Здравствуйте. Какие у вас планы на эту новую угрозу?
#1
Отправлено 05 Октябрь 2014 - 19:48
#2
Отправлено 05 Октябрь 2014 - 21:07
А что Вам известно про эту уязвимость, кроме общих слов, написанных на http://www.cnews.ru/news/top/index.shtml?2014/08/01/581443 ?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#3
Отправлено 06 Октябрь 2014 - 11:54
Здравствуйте. Какие у вас планы на эту новую угрозу?
Грандиозные. Мирные.
R&D www.drweb.com
#4
Отправлено 06 Октябрь 2014 - 12:23
Грандиозные. Мирные.А если немного конкретизировать и сказать вместо "BadUSB" - аппаратные клавиатурные шпионы/вредоносные устройства ввода-вывода?
But a thing of beauty, I know, will never fade away...
#5
Отправлено 06 Октябрь 2014 - 12:26
Грандиозные. Мирные.А если немного конкретизировать и сказать вместо "BadUSB" - аппаратные клавиатурные шпионы/вредоносные устройства ввода-вывода?
То есть с юзерами? :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#6
Отправлено 06 Октябрь 2014 - 12:55
Грандиозные. Мирные.А если немного конкретизировать и сказать вместо "BadUSB" - аппаратные клавиатурные шпионы/вредоносные устройства ввода-вывода?
Это Вы не конкретизируете, а пишете совсем о другом.
Поиском аппаратных закладок занимаются несколько другие организации.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#7
Отправлено 06 Октябрь 2014 - 13:05
Это Вы не конкретизируете, а пишете совсем о другом.BadUSB - одна из разновидностей, а не другое.
But a thing of beauty, I know, will never fade away...
#8
Отправлено 06 Октябрь 2014 - 13:08
Это Вы не конкретизируете, а пишете совсем о другом.BadUSB - одна из разновидностей, а не другое.
Клавиатурный шпион должен передавать кому-то то, что он зашпионил.
Как это делают аппаратный закладки, я представить могу.
Как это будет делать Ваша "разновидность"?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#9
Отправлено 06 Октябрь 2014 - 13:16
Как это будет делать Ваша "разновидность"?
Один из типовых вариантов (описаний коего уже великое множество):
1) имитируется клавиатура
2) с этой клавиатуры в систему вводится тело заразы (тут тоже вариантов несколько: от vbs/cmd до PE через консоль отладчика)
3) зараза собирает данные и отправляет их либо через интернет непосредственно, либо обратно устройству
4) вредоносное устройство может либо передать данные дальше по wifi/синезубу, либо стать виртаульной сетевой картой и вклиниться в процесс приёма-передачи данных (что, кстати, может быть реализовано изначально и, более того, и быть основной целью).
При этом само устройство будет дополнительно вполне корректно функционировать как обычная флэшка.
Сообщение было изменено usverg: 06 Октябрь 2014 - 13:18
But a thing of beauty, I know, will never fade away...
#10
Отправлено 06 Октябрь 2014 - 13:23
От себя добавлю, что угрозу эту не стоит называть новой: встречались ранее не только usb-устройства с модификациями (тут, кстати, стоит вспомнить и про современные принтеры с полным для этого функционалом), но даже видеокарточки с модифицированной прошивкой. Из задач позаковыристей (и, так уж и быть, не из серии "закладок") могу предложить вопрос: а как контролировать корректность доступа к серверу/рабочей станции через IPMI?
But a thing of beauty, I know, will never fade away...
#11
Отправлено 06 Октябрь 2014 - 13:26
То есть с юзерами? :-)Ну тут только молоток поможет.
But a thing of beauty, I know, will never fade away...
#12
Отправлено 06 Октябрь 2014 - 13:29
Как это будет делать Ваша "разновидность"?Один из типовых вариантов (описаний коего уже великое множество):
1) имитируется клавиатура
2) с этой клавиатуры в систему вводится тело заразы (тут тоже вариантов несколько: от vbs/cmd до PE через консоль отладчика)
OK, т.е. это устройство будет устанавливать в систему обычного трояна...
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#13
Отправлено 06 Октябрь 2014 - 13:30
То есть с юзерами? :-)Ну тут только молоток поможет.
Вот именно. Отличить клавиатуру от чего-то, что выдает себя за клавиатуру вы как предлагаете? Приниципиально можно создать устройство, которое от клавиатуры не будет отличимо. И говорить об уязвимости тут не стоит, для системы это будет именно что клавиатура.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#14
Отправлено 06 Октябрь 2014 - 13:32
Вот именно. Отличить клавиатуру от чего-то, что выдает себя за клавиатуру вы как предлагаете? Приниципиально можно создать устройство, которое от клавиатуры не будет отличимо. И говорить об уязвимости тут не стоит, для системы это будет именно что клавиатура.
Поведенческий анализ на предмет нетипичных действий пользователя по окончании периода обучения? (Хотя, честно скажу, меня IPMI гораздо больше интересует, как-никак а отдельный мини сервер на рабочих станциях).
Сообщение было изменено usverg: 06 Октябрь 2014 - 13:34
But a thing of beauty, I know, will never fade away...
#15
Отправлено 06 Октябрь 2014 - 13:33
Вот именно. Отличить клавиатуру от чего-то, что выдает себя за клавиатуру вы как предлагаете? Приниципиально можно создать устройство, которое от клавиатуры не будет отличимо. И говорить об уязвимости тут не стоит, для системы это будет именно что клавиатура.Поведенческий анализ на предмет нетипичных действий пользователя по окончании периода обучения?
Вы пользователей вживую видели?! Они exe-файлы из письма запускают, ЭТО для них типичное (!!!) действие. :-D В общем, решение полным и окончательным быть не может.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#16
Отправлено 06 Октябрь 2014 - 13:37
Они exe-файлы из письма запускаютЭтим не удивишь, а вот вводом PE в дебугер, пожалуй что можно.
But a thing of beauty, I know, will never fade away...
#17
Отправлено 06 Октябрь 2014 - 14:04
Вроде как проблему объявили серьезной, но о каких-либо крупных последствиях ничего не слышно. Дыма без огня не бывает, поэтому чисто дедуктивно можно заявить что это просто запугивание. Также, появились некие приложения, которые "снижают риск" заражения этим вирусом. Пока небо чисто.
#18
Отправлено 06 Октябрь 2014 - 14:10
заражения этим вирусомЭто даже и не вирус.
But a thing of beauty, I know, will never fade away...
#19
Отправлено 06 Октябрь 2014 - 14:13
Они exe-файлы из письма запускают
А антивирус должен сканировать exe файл перед запуском. А самое странное, что нормальные почтовые системы даже не дают отправить зараженный exe-файл.
#20
Отправлено 06 Октябрь 2014 - 14:17
Они exe-файлы из письма запускают
А антивирус должен сканировать exe файл перед запуском. А самое странное, что нормальные почтовые системы даже не дают отправить зараженный exe-файл.
Антивирус и сканирует, вот только определять 100% угроз он не может. И почтовые системы не все нормальные, и именно не нормальные будут использоваться для рассылки всякой гадости.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Also tagged with one or more of these keywords: dr.web, badusb
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых