Перейти к содержимому


Фото
- - - - -

Защита устройств (BadUSB)


  • Please log in to reply
8 ответов в этой теме

#1 Игорь7

Игорь7

    Member

  • Posters
  • 111 Сообщений:

Отправлено 04 Январь 2020 - 13:26

Здравствуйте!

 

Попробовал включить опцию "Предупреждать об устройствах BadUSB". К компьютеру подключены две клавиатуры - обычная и игровая панель. После перезагрузки Drweb выдал предупреждение и попросил нажать комбинацию клавиш. Один раз сработало (было видно, что окно исчезло), но появилось снова. Я подумал, что это на вторую клавиатуру. Но не тут-то было. Сколько не нажимал - никакой реакции. В результате пришлось закрыть это окно. Drweb отрапортовал, что "такое-то устройство (набор букв и цифр) заблокировано". Через пару секунд балун исчез - и всё, что за устройство заблокировано, где об этом посмотреть информацию - ни в статистике, ни в логах я этого не нашел. В настройках есть "Разрешенные устройства" (кстати, там тоже ничего не появилось, хотя я нажимал комбинацию клавиш на запрос Drweb), а почему нет пункта "Заблокированные". В итоге - отключил обратно эту функцию (надеюсь, что она выключилась).

 

Уважаемые разработчики! Когда же вы повернетесь лицом к пользователю? Поставьте себе цель на этот год вывести интерфейс на качественно новый уровень. Логи это хорошо, но пользователи имеют право знать, что делает антивирус (за который уплачены деньги) на компьютере. А копаться в логах простой пользователь не обязан. Ведь у вас в коллективе, наверняка, есть талантливые дизайнеры, разработчики, тестировщики. Неужели никто не видит проблем? Неужели ни у кого нет вкуса? Или вашему коллективу настолько не повезло?

 

Прошу прощения, если кого-то обидел. Просто, наболело.



#2 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 255 Сообщений:

Отправлено 04 Январь 2020 - 15:47

>Я подумал, что это на вторую клавиатуру. Но не тут-то было. Сколько не нажимал - никакой реакции

 

некоторые устройства представляют из себя гибрид, например мышки и клавиатура в одном (например при нажатии открывается браузер эмулируя клавиатуру), указки, игровая консоль скорее всего тоже гибрид. так как эти устройства не настоящие клавиатуры, то нажать нужную комбинацию невозможно, там нет клавиш, в этом и есть смысл защиты все что ведет себя как клавиатура но таковой не является блокировать, чтобы оно не могло по тихому эмулировать нажатия клавиш и совершать вредоносные и опасные действия. если для вас это легальное устройство, такие устройства нужно руками добавлять в белый список устройств. события блокировки должны быть в журнале событий.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#3 Игорь7

Игорь7

    Member

  • Posters
  • 111 Сообщений:

Отправлено 04 Январь 2020 - 21:05

Константин, спасибо за ответ. 

Я смотрел в Статистика->Подробный отчет, Статистика->Угрозы. Ничего нигде не зафиксировалось. Но балун о блокировке я точно видел. Красный крест там был.

Игровая консоль (может я не совсем правильно называю) это клавиатура, но только левая её часть (для геймеров). Все клавиши, которые предлагал нажать Drweb на ней имеются. Но, лично мне, было не совсем понятно, какую комбинацию предлагает нажать Drweb. Дело в том, что на картинке с указанием о необходимых клавишах была показана часть клавиатуры. В моем случае отдельно Ctrl, отдельно Alt и отдельно X. Вот как-раз про X и не понятно - это английская X (икс) или русская X (ха). Кроме того, в этом же окне не плохо было бы указать, реакцию на какое оборудование ждет Drweb. Я считаю, что в данном случае, нужно показывать как-то по-другому.

 

У меня еще есть игровой джойстик (проводной). Вдруг Drweb на него ругался. Неизвестно.А вообще, в диспетчере устройств у меня 11 HID-совместимый устройств ввода, 1 игровой контроллер, и 2 HID-совместимого системного контролера. А также 8 USB устройств ввода. Что из себя представляют все эти устройства мне сказать трудно. Реальные устройства ввода у меня - две клавиатуры, мышь, и джойстик. Есть еще пару USB-хабов, но это же не устройство ввода.



#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 255 Сообщений:

Отправлено 04 Январь 2020 - 21:32

> В моем случае отдельно Ctrl, отдельно Alt и отдельно X

 

вот эти клавиши и надо нажать одновременно на той клавиатуре. там используются сканкоды клавиш а не раскладки. т.е. в вашем случае это всегда английские а не русские.

 

>Кроме того, в этом же окне не плохо было бы указать, реакцию на какое оборудование ждет Drweb

 

внизу окна есть информация об устройстве при клике по линку. но не всегда есть человеческое имя у устройства, только путь вида HID\VID_046D&PID_C312&MI_00\7&240026D7&0&0000.

 

проверил. да, в журнал событие не попадает, странно и печально. фичу выпустили много лет назад а события так и нет. все важное должно быть в журнале, но чет видно кому то не очевидно раз до сих пор нет.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 Игорь7

Игорь7

    Member

  • Posters
  • 111 Сообщений:

Отправлено 05 Январь 2020 - 10:40

То, что клавиши нажимать одновременно, я понял. Просто непонятно было на каком языке нажимать X.

 

Ну это ладно. Путем экспериментов, я выяснил, что в моем случае, речь идет вообще про мышь. Она, почему-то, кроме раздела "Мыши" фигурирует и в разделе Клавиатуры (в диспетчере устройств). Почему - не знаю. Возможно, что на ней есть доп. кнопки (игровая мышь, HID\VID_258A&PID_1007&MI_01&Col01). Именно на неё ругается Drweb (сделал скрин балуна) и просит нажать комбинацию клавиш. И как в этом случае поступать - не понятно.

 

И почему, если Drweb пишет, что устройство заблокировано, мышь прекрасно работает (в том числе её доп. кнопки)?



#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 255 Сообщений:

Отправлено 06 Январь 2020 - 00:20

>И почему, если Drweb пишет, что устройство заблокировано, мышь прекрасно работает (в том числе её доп. кнопки)?

 

заблокирована только та часть которая эмулирует клавиатуру. некоторые особенного китайские мыши имеют в себе эмуляцию клавиатуры, может это и не с проста добавлено дядюшкой Ляо. Пока вас нет, она эмулирует нажатия и выполняет нужные хозяину действия :) и это далеко не фантастика.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Игорь7

Игорь7

    Member

  • Posters
  • 111 Сообщений:

Отправлено 06 Январь 2020 - 09:22

Это действительно, очень похоже на фантастику. Только как от этого уберечься? Покупая устройство не знаешь, что внутри. Майкрософт, да и некоторые Linux'ы ведь тоже сливают всё что набирает пользователь на обычной клавиатуре, причем явно, в открытую. И никто от этого не защищает. Так ли уж важна в таких случаях защита от BadUSB, если доподлинно неизвестно, какую роль играет эмуляция клавиатуры в мыши?

 

Но возник другой вопрос - если Drweb среагировал на нормальную клавиатуру (я нажал клавиши какие были указаны), то почему тогда список разрешенных устройств пуст?



#8 TASS

TASS

    Advanced Member

  • Posters
  • 834 Сообщений:

Отправлено 06 Январь 2020 - 13:05

проверил. да, в журнал событие не попадает, странно и печально. фичу выпустили много лет назад а события так и нет. все важное должно быть в журнале,

Konstantin Yudin, планируется ли в Dr.Web SS 12 реализация записи события блокировки устройств BadUSB в журнал?

В корпоративном решении ES аналогичная проблема с фиксацией события блокировки блокировки устройств BadUSB существует?


Глядя на мир, нельзя не удивляться! ©


#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 255 Сообщений:

Отправлено 06 Январь 2020 - 16:37

Это действительно, очень похоже на фантастику. Только как от этого уберечься? Покупая устройство не знаешь, что внутри. Майкрософт, да и некоторые Linux'ы ведь тоже сливают всё что набирает пользователь на обычной клавиатуре, причем явно, в открытую. И никто от этого не защищает. Так ли уж важна в таких случаях защита от BadUSB, если доподлинно неизвестно, какую роль играет эмуляция клавиатуры в мыши?

это немного разные вещи. когда у тебя внутри программа шпион и когда ты подключаешь свой телефон/ноутбук к usb зарядке/ппроводу который/я прикидывается клавиатурой и компрометирует твой девайс. я в этом плане в общественных местах доверяю пока еще только зарядке от сети, ни каких usb.

Но возник другой вопрос - если Drweb среагировал на нормальную клавиатуру (я нажал клавиши какие были указаны), то почему тогда список разрешенных устройств пуст?

это список исключений задаваемых пользователем вручную.

проверил. да, в журнал событие не попадает, странно и печально. фичу выпустили много лет назад а события так и нет. все важное должно быть в журнале,

Konstantin Yudin, планируется ли в Dr.Web SS 12 реализация записи события блокировки устройств BadUSB в журнал?
В корпоративном решении ES аналогичная проблема с фиксацией события блокировки блокировки устройств BadUSB существует?

я нашем фр по обоим вопросам, когда не скажу, я этим давно не занимаюсь.
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых