USB-sticks slopen je computer!!! (volgens Nova)

Door Johnny op woensdag 24 juni 2009 23:03 - Reacties (21)
Categorie: software, Views: 9.738

Vanavond had het televisieprogramma Nova een item (uitzending van 24 juni 2009 op Uitzending gemist) over de gevaren van USB-sticks. Bij diverse bedrijven, instellingen en publieke locaties werden USB-sticks achtergelaten met daarop een klein "dail home" programma, waaraan de onderzoekers konden zien dat de USB-sticks waren ingeplugd en dat het programma werd uitgevoerd.

Dat laatste werd overginds niet expliciet vermeld. Gedurende het hele item ging men voorbij aan het feit dat een USB-stick niet zelf zomaar code hoort te kunnen uitvoeren, dat doet het besturingssysteem, en dan als het goed is alleen nadat de gebruiker daar de opdracht voor heeft gegeven.



Zoals het werd gepresenteerd leek het net alsof een USB-stick iedere computer zomaar kan overnemen zodra hij wordt geplaatst ongeacht van je besturingssysteem of configuratie, en dat je daar als gebruiker helemaal niks aan kan doen behalve de USB-stick uit je computer houden. Als je dat niet doet kan zomaar je hele harde schijf worden gewist, al je gegevens naar criminelen wordt verzonden en er software zoals key loggers worden geïnstalleerd. Dit werd ook nog eens bevestigd door diverse "experts" die oftewel het verhaal dusdanig probeerden te versimpelen dat het nergens meer op sloeg, of dat de redactie dat voor hun gedaan heeft met wat creatief knipwerk.

Uiteraard is het automatisch uitvoeren van code en installeren van software die zichzelf vanzelf opstart onmogelijk op ieder modern besturingssysteem waarbij je als gebruiker niet standaard als Administrator bent ingelogd. Het hele item gaat eigenlijk over de Autorun-functionaliteit zoals Microsoft die in Windows heeft geïmplemteerd, dit geldt niet alleen voor USB-sticks maar ook voor CD's DVD's en zelfs diskettes en werkt al zo sinds Windows 95. Het was al mogelijk om AutoRun uit te schakelen, daar was wel een tijd omheen te werken maar als we Wikipedia mogen geloven dan is dat in februari 2009 is dat al opgelost, Windows-gebruikers die sindsdien hun computer hebben voorzien van updates lopen dus geen gevaar.

Je kan gebruikers ook niet kwalijk nemen dat ze een USB-stick in een computer steken, het hoort gewoon veilig te zijn, dat er een softwarefabrikant is die een fout heeft gemaakt kan je hun niet aanrekenen. Als er iemand verantwoordelijk moet worden gehouden hier is het Microsoft, maar die wordt in het hele item niet genoemd, terwijl je jezelf als journalist toch wel zou moeten afvragen waarom dit beveiligingslek bestaat.

Hoewel het gebrek aan technische correctheid storend is, maak ik me veel kwader over het feit dat mensen hier onnodig bang worden gemaakt. Computers worden vaak al gezien als complexe magische apparaten die spontaan kapot gaan als je perongeluk de verkeerde knop indrukt, en die reputatie komt voornamelijk door slechte software van jaren geleden. In plaats van mensen te onderwijzen over het beveiligen van hun gegevens wordt er weer het beeld geschept dat computers eng zijn, dat je zelf geen enkele invloed hebt, dat we omringd zijn met incompetente gebruikers en briljante hackers en criminelen, en dat de enige bescherming is om er zo ver mogelijk vandaan te blijven.

Volgende week in Nova: het bezoeken van websites geeft je computer een virus!

Volgende: Edit HD video on a slow computer with an intermediate codec 05-'10 Edit HD video on a slow computer with an intermediate codec
Volgende: Storende Software updates 03-'09 Storende Software updates

Reacties


Door Tweakers user Kosty, woensdag 24 juni 2009 23:15

Ik wil niet lullig doen, als ik zo'n artikel/uitzending lees/bekijk denk ik net hetzelfde maar ERGENS hebben ze wel een beetje gelijk.

Een "USB disk" zal inderdaad enkel doen wat de gebruiker/OS opgegeven/ingesteld heeft, maar niet alle USB sticks zijn opslagmedia. Ik heb hier bijvoorbeeld een UniKey (google it :P), dat is een USB stick die als je hem inplugt zich voordoet als HID.

Via de juiste APIs of meegeleverde programma's kan je dan "inloggen" met een code en dan kan je vanalles ermee doen. Het feit dat het zo kan (er zit een memory chip in, die wordt beschikbaar na identificatie) wilt ook zeggen dat het anders kan. Zeg nu bv een USB stick die eigenlijk een fake HID is en even dmv een combinatie van letters (aka de input zoals bij een toetsenbord) een leuk scriptje uitvoert...?

Om niet stom over te komen : Aan het bovenstaande hebben ze natuurlijk niet gedacht en je blog is compleet gegrond. Maar het kan.

[Reactie gewijzigd op woensdag 24 juni 2009 23:25]


Door Tweakers user siepeltjuh, woensdag 24 juni 2009 23:32

Waar het vooral om gaat is dat bij de autorun actie je een overizcht krijgt van mogelijkheden. setup uitvoeren, map openen etc etc.
De software op de usb stick kan dat dialoog echter aanpassen en een map openen knop toevoegen met hetzelfde icoontje enz. Er is dan nagenoeg geen verschil tussen de map openen knop die in windows wordt getoond en de knop die de malware samenstelt. Men klikt dan op die knop en start daarmee de malware. Via verschillende mogelijkheden kan de malware dan je systeem overnemen enz. Het is dus een combinatie van lekken / design fouten die misbruikt worden.
Dit geld in ieder geval voor Windows, of het voor linux varianten ook mogelijk is weet ik niet.
Microsoft heeft dit overigens bevestigd en met windows 7 is dit gedrag ook niet meer mogelijk. In Vista en daarvoor gaat het niet aangepast worden volgens microsoft.

Door Tweakers user Ywa, woensdag 24 juni 2009 23:42

De U3 Cruzer USB sticks starten een eigen programma op als je die in de PC steekt. Ook niet bepaald veilig als je deze EXE kan vervangen met je eigen versie.

Door Tweakers user CodeCaster, woensdag 24 juni 2009 23:57

Volgende week in Nova: het bezoeken van websites geeft je computer een virus!
En dan in het bijzonder wanneer je de aangepaste scrollbalk versleept...

Door Tweakers user svi79, donderdag 25 juni 2009 00:16

Where did i leave my tin-foil hat? Ik wordt zo moe van zulke programma's. Ja in een heel ver en extreem geval hebben ze soms heel misschien een punt. Meerendeel weten ze niet waar ze over lullen, en zitten wij weer 2 weken met domme zeikvragen van mensen die dit programma half gezien hebben, en wel vinden dat ze gelijk hebben. Want het was bij NOVA.

And then they blame me for being an asshole......

Door Tweakers user ScytheNL, donderdag 25 juni 2009 00:38

Weet je wat nou het probleem is? Sensatie voor de "domme" pc gebruiker. Het gaat hier om gewone USB sticks die je in de winkel koopt..niet zozeer om de autorun versies die als wat voor apparaat dan ook automagisch herkent worden. In dat geval is het natuurlijk handig voor Nova dat er zoveel mensen zijn die kijken die er eigenlijk met klapperende oren naar zitten te kijken en al in paniek raken als ze de helft hebben gezien.

Wat natuurlijk ook mee helpt is wat je zelf al aanschreef; crea-bea knip en plakwerk om de info zo globaal en angsaanjagend te krijgen zodat de meeste mensen een hartverzakking krijgen en meteen al hun familieleden met een usb stick opbellen om ze te waarschuwen...vergeet ook niet de collega's en vriendenkring. En presto, Nova heeft de volgende aflevering weer een redelijk aantal nieuwe kijkers erbij die ook wel als eerste op de hoogte willen zijn van alle dingen die de verkoper hun nooit heeft verteld/voor heeft gewaarschuwd. Al is het maar voor 1 of 2 afleveringen.

Door Tweakers user jetix189, donderdag 25 juni 2009 00:45

Volgende week in Nova: het bezoeken van websites geeft je computer een virus!
"en op novatv.nl een paar tips om te voorkomen dat u het slachtoffer wordt van een hackpoging" :+ :P

Door Tweakers user Emiel1984, donderdag 25 juni 2009 01:12

Wellicht dat microsoft binnenkort met een update komt om elke autorun te laten bevestigen door de gebruiker.

Door Tweakers user Kishi, donderdag 25 juni 2009 01:46

Haha wat een bedrog, dat knulletje met zijn "usb stick vol kwaadaardige programma's" vanaf 6:02, zie je gewoon een command prompt openen. Vervolgens zie je hem wat typen. Dan steekt hij op 6:30 die stick in de laptop, en dan komt ineens het shutdown-scherm met een timer. Hoe zou dat nu komen :+ , misschien op enter gedrukt om het commando "shutdown -s -t 30" uit te voeren? En dat noemt zich dan ICT onderzoeker aan de Radboud Universiteit ...

Door Tweakers user AtleX, donderdag 25 juni 2009 08:22

Afaik wordt autorun niet meer uitgevoerd op media anders dan DVD/CD/BR vanaf Windows 7. ;) En ik denk dat een hoop mensen toch het gevaar hiervan onderschatten. Wat als een gevonden USB-stick een keylogger installeert? 100 Goedkoper USB-sticks, keylogger erop en maar wachten tot een aantal mensen gaan telebankieren of een VPN opzetten naar hun werk en vervolgens heb je de benodigde gegevens.

@ Kishi: Proof of Concept?

[Reactie gewijzigd op donderdag 25 juni 2009 08:23]


Door Tweakers user Blokker_1999, donderdag 25 juni 2009 08:28

Een stick die niet van jouw is hoor je nu eenmaal niet in een PC te steken. Daarnaast is het zoals zo vaak zoeken naar een moeilijke balans tussen gebruiksgemak en veiligheid.

Door Tweakers user YopY, donderdag 25 juni 2009 09:11

Het welbekende baiting, niks nieuws, maar op zich wel goed dat het even weer onder de aandacht gebracht wordt. De berichtgeving kan beter natuurlijk (autorun = sqrt(evil)), maar het is een leuke poging.

Door Tweakers user DonJunior, donderdag 25 juni 2009 09:13

Je schrijft:
In plaats van mensen te onderwijzen over het beveiligen van hun gegevens wordt er weer het beeld geschept dat computers eng zijn, dat je zelf geen enkele invloed hebt, dat we omringd zijn met incompetente gebruikers en briljante hackers en criminelen, en dat de enige bescherming is om er zo ver mogelijk vandaan te blijven.
Ik ben van mening dat veel mensen zich zelf ook vaak van de domme houden.
Mensen roepen als snel "Dat kan ik niet" als er een foutmelding in het scherm springt (om maar wat te noemen) zonder dat ze überhaupt gelezen hebben wat er staat.
En stiekem, ben ik daar ook wel een beetje blij om..
Ik verdien aan de naïviteit van sommige mensen een flinke boterham (figuurlijk dan)
En ik leg ze elke keer netjes uit.. "De volgende keer als je dit krijgt.. kun je het op deze manier oplossen.." maar het maakt niets uit.. ze blijven bellen..

Door Tweakers user Volk, donderdag 25 juni 2009 09:43

Eerste vraag die mij mij opkwam is, hoe komt dat virus/malware/whatsoever op die usb stick terecht?

Volgens mij is het verspreiden van virussen via draagbare media (usb stick, diskettes, CD/DVD) nogal 1994.

Door Tweakers user Cruz, donderdag 25 juni 2009 10:08

Wij hebben vanuit TNO een jaar of 2 geleden op de InfoSecurity beurs nog USB sticks uitgedeeld die 'aangepast' waren. Als je ze zonder bescherming in een Windows PC stopte kreeg je een browser scherm dat je 'PC gehackt was', in het kader van security awareness.

Natuurlijk was de PC niet echt gehackt, maar het had zomaar gekunnen door andere software op de USB stick te laden. Er werd juist informatie getoond over de kwetsbaarheid en hoe het opgelost kan worden.

Het grote probleem in dit geval is de autorun functionaliteit van CD/DVD's. De USB stick (met inderdaad U3) emuleert een CD-drive, en op de CD-drive hadden we een autorun script gezet.

Een handmatige oplossing is om de SHIFT-key ingedrukt te houden tijdens het invoeren van een USB device. Permanent kan auto-run uitgeschakeld worden, of door een *nix systeem te gebruiken :)

Door Tweakers user 90710, donderdag 25 juni 2009 10:27

Je moet gewoon geen virussen op je USB stick kopiëren. Mijn persoonlijke USB stick heeft geen virus, of malware of wat dan ook, behalve mijn persoonlijke bestanden er op staan.

(Mijn persoonlijke bestanden zijn ook verschillende .Net applicaties, die niet allemaal even veilig zijn als de programma's die je op mn site vindt :p)

[Reactie gewijzigd op donderdag 25 juni 2009 10:28]


Door Test, donderdag 25 juni 2009 10:32

Ik zit nu in afrika voor vrijwilligerswerk. Nummer 1 probleem is autorun virussen die zich verspreiden met flash disks.

Ik heb de beste preventieve oplossing inmiddels gevonden:

1) Up-To-Date Anti virus voor zelf geopende virussen
2) Panda USB Vaccination Tool

Met deze tool zet je de hele autorun uit op de PC, en het heeft ook een NTFS hack zodat er een gelockte autorun op je flash kan raken waardoor een virus er nooit meer gebruik van kan maken. IDEAAL!

Door Tweakers user LuckY, donderdag 25 juni 2009 11:32

klein "dail home" programma,
Is het niet Dial Home ;)

Tevens is het wel degelijk mogelijk om elk type besturingssysteem te installeren.
Alleen moet je weten welk OS je wilt treffen, sommige bekende linux distrubutie's geven ook automatisch een autorun, als je daar dan een shellcode in zet o.i.d. kan je ook zooi uithalen.
En als er OSX gebruikt wordt zou het ook mogelijk kunnen zijn( ligt ernaan hoe diep dat je gaat).
Soms is informatie verzenden al genoeg om aan te tonen.

Echter brengen ze het wel altijd op een !!!!~```11111!!!!!! HACKS manier :+

@ test hierboven,

start => run => gpedit.msc => computer configuration=> administrative templates => system => Disable autorun => enable => on all devices.

tevens @ de documentair, hoe zeker weten ze dat het in een eigen pc is gedaan op het netwerk en niet een prive laptop of thuis op een laptop.

Ze vertellen namelijk niks over whoislookups

[Reactie gewijzigd op donderdag 25 juni 2009 11:58]


Door Tweakers user Gerco, donderdag 25 juni 2009 12:12

Wat ik belangrijker vind... hoe krijg je het voor elkaar om uitzendinggemist in een losse quicktime player te bekijken op je mac? Bij mij blijft uitzendinggemist.nl harnekkig WMV sturen, hoe vaak ik ook roep dat ik graag quicktime wil zien.

Door Tweakers user Exile_NL, donderdag 25 juni 2009 12:37

Men hoeft de "Run mij" knop helemaal niet te verbergen,
laat mensen een window zien wat ingewikkeld maar niet bedreigend,
"De USB-Stick is aangesloten en kan gebruikt worden "OK" knop erbij die troep uitvoert,
95% gaat voor de bijl

Door Tweakers user Depep, donderdag 25 juni 2009 13:14

Het feit blijft wel dat dit dial home programma bij een kwart van de geplaatste sticks werd aangeroepen. Dat had dus ook een willekeurig ander programma kunnen zijn. Natuurlijk gaat het hier niet zo zeer om onveilige hard- of software, maar om onwetende gebruikers die het probleem veroorzaken. Dit doet echter niets af aan het feit dát het een probleem is.

De oplossing lijkt me wel eenvoudig en ik snap ook niet dat dit nooit bij de betreffende bedrijven is toegepast. Je kunt namelijk simpelweg autorun disablen voor alle type drives.

Reactie formulier
(verplicht)
(verplicht, maar wordt niet getoond)
(optioneel)