Item in NOVA over USB sticks

Sjah, autorun he. Zo'n mooie Windows-feature waardoor code gewoon uitgevoerd wordt zodra je het ding erin stopt.

Dat moet je behoorlijk expliciet uitschakelen, wat maar weinig mensen/bedrijven doen.

Als code eenmaal draait, kun je, zoals het item zegt, inderdaad gewoon alles.

[ Voor 79% gewijzigd door serkoon op 24-06-2009 23:11 ]

ja dat kan als autostart aan staat en je windows gebruikt en als admin bent ingelogd ... andere combinaties zijn ook mogelijk. was een leuk item!

Goner schreef op woensdag 24 juni 2009 @ 23:07:
Ik kan me voorstellen dat als je een programma op die stick start of een bestand met macro's erin opent, dat er dan iets gebeurt, maar uit zichzelf starten ?

Nog nooit gehoord van autorun ?
Ja, dat werkt ook op PC's waar dat door slecht beheer niet is uitgeschakeld.

Autorun gebruiken op removable storage is één van de verspreidingsmechanismen die malware als Virut gebruikt.

Weer zo'n voorbeeld waar gebruiksgemak na X aantal jaren vanzelf een misbruiksgemak wordt.

serkoon schreef op woensdag 24 juni 2009 @ 23:10:
1 woord: autorun

(Een Windows-feature, natuurlijk)

Leuk, maar dat werkt niet op USB-apparaten.



Het fabriceren van een dergelijk scherm is mogelijk, maar de gebruiker moet actie ondernemen voor er daadwerkelijk iets opgestart wordt vanaf de USB-stick.

serkoon schreef op woensdag 24 juni 2009 @ 23:10:
1 woord: autorun

(Een Windows-feature, natuurlijk)

Autorun inderdaad. Met U3 USB sticks is het nog makkelijker, ik ben wel eens een programma tegengekomen dat je op je U3 kan installeren die ook zoiets kan. Als je hem in je PC stopt autorunt dat programma en slaat hij zoveel mogelijk informatie op in een tekstbestand (wachtwoorden van verschillende programma's, ip en allemaal andere informatie over de computer).

edit:

CodeCaster schreef op woensdag 24 juni 2009 @ 23:12:
[...]

Leuk, maar dat werkt niet op USB-apparaten.

[afbeelding]

Het fabriceren van een dergelijk scherm is mogelijk, maar de gebruiker moet actie ondernemen voor er daadwerkelijk iets opgestart wordt vanaf de USB-stick.

Dat kan dus wel, met bovengenoemde U3 USB sticks.

Een U3 doet zich voor als een USB hub waar een CD speler en normale USB stick is op aangesloten. Doordat de computer denkt dat het dus een CD is maakt dat autorun mogelijk.

[ Voor 38% gewijzigd door g0tanks op 24-06-2009 23:15 ]

En wat zal menig gebruiker doen? Juist, op Enter rammen want ik wil zien wat die shit is weetjewel.

Shift ingedrukt houden bij inpluggen USB stick.

Overigens was dit tot voor kort wel default gedrag (want de doorsnee gebruiker gaat namelijk eerder over de rooie wanneer die niks ziet gebeuren en zich af moet vragen waar hij bij die inhoud komt) maar is er alweer een tijdje terug een security update door Microsoft uitgebracht die dit soort functionaliteit standaard uitschakelt.

Op een goed beheerd netwerk heeft die actie geen zin meer.

De grap is dat voor populaire Linux distro's er ook een Automount applicatie is die het gedrag nabootst voor Linux
Ach ja...

[ Voor 14% gewijzigd door alt-92 op 24-06-2009 23:19 ]

Overigens is USB zelf al redelijk ingewikkeld en zullen daarnaast veel OS'en sowieso filesystems op USB-sticks automounten, wat ook redelijk ingewikkeld is. Samen dus een best leuke attack surface.

Het is niet ondenkbaar dat zelfs al doe je geen autorun of al gebruik je Linux of Mac OS X, het inpluggen van een USB-device al malware op je systeem kan laten krijgen. Toegegeven, zoiets doet een aanvaller alleen voor hele specifieke targets, maar toch.

Zelfs zonder een actie van een gebruiker kan er een programma gestart worden. Het virus ctfmon.exe is daar een voorbeeld van.

CodeCaster schreef op woensdag 24 juni 2009 @ 23:12:
[...]

Leuk, maar dat werkt niet op USB-apparaten.

[afbeelding]

Het fabriceren van een dergelijk scherm is mogelijk, maar de gebruiker moet actie ondernemen voor er daadwerkelijk iets opgestart wordt vanaf de USB-stick.

Hier is het duidelijk te zien dat het om een ander programma gaat, maar dat is redelijk makkelijk te verbergen.

Stel je plugt als "gemiddelde computergebruiker" een usb-stick in je computer en je krijgt het volgende dialoog:


De foute keus is hier heel makkelijk gemaakt.

TheCoolGamer schreef op donderdag 25 juni 2009 @ 00:50:
[...]

Hier is het duidelijk te zien dat het om een ander programma gaat, maar dat is redelijk makkelijk te verbergen.

Stel je plugt als "gemiddelde computergebruiker" een usb-stick in je computer en je krijgt het volgende dialoog:
[afbeelding]

De foute keus is hier heel makkelijk gemaakt.

*verkeerd gelezen*

[ Voor 5% gewijzigd door Verwijderd op 25-06-2009 00:56 ]

och, ook wel raar dat de client firewall niks oppakt.... Tevens heeft autorun killen eigenlijk geen zin.
die nieuwsgierige aarschje's klikken toch wel ok elk programma op de usb stick.
Tja dan moet je USB en DVD roms gaan verbieden (hardware disablen/drivers removen) maarja dan krijg je allen maar gezeik. Tevens heeft het ook met de sector te maken waarin je werkt.
Dit is nog het minst ergen, het erge is dat als de andere partij

ziekenhuizen, ambassades, kantoren van politieke partijen, banken en noem maar op.

die USB sticks met data gaat verliezen.
Daarbij is het in vista _veel_ makkelijker gemaakt om autorun te disablen.

Dergelijke poorttoegang dien je uit te schakelen (eventueel met een stukje management software) en hooguit aan bepaalde groepen gebruikers het recht geven om het wel te kunnen gebruiken.

Equator schreef op donderdag 25 juni 2009 @ 08:28:
Dergelijke poorttoegang dien je uit te schakelen (eventueel met een stukje management software) en hooguit aan bepaalde groepen gebruikers het recht geven om het wel te kunnen gebruiken.

Tja, maar dat ligt ook aan de organisatie denk ik, (en het management)

Voor de mensen die het niet weten hoe het uitmoet:

Star -> run ==> gpedit.msc -> Computer Configuratie (Computer Configuration) -> Beheerssjablonen ( Administrative Templates) -> Systeem (system) -> Autoplay Uitschakelen(turn off Autoplay) -> Ingeschakeld (enabled)-> Alle stations (all drives)

Equator schreef op donderdag 25 juni 2009 @ 08:28:
Dergelijke poorttoegang dien je uit te schakelen (eventueel met een stukje management software) en hooguit aan bepaalde groepen gebruikers het recht geven om het wel te kunnen gebruiken.

En daar zit hem de hele oplossing in. Er horen helemaal geen USB sticks in workstations van belangrijke systemen gestopt te kunnen worden, en áls het al gebeurt mag het nooit zomaar gegevens door kunnen sluizen of een hele PC leegmaken. Mensen horen niet als Administrators te werken, en zéker niet in de genoemde situaties.

Tot slot: personeel moet worden verboden media van anderen te gebruiken, op straffe van stevige maatregelen. Dat geldt voor CD's, USB sticks, etcetera. En uiteraard horen ze áls ze al op internet kunnen, dat via een proxy te doen.

Zoals altijd is een kwetsbaarheid een combinatie van een onduidelijk beleid, zwakke beveiliging en gemakzuchtigheid.

Verwijderd schreef op donderdag 25 juni 2009 @ 08:37:
[...]

En daar zit hem de hele oplossing in. Er horen helemaal geen USB sticks in workstations van belangrijke systemen gestopt te kunnen worden, en áls het al gebeurt mag het nooit zomaar gegevens door kunnen sluizen of een hele PC leegmaken. Mensen horen niet als Administrators te werken, en zéker niet in de genoemde situaties.

Lijkt me duidelijk Maar mij hoef je niet te overtuigen

Tot slot: personeel moet worden verboden media van anderen te gebruiken, op straffe van stevige maatregelen. Dat geldt voor CD's, USB sticks, etcetera. En uiteraard horen ze áls ze al op internet kunnen, dat via een proxy te doen.

Mja, ik ben niet van de "diciplinary controls" maar veel meer van de technical controls. Gebruikers zijn dom, en doen dingen zonder er over na te denken. Dus vind ik dat dergelijke zaken (ook) technisch tegengehouden moeten worden.
[quote]

De tube bisonkit is een surefire mechanisme om USB devices onmogelijk te maken.

Alleen zo verrekte jammer dat tegenwoordig ps/2 aansluitingen steeds zeldzamer worden - sommige mainstream desktop borden in standaard systeempjes hebben al geen ps/2 aansluitingen meer...

alt-92 schreef op donderdag 25 juni 2009 @ 17:40:
De tube bisonkit is een surefire mechanisme om USB devices onmogelijk te maken.

Alleen zo verrekte jammer dat tegenwoordig ps/2 aansluitingen steeds zeldzamer worden - sommige mainstream desktop borden in standaard systeempjes hebben al geen ps/2 aansluitingen meer...

daar bestaat dan weer ducttape voor of erger

/offtopic
If you can't duct it, f*ck it

/ontopic
Maar wat ik dan niet snap: Het lijkt me toch dat dit programmatje een verbinding naar buiten zoekt. Er kon immers vanuit de Uni van Nijmegen worden bekeken welke usb stickies waren geactiveerd. Maar een firewall hoort zoiets toch te blokkeren? Of zie ik dit nou verkeerd? Kan ook zijn dat mensen lukraak op enter drukken

[ Voor 8% gewijzigd door prime9391 op 25-06-2009 18:25 ]

alt-92 schreef op woensdag 24 juni 2009 @ 23:11:
[...]

Nog nooit gehoord van autorun ?
Ja, dat werkt ook op PC's waar dat door slecht beheer niet is uitgeschakeld.

Autorun gebruiken op removable storage is één van de verspreidingsmechanismen die malware als Virut gebruikt.

Weer zo'n voorbeeld waar gebruiksgemak na X aantal jaren vanzelf een misbruiksgemak wordt.

Ik heb een keer een MP3 speler nieuw gehad (kerstpakket geloof ik) waar dat op stond. Dat is dus gewoon een grapjas in de fabriek geweest. Ik heb wel autorun, maar dan moet je nog steeds kiezen wat je runt (openen, verkennen enz) dus dan gebeurd er vrij weinig eigenlijk.

alt-92 schreef op donderdag 25 juni 2009 @ 17:40:
De tube bisonkit is een surefire mechanisme om USB devices onmogelijk te maken.

Alleen zo verrekte jammer dat tegenwoordig ps/2 aansluitingen steeds zeldzamer worden - sommige mainstream desktop borden in standaard systeempjes hebben al geen ps/2 aansluitingen meer...

Dan sluit je toch eerst het toetsenbord + muis aan, en dan een flinke laag kit er overheen spuiten?

Onbekend schreef op donderdag 25 juni 2009 @ 18:59:
[...]

Dan sluit je toch eerst het toetsenbord + muis aan, en dan een flinke laag kit er overheen spuiten?

En dan gooit er iemand een kop koffie over zijn toetsenbord heen. Ga jij even de draadjes van het nieuwe TB vastsolderen

prime9391 schreef op donderdag 25 juni 2009 @ 18:23:
/offtopic
If you can't duct it, f*ck it

/ontopic
Maar wat ik dan niet snap: Het lijkt me toch dat dit programmatje een verbinding naar buiten zoekt. Er kon immers vanuit de Uni van Nijmegen worden bekeken welke usb stickies waren geactiveerd. Maar een firewall hoort zoiets toch te blokkeren? Of zie ik dit nou verkeerd? Kan ook zijn dat mensen lukraak op enter drukken

En mag je ook niet meer browsen op de Uni?
als hij gewoon een http post maakt op een FTP connectie lijkt me niks aan de hand te zijn immers wordt dat ook veel voor normaal verkeer gedaan.

[b][message=32159397,noline]
Voor de mensen die het niet weten hoe het uitmoet:

Star -> run ==> gpedit.msc -> Computer Configuratie (Computer Configuration) -> Beheerssjablonen ( Administrative Templates) -> Systeem (system) -> Autoplay Uitschakelen(turn off Autoplay) -> Ingeschakeld (enabled)-> Alle stations (all drives)

Ik draai Vista Ultimate x64, maar ik heb die optie op die plek helemaal niet ....

LuckyY schreef op donderdag 25 juni 2009 @ 22:22:
[...]

En mag je ook niet meer browsen op de Uni?
als hij gewoon een http post maakt op een FTP connectie lijkt me niks aan de hand te zijn immers wordt dat ook veel voor normaal verkeer gedaan.

Zo bedoelt hij het denk ik niet, hij bedoelt waarschijnlijk de lokale firewall software/software van Windows zelf.

Al dat soort vragen werd dus niet behandeld, vandaar dat ik het een beetje paniekzaaiend item vond ... niets over autorun/play uitzetten, firewall met anti-leak, Linux (vooral bij overheid) werden niet genoemd. Alleen maar, als je een onbekende USB stick in je PC propt ben je verloren!
Nogal tendentieus ...

De risico's liggen niet zozeer bij particulieren, maar bij grote bedrijven en instellingen. Ook bedrijven zetten, zo blijkt regelmatig, autorun vrijwel nooit uit. Linux is irrelevant voor deze risico's: geen hond gebruikt het op corporate desktops. Firewall, antivirus? Niet relevant voor deze bedreiging.

Je moet bij uitgestrooide USB-sticks denken aan speciaal voor een doel geprepareerde software. Die software wordt niet herkend door antivirusproducten. Die software heeft geen last van firewall software op je Windowsmachine. Die software geeft een attacker wel toegang tot je bedrijfsnetwerk.

Afgezien daarvan valt er wel degelijk wat te nuanceren, wat het item inderdaad niet deed. Autorun is een belangrijke reden waarom zo'n USB-stick gevaarlijk is en het uitschakelen ervan maakt een flink verschil. Ook kun je allerlei andere technische maatregelen nemen om het risico zeer sterk te beperken. Het vervelende is alleen dat heel weinig bedrijven die maatregelen blijken te nemen. Het item heeft dat denk ik wel aangetoond.

-SaveMe- schreef op vrijdag 26 juni 2009 @ 14:23:
[...]


Ik draai Vista Ultimate x64, maar ik heb die optie op die plek helemaal niet ....

Start => control panel => autoplay

g0tanks schreef op vrijdag 26 juni 2009 @ 15:27:
[...]


Zo bedoelt hij het denk ik niet, hij bedoelt waarschijnlijk de lokale firewall software/software van Windows zelf.

Ja, en 9/10 users klikken gewoon op allow

serkoon schreef op zaterdag 27 juni 2009 @ 00:54:
[...]


De risico's liggen niet zozeer bij particulieren, maar bij grote bedrijven en instellingen. Ook bedrijven zetten, zo blijkt regelmatig, autorun vrijwel nooit uit. Linux is irrelevant voor deze risico's: geen hond gebruikt het op corporate desktops. Firewall, antivirus? Niet relevant voor deze bedreiging.

Je moet bij uitgestrooide USB-sticks denken aan speciaal voor een doel geprepareerde software. Die software wordt niet herkend door antivirusproducten. Die software heeft geen last van firewall software op je Windowsmachine. Die software geeft een attacker wel toegang tot je bedrijfsnetwerk.

Afgezien daarvan valt er wel degelijk wat te nuanceren, wat het item inderdaad niet deed. Autorun is een belangrijke reden waarom zo'n USB-stick gevaarlijk is en het uitschakelen ervan maakt een flink verschil. Ook kun je allerlei andere technische maatregelen nemen om het risico zeer sterk te beperken. Het vervelende is alleen dat heel weinig bedrijven die maatregelen blijken te nemen. Het item heeft dat denk ik wel aangetoond.

Ik geef je hier gelijk in, alleen steeds meer producten worden USB, dus er zou eigenlijk een oplossing moeten komen in de trent van.
Autorun overal uit (kan via de GPO) en een on acces scanner die gelijk removable devices plug en play scanned voordat windows erbij mag.

[ Voor 94% gewijzigd door LuckY op 27-06-2009 18:47 ]

Sterker nog, de recente Windows versies (vanaf XP SP2) hebben voldoende maatregelen ingebouwd om het runnen van executable content vanaf non-approved lokaties (waaronder portable media) uit te schakelen.

Je moet ze alleen wel gebruiken

[ Voor 3% gewijzigd door alt-92 op 27-06-2009 19:01 ]