはたらくということが例に挙げられています。
# ICSPは In-Circuit Serial Programming の略で、マイコンを書き込み機ではなく、実際の基板上に実装した後で# 独自のシリアル通信で書き換える機能です。USB経由で書き換えるのはICSPとは言わない気もします。
タイトルが「あらゆるUSBデバイスを攻撃に転用可能」とあるのが、まずイカんのだよこれは市場にあるどんなUSBデバイスもこのファームは感染可能と読めるような書き方だから
とにかくファームを書き換えられればそりゃUSBデバイスとして基本的に何でもできるわけでそこは意外なことは何もない
この内容は攻撃に便利使えるUSBファームウエアの書き方見つけました・実装しましたって話キーボードとストレージとして動作できる前提なのだから、リブートして好きなことできますよ完全に乗っ取られてる状態ですから技術的に新規性があるとしたらホストが何が動作しているか判定する安定した方法を見つけたらしいことかな
いや、新規というか問題なのは市販USBメモリを書き換えたところだと思いますよ。極端な話、道端に落ちてることもあるわけですから。USB開発キットを買った人物とかマイコンを何個か買った人物というのより追跡しづらいでしょうし、大量に生産もできます。諜報機関が使うのなら、この改造メモリを仕込むのは目標のPCに数hopで到達できる場所でよく、あとは正規の利用者に運ばせることもできる。そうやってアクセスが簡単になってしまっていたのが問題ではないかと。
タイトルが悪いというのにはまったく同意です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
どうやってファームウェア書き換えるの? (スコア:0)
もちろん攻撃者は物理的にデバイスへアクセスできないんだよね?
Re: (スコア:1)
Re: (スコア:3)
この発表者の人はブータブルUSBメモリからLinuxかなんかを起動して、そこから別のUSBメモリにウイルスを仕込んだという発表をするということ
です。そして、その最初のブータブルUSBメモリにもそのウイルスが書き込まれていて、BIOSから見たときだけ複合デバイスに見える、と。
Re:どうやってファームウェア書き換えるの? (スコア:0)
私はWindowsのUSBメモリをICカードリーダとして認識されるようなUSBメモリの
デバイスドライバの開発経験があるのだけど。
ICSPモードの説明にしても、ブータブルUSBメモリの説明も、ほとんどわからない。
限られた文字数で説明しようとするから、省略されているところが多すぎなのかもしれない。
Re:どうやってファームウェア書き換えるの? (スコア:3)
このストーリで問題なのは、USBメモリが単体でCPUを持っていて、かつUSBメモリのファームウェアがPC単体、USB経由で書き換えられる
というところです。それを利用して、PCから書き換えたり、接続してくるホストのOSを判別したり、判別結果に応じて動作を変えたりする
ことができたというのが内容です。
その結果として、BIOSがUSBメモリを読み出したと判定したときと、それ以外の通常のOSが読み出した時とではフラッシュメモリ上の
別の領域を内容として返し、かつBIOS判定の場合はUSBキーボードとしても認識させている(複合だかハブだか)ということです。その
領域には攻撃者に都合の良いOSが書き込まれていて、キーボード操作を送って外部ストレージからの起動を選ばせます(F12を押して、
下キーを押して、というような単なる操作記録のようです)。
この"攻撃者にとって都合の良いOS"には、単体でファームウェアを書き換えるプログラムが書き込まれていて、同時に繋がれているほかの
改造可能なUSBメモリが存在すれば、自分と同じプログラムを書き込むという風に設計されています。
また、BIOSか通常のOSかを判別するほかに、USBメモリ(マスストレージ)以外のデバイスとして見えるよう、まったく違うファームウェアを
書き込むことができるともされています。例えばUSB NICとして認識させ、DNSサーバを実装し、応答を偽装し、詐欺をはたらくということが
例に挙げられています。
# ICSPは In-Circuit Serial Programming の略で、マイコンを書き込み機ではなく、実際の基板上に実装した後で
# 独自のシリアル通信で書き換える機能です。USB経由で書き換えるのはICSPとは言わない気もします。
Re: (スコア:0)
タイトルが「あらゆるUSBデバイスを攻撃に転用可能」とあるのが、まずイカんのだよ
これは市場にあるどんなUSBデバイスもこのファームは感染可能と読めるような書き方だから
とにかくファームを書き換えられればそりゃUSBデバイスとして基本的に何でもできるわけで
そこは意外なことは何もない
この内容は攻撃に便利使えるUSBファームウエアの書き方見つけました・実装しましたって話
キーボードとストレージとして動作できる前提なのだから、リブートして好きなことできますよ
完全に乗っ取られてる状態ですから
技術的に新規性があるとしたらホストが何が動作しているか判定する安定した方法を見つけたらしいことかな
Re:どうやってファームウェア書き換えるの? (スコア:2)
いや、新規というか問題なのは市販USBメモリを書き換えたところだと思いますよ。極端な話、道端に落ちてることもあるわけですから。
USB開発キットを買った人物とかマイコンを何個か買った人物というのより追跡しづらいでしょうし、大量に生産もできます。
諜報機関が使うのなら、この改造メモリを仕込むのは目標のPCに数hopで到達できる場所でよく、あとは正規の利用者に運ばせることもできる。
そうやってアクセスが簡単になってしまっていたのが問題ではないかと。
タイトルが悪いというのにはまったく同意です。