Veel computerwebsites hadden het over een slimme hack van Netragard waarbij een met malware geïnfecteerde microcontroller in Logitech USB-muis geplaatst werd om daarmee een netwerk binnen te dringen. De muis bevatte firmwarecode die automatisch uitgevoerd werd zodra een eindgebruiker het apparaat in de computer zou pluggen. In dit geval belde de 'kwaadaardige' code naar NetraGard om te laten weten dat het gelukt was het netwerk te infiltreren. Gelukt! Veel lezers waren zich er niet van bewust dat hardware, vooral iets pietluttigs als een muis, gebruikt kan worden om automatisch opstartende code in een computer te laden. Voor anderen kwam dit niet als verrassing.

USB-exploits zijn niets nieuws onder de zon
Ikzelf ontwikkelde zeven jaar geleden mijn eerste USB-virus, toen ik nog voor Foundstone werkte. Ik vond uit dat ik de verborgen desktop.ini bestanden kon gebruiken om iedere bijgevoegde executable automatisch op te kunnen starten. Het omzeilde autorun en Autoplay-blokkeersystemen. Ik vond uit dat ik dit via USB-sticks kon doen, waarna een collega van mij me erop wees dat het ook via andere USB-apparatuur mogelijk was. Uiteindelijk bouwden we een demo-worm die pc's via een digitale camera kon infecteren. Het was een mooi project, alhoewel er van ons echte werk weinig terecht kwam. Gelukkig ondersteunde Foundstone onze verrichtingen en konden we ons ook op andere USB-exploits gaan richten. Ik ben verrast dat USB-infecties nog steeds als belangrijke bedreiging gezien worden door securityleveranciers (ondanks dat Microsoft stappen ondernomen heeft om het risico van autorun en Autoplay verder in te dammen). IT-managers en beheerders moeten begrijpen dat een computer overgenomen kan worden door vrijwel ieder hardwareapparaat dat ingeplugd wordt. Hardware blijft hardware - de instructies en de firmware die erin gezet zijn winnen het altijd van software. Wanneer we het over grenzen van vertrouwen hebben in computerbeveiliging, dan is de hardwaregrens er altijd een die besproken zal moeten wroden. Als ik, als kwaadwillende, een slachtoffer kan verleiden tot het inpluggen van een stuk hardware of het zelf kan, dan is het gewoon game over. Als ik iets in jouw USB, DMA, FireWire of seriële poort kan stoppen, dan is de kans aanwezig dat ik met succes een virus kan plaatsen en/of informatie kan ontvreemden.

Meest veilige encryptie blijkt te kraken
Het kan al game over zijn als een aanvaller bestaande hardware verwijdert. Twee jaar geleden werd aangetoond dat populaire diskencyptie software als BitLocker, FileVault en TrueCrypt nutteloos was als hackers het RAM-geheugen konden uitlezen. Een andere onderzoeker toonde aan dat hij encryptiesleutels van de hoog aangeschreven Trusted Platform Module encryptiechips uit kon lezen. Eigenlijk is dit geen nieuws. Duizenden mensen weten dit allang. Je hoeft je ook eigenlijk niet veel meer zorgen te maken dan je twintig jaar geleden zou moeten doen - zeker niet zolang deze methoden niet op grote schaal in de praktijk toegepast worden. Veel kwaadwillende actoren hoeven geen fysieke toegang tot je machines te hebben om hun exploits uit te kunnen voeren. Nep-antivirussoftware en schadelijke links in e-mailberichten werken voor hen nog steeds veel beter en infecteren jaarlijks tientallen miljoenen gebruikers. Als je bezorgd bent dat jouw activa wel degelijk bloot staan aan de risico's van een fysieke aanval, beschouw deze column dan als een mededeling die je wakker schudt en die zich zal moeten vertalen naar actie.

Laat je niet zomaar verleiden
Je kunt stappen ondernemen om jezelf te wapenen. De eindgebruiker informeren is altijd het proberen waard. Laat je eindgebruikers weten dat alles wat ze aan de computer koppelen gehackt kan zijn. Die gratis USB-stick bij dat evenement? Plug hem liever niet in je werk-pc. Hetzelfde geldt voor gratis muizen, toetsenborden en wat al niet meer via de poorten van de computer contact kan maken. Syteembeheerders kunnen poorten die niet nodig zijn uitschakelen via het BIOS van het systeem of binnen het OS. Uitschakelen in het BIOS is beter, op die manier maken aanvalmethodes die buiten het besturingssysteem om gaan (denk aan zelf-bootende USB-sticks) sowieso geen kans van slagen.

100% voorkomen is nooit mogelijk
Helaas kun je niet iedere poort uitschakelen. Maar je kunt wel zeker stellen dat alle reguliere antimalware en andere computerbeveiliging staat ingeschakeld. Misschien voorkom je daar het eerste contact niet mee, maar daardoor kun je de gevolgen mogelijk wel detecteren en tijdig een halt toe roepen. Totdat betere oplossingen beschikbaar komen, zul je met het kleine risico op een fysieke aanval om moeten leren gaan. De realiteit is dat we veel meer risico lopen bij methoden die veel eenvoudiger van opzet zijn. Een goede computerbeveiliging houdt in dat je op de hoogte bent van mogelijke bedreigingen en weet welke daarvan prioriteit dienen te krijgen.

Bron: computerworld.nl