Компания Google опубликовала утилиту ukip, позволяющую отслеживать и блокировать атаки, осуществляемые с использованием вредоносных USB-устройств, симулирующих USB-клавиатуру для скрытой подстановки фиктивных нажатий клавиш (например, в ходе атаки может быть симулирована последовательность нажатий, приводящих к открытию терминала и выполнению в нём произвольных команд). Код написан на языке Python и распространяется под лицензией Apache 2.0...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52527
А USB Condom как работает?
Блокирует передачу инфекц^W информации полностью, пропуская только питание.
По питанию эксплоит ща найдём
USB Power Delivery использует шину VBus для передачи информации. Может как-то с этим можно поизвращаться.
> USB Power Delivery использует шину VBus для передачи информации. Может как-то с
> этим можно поизвращаться.Да легко, заглючите питальник и получите 20V из него, в свой 5V девайс. Правда вот отладка сплойта дороговата будет...
Ктобы сомневался в его отсутвии.Что там. Я вот вчера выяснил что выключатель на удлинителе - выключает только фазу,
оставляя один провод всё же подключённым,
и как то не вспомнить про передачу данных и питания по всего одному проводу...
Кстати, если кто знает подробности реализации - распишите или дайте ссылку.
* Ктобы сомневался в его/экплоита наличии.
Если ты про [питание] по одному проводу, то речь о подобии обычного волновода, по которому передаются ВЧ ЭМ-волны.
Но компьютерный БП это не потянет уже даже потому, что диоды на входе стоят низкочастотные и очень быстро придут в негодность, прихватив с собой часть БП, а то и всего компа.
> Что там. Я вот вчера выяснил что выключатель на удлинителе - выключает
> только фазу,Хорошо если фазу. А то с "электриками" как ща у россиян он может отключать и ноль. При этом на вид электричества вроде бы нет, но если взяться за фазу и что-то заземленное - сюрприз!!!!
Ты можешь пригласить "электрика" не как у россиян, он тебе подключит как надо. А затем, если ты перевернёшь вилку удлинителя в розетке, у тебя в удлинителе фаза с нулём поменяются местами и выключатель на удлинителе будет размыкать ноль вместо фазы. То есть не электрики виноваты, а твои кривые руки.
> и как то не вспомнить про передачу данных и питания по всего одному проводу...Можно и без проводов, Тесла одобряет. Вон кто-то даже накодил на мелкой атмелке ответку Qi, вместо спецчипов в "подложках-приемниках".
где?
Тут -> http://blog.vinu.co.in/2019/04/qi-wireless-power-receiver-fr...Достаточно тривиальная схема; протокол рюхает всего лишь тинька. Думается при желании можно перетянуть на любое другое железо по вкусу, фирмвара под GPLv3 и она довольно мелкая, можно портануть на любое другое железо по вкусу.
Caveat: резонансная штука - параметры контура берутся похожими на то что у автора. Катуха из литцендрата по соображениям КПД, на частоте в 150кГц скинэффект не пустой звук, ток только по поверхности провода течет, так что взять 1 жирный провод вместо литца угрохает КПД.
> Я вот вчера выяснил что выключатель на удлинителе - выключает только фазу,
> оставляя один провод всё же подключённым,...Прикольный удлиннитель у вас - умеет определять на каком из проводов фаза и отрубать именно его! Дорогой наверное... Или самодельный? И что именно он там реально отрубает зависит от того как вставить вилку?
Обычно двухполюсный выключатель, который без разбора отрубает два провода, не дороже и не особо крупнее аналогичного однополюсного (читай: экономии от отрубания только одного провода нет, а проблемы при отрубании только одного провода - есть). Производители, чаще всего, не дураки, да простенькой арифметикой "про деньги" вполне владеют.
В Израиле, например, фаза всегда с правой стороны розетки, и по другому вилку не вставить. Во многих странах Европы тоже так.
Стандартная евровилка вообще-то симметричная. Россияне в этом плане стали типичными европейцами, даже 230V формально заявили, менять конечно ничего не меняли, 220 всегда немного завышали чтобы пики удержать.
А трехфазное напряжение так и осталось 380 вольт. А не 400 вольт, как должно бы быть при однофазном 230 вольт. А 10 "лишних" вольт при подключении однофазных потребителей 230 вольт к трехфазной сети 380 вольт (с фазным напряжением 220 вольт) просто возникают "чудесным образом". :)
> Я вот вчера выяснил что выключатель на удлинителе - выключает только фазу,Это у Вас явно "неправильный удлинитель". В "правильном" удлинителе встроенный в него выключатель рвет и ноль и фазу. Но вот провод "защитного заземления" рвать запрещено. Ищите "эксплоит" через проводник защитного заземления. :)
fNextInputTime += random(0.0f, 1.0f);
Не сработает: нужно быстро вводить чтобы пользователь не заметил. А он сидит и пялится в монитор. Прямо сейчас. А быстрый ввод не заметит пользователь, но заметит эта гугло-хрень.
Бред. Пользователь далеко не всё время сидит за ПК. К тому же, вводить то надо куда то что то [лаговое] запуская, ну там контроль учётных записей для добавления себя админом, например, это только на SSD это всё сколько то быстро. В общем, что так, что этак - ими воздействовать понятно желательно без пользователя, для чего любыми способами можно это контроллировать, вплоть до просто тупо наблюдения взломаной офисной/Web-видеокамерой.А для уничтожения компа - может и пользователь сидеть за ПК, пока поймёт что происходит
- будет уже поздно, [RunAs] запуск [быстрого] формата - дело полусекунды.Тут уместь сказать: "А, у вас есть USB-разветвитель/ т.б.подключнные к сети WiFi/Web-камера/мобилка/планшет/итд?... Мы идём к вам!"
Кстати, кто сказал что с реальных USB/PS2 нельзя проделать то же предзаданно - по дате / по скрытому радиоканалу..
Ну и вообще, если вы не слышите даже просто о Массовых GSC CIH'95/Чернобыль-STAKERа вирусятинках - это не заслуга производителей ПК, ОС и антивирусов, а желание ОПГ и ОПГ-спецслужбами скрывать тему дырявости всего электронного мира - для даже чего сами вылавливают чужие зловреды, да даже просто на уровне вирмейкерских груп типа конкуренция за сектора влияния, чтобы - типа "пользователь спи спокойно... чтобы нам было куда проще жить, и успешно воздействовать, пусть и не часто массово-фатально, зато выборочно успешно, ну там банк прижать, павительство, провайдера и т.д."
Когда пользователь за компьютером не сидит можно на прямую подключится или просто вводить текст руками и никакая эвристика тебя не поймает.
> Пользователь далеко не всё время сидит за ПК.И далеко не всегда, когда пользователь не сидит за ПК, этот самый ПК включен.
Это они так мягко переместили свой анализатор поведения юзера с браузера прямо в систему? Тонко.
И устройства с результатами анализов необходимо будет возвращать в корпорацию бобра ;)
Ага и написали его на питоне ( чтоб никто не догадался ), потом сделали OpenSource , ведь питон такой "компилируемый", а его знание, требует десятков лет обучения и "никто не догадается" /irony
А когда KEYSTROKE_WINDOW ( определяет число нажатий для анализа ) начнет потихонечку увеличиваться, то потребуются подключить службу от корпорации. И дя, позвольте Ваш аккаут хуххле ;)
не удивлюсь, если в этом системДном зонде обнаружат дыры.
Можно легко и непринужденно фингерпринтить неугодных.
Проблема в том, что когда этот питоний скрипт сдетектирует вредоносную активность, она уже будет осуществлена.
Лучше узнать о беде сразу после её наступления чем не узнать вообще или узнать через неделю когда песец уже поселится на чердаке.
Если вас не заботила безопасность устройства до проблемы, то вам и после обнаружения будет плевать. Так показывает практика, когда люди ставят антивирусы уже после того, как шифратор выведет на экран "gg bro". Не, конечно, если вам удобнее держать прогу, которая заставляет что-то делать крюк вместо наиболее короткого пути, то можете вообще виртуалками обмазаться, чтобы точно можно было любую проблему исправить.
А хомякам норм. Никто не любит профилактику, все любят лоботомию и кремацию
Если он срабатывает даже на 10 символах набранных с задержкой 10 мсек. То ничего ты там не осуществишь кроме rm **** У тебя устройство отрубится на уровне драйвера.
Эм, процессор за 10 мсек успевает выполнить довольно много команд, мягко говоря. Если, конечно, не на пихоне это кодить. Там можно половину этой, как ее, бизнеслогики за это время посчитать.
>setup.sh
>function install_virtual_env() {Это заразная неизлечимая болезнь - venv головного мозга.
> function prepare_metadata() {
> ALLOWLIST_FILE=/etc/ukip/allowlist
> KEYCODES_FILE=/etc/ukip/keycodes
>
> sudo mkdir /etc/ukip/похоже два автора писали, один хотел в HOME ставить, а второй в /etc :-)
Зачем подобную прогу ставить в home? Это же чисто системная весчь, которая должна работать конкретно на этой железке. Или это такой хитрый план, чтобы говнодистры, которые не смогли в нормальное HFS, работали с этой штукой?
> Это заразная неизлечимая болезнь - venv головного мозга.Это ж гугл вебманки, они "для повышения безопасности" традиционно качнут половину интернета, сделав какой-нибудь curl | sh, или просто eval(), по своей давней традиции. Конечно же на хрен знает каких данных от хрен знает кого! Поэтому через флешки не хакнут, это слшиком канительно. Вгрузить левый скрипт сильно проще. Зто смотрите, никто через usb не хакает, это ж огромные нудные талмуды USB IF читать надо вместо наколенного скриптика :D
> В режиме защиты при выявлении потенциально вредоносного устройства осуществляется его отсоединение от системы на уровне драйвера.Почему не eject?
Что такое eject для клавиатуры?! Это как?! :)
Сервис системды на питоне. Комбо.Авторы нам как бы говорят "мы тут какую-то быстросклепанную на коленке фигню сделали, не хотите вместо нас потестировать?"
не всеж только на баше писать сервисы к системд
я как-то доверяю своим флэшкам больше, чем гуглоненужнοдзонду.
Причём тут ТВОИ флешки? Это штука надо, когда в твой комп пихают как раз левые флешки.
Например часто приносят тебе на флешке документы какие то.
Если тебе в твою компу вставляют левые флэшаки... сочувствую тебе. Организация работы построена явно как-то ненормально. Хотя... что ещё можно ожидать от "владельцев" компы с ненужнойд.
Ну, в случае винды - очеидный пример - сервис распечатки, на флешках там тащат - только в путь. Но вот чтобы линуксовый комп, в который флешки пихают постоянно и разные - как-то в голову не приходит, это да
Ну вот на линухе это делать намного логичнее, возможно даже без udev:
- Вгрузить только mass storage и возможно uas.
- Остальное идет нафиг.А теперь втыкаешь ты клаву. А для нее модуля в ядре не вгружено. Потому что нафиг киоску при нормальной работе клава? Так атака и встревает. Я примерно так на железках и делаю, предположительно получается довольно усточиво к badUSB.
Лол так в этой тулзе тоже уязвимость. Можно симулировать задержки между нажатиями с такой же вероятностью как заложены в этой программе. И подбирать эти задержки можно тоже с помощью этой же программой.
Сделаешь задержку - и пользователь обнаружит ввод самостоятельно, просто глядя на монитор, пья чаёк и наблюдая за тем, что там неторопливо и мееее......ееее....
...ееедленно происходит нечто странное.
Компания Google Опубликовала Утилиту.. тьфу, лажа же! "Вышел сомнительный питонячий скриптец от гугеля" - так оно правильнее.
Надеюсь, они не забыли сделать eval() на данных дескриптора? :)
причём для какой-то системды :)
Думаю можно придумать реализации проще чем антивирус..Чтоб в самой ос можно было выбрать юсб для клавиатуры.
А не ставить фильтры на трафик
>ukipбританские евроскептики одобряют!
Кейлоггер от Гугла под видом блокировки нежелательных USB устройств? Тонкий троллинг.
В Linux нет же вирусов?
дело немного не так, как ты подумал... вредоносная клава сама открывает терминал и печатает там "rm -rf * <enter>"
> вредоносная клава сама открывает терминал и печатает там "rm -rf * <enter>"Т.е., пока печатает, она еще и _успешно_ получает привилегии суперпользователя за долю секунды? ДАЙТЕ ДВЕ!
все вопросы - к гуглу, это его затея про "вредоносные" клавы
> Т.е., пока печатает, она еще и _успешно_ получает привилегии суперпользователя за долю
> секунды? ДАЙТЕ ДВЕ!Да зачем, ты и сам их получишь. Клаве достаточно лихо влупить в терминал команду :)
кейлогер который встраивается прямо в сустемдэ. всё к этому уже давно шло, всех поздравляю с наступившим будущим.а что будет если поставить два кейлогера: один для сустемдэ, второй для вейленда, какой победит?
> Для усложнения атак через USB помимо ukip также можно использовать пакет USBGuard, который разрешает подключение устройств только из белого спискаА можно просто настроить правила для eudev/udev:
Мне почему-то так кажется, что при желании вздрючить гентушника, логичнее атаковать всю их пихтонрасию в билдсистеме, она наверняка хлипкая и ничерта не проверяет. А то что оно потом сорцы малость пропатчит - так скрипкиди узнают что безопасность определяется самым слабым звеном системы.Туда же и растовиков-затейников с их фирмварями канпеляемыми путем curl | sh, очень секурно :)