Prezentacija predstavlja pregled USB napada. U prvom delu prezentacije predstavljena je mapa modela pretnji. Nakon toga, opisan je targetni modul koji cine ljudski, aplikacioni, transportni i fizicki sloj. Za svaki sloj dato je objasnjenje najznacajnijih napada i njihovih mitigacija, kao i najbolje resenje. Na kraju prezentacije je istaknut future work i sacinjena je rekapitulacija celokupnog istrazivanja. Sve informacije su dobijene anailzom naučnih radova na temu USB napada, čije reference se mogu naći na kraju prezentacije.
5. NAPADAČI TARGETNI MODUL
RESURSI
MITIGACIJE
NAPADI
PRETNJE
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija
podataka
Keystroke injection
Injektovanje
malicioynog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Signal injection
USB baiting
Stuxnet worm
Crosstalk leakage
attacks
USBKiller
Sniffing attack
Juice jacking
Keystroke injection
attacks
BadUSB attacks
Enkripcija
podataka
Disable-ovanje usb
portova
Security training
Antivirus
USBFilter
ProvUSB
USB condom
DeviceVeil
Enkripcija USB
protokola
LC i LDO za
razdvajanje vodova
Cinch
USBlock
Malboard
SandUSB
UScramBle
Računari bez
drajvera
Lični podaci
Osetljivi podaci
Periferni uređaji
Firmware
Fajl sistem
HDD
Ljudski sloj
Aplikacioni sloj
Transportni sloj
Fizicki sloj
GoodUSB
FirmUSB
USBFuzz
7. Injektovanje
malicioynog koda
Keystroke injection
Krađa podataka
Eksfiltracija osetljivih
infrormacija
Osetljivi podaci
Lični podaci
PRETNJE
NAPADI RESURSI
MITIGACIJE
Enkripcija
podataka
Onemogućavanje
USB portova
Security training
NAPADAČI
USB baiting
Brisanje ili
modifikacija podataka
Ljudski sloj
10. Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Data extraction
Stuxnet worm
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Antivirus
USBFilter
ProvUSB
USB condom
DeviceVeil
Enkripcija USB
protokola
optičko razdvajanje
USB vodova podataka
+ 5V napon
LC i LDO za
razdvajanje vodova
Aplikacioni sloj
Lični podaci
Osetljivi podaci
PRETNJE
NAPADI RESURSI
MITIGACIJE
NAPADAČI
11. NAPAD PRETNJE RESURSI
Stuxnet worm
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
Aplikacioni sloj
12. Širi se na uređaje u lokalnoj mreži
2010. ubačen preko USB fleša
Summary of Stuxnet worm operation [4]
Stuxnet worm
Ubrizgavanje koda
13. NAPAD PRETNJE RESURSI
Stuxnet worm
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioynog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
Antivirus
MITIGACIJA
Aplikacioni sloj
15. USBFilter
Exfiltration of
sensitive data
Deletion or
modification of data
Keystroke injection
Malicious code
injection
Firmware access
Data theft
Eavesdropping on
communication
channels
Personal data
Sensitive data
Peripherals
Firmware
File system
Stuxnet worm
NAPAD PRETNJE RESURSI
MITIGACIJA
Aplikacioni sloj
16. USBFIlter
Zbog jednostavnosti podržanih
pravila napadač može da ih
zaobiđe.
Overhead prilikom svakog slanja
paketa.
Determinističko rešenje koje
otkriva već poznate napade.
✓ ╳
Svi fizički ili virtuelni uređaji
moraju proći kroz USBFILTER pre
isporuke na željeno odredište
USBFILTER se ne može zaobići ili
onemogućiti sve dok se održava
integritet OS
Korisnički definisana pravila
moraju biti verifikovana
ProvUSB
17. Stuxnet worm
ProvUSB
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioynog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
NAPAD PRETNJE RESURSI
MITIGACIJA
Aplikacioni sloj
18. ✓ ╳
DeviceVeil
Pouzdana identifikacija host-a
Odgovor na pitanje gde i kada je
malware inficirao sistem
ProvUSB
Blokovi moraju da podržavaju
čitanje i pisanje → mali prostor
mogućnosti za malware
propagaciju
Zahteva uređaje sa OS
Nema individualnu
autentifikaciju
19. DeviceVeil
DeviceVeil
Stuxnet worm
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioynog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
NAPAD PRETNJE RESURSI
MITIGACIJA
Aplikacioni sloj
20. ✓ ╳
Individualna autentifikacija
uređaja (PUF)
Overhead za vreme insert-ovanja
uređaja
Ne zavisi od OS
Ne može zaštiti OS od dozvoljenih
(malicioznih) uređaja
Nije kompatibilan sa legacy sistemima
Zahteva izmene hardvera
Ne može sprečiti curenje informacija
Data extraction
DeviceVeil
21. NAPAD
Data extraction
PRETNJE RESURSI
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
Aplikacioni sloj
23. Data extraction
DeviceVeil
USB condom
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioynog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
NAPAD PRETNJE RESURSI
MITIGACIJA
Aplikacioni sloj
24. ✓ ╳
Dostupan u prodaji
Enkripcija
USB
protokola
USB condom
Vodovi podataka i strujni vodovi
su isprepleteni
Pristupačan je
25. Data extraction
DeviceVeil
Enkripcija USB
protokola
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioynog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
NAPAD PRETNJE RESURSI
MITIGACIJA
Aplikacioni sloj
26. ✓ ╳
Grantuje integritet poruka LC i LDO za
razdvajanje
vodova
Uređaj mora da ima dovoljno snage
Enkripcija USB
protokola
optičko
razdvajanje USB
vodova
podataka + 5V
napon
Diffie-Hellman Key Exchange
27. Data extraction
DeviceVeil
LC i LDO za
razdvajanje
vodova
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioynog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
NAPAD PRETNJE RESURSI
MITIGACIJA
Aplikacioni sloj
28. Data extraction
DeviceVeil
optičko
razdvajanje USB
vodova podataka
+ 5V napon
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
NAPAD PRETNJE RESURSI
MITIGACIJA
Aplikacioni sloj
30. Prikupljanje i praćenje
porekla na USB uređajima
Istorija manipulacija na
objektu podataka
Snimanje čitanja i pisanja na
block sloju
Odgovor na pitanje gde i kada
je malware inficirao sistem
Pouzdana identifikacija host-
a
TPM (Trusted Platform
Module)
Komunikacija
preko USB kanala
ProvUSB
31. DeviceVeil design overview [4]
Identifikuje individualno USB
uređaje
Overhead samo prilikom
insert-ovanja uređaja
PUF u USB-u
Specijalizovan hardver
Kombinacija sa ProvUSB-om
DeviceVeil
33. Rubber Ducky
Rubber Ducky
PHUKD
USB Driveby
Logic bomb
Man in the middle
attack
Ransomware
Raspiducky
Raspiducky
USBFilter
Cinch
USBlock
Framework za
detekciju Malborda
DeviceVeil
FirmUSB
USBFuzz
GoodUSB
Transportni sloj
NAPADI MITIGACIJE
NAPADAČI
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
34. Rubber Ducky
Rubber Ducky
PHUKD
USB Driveby
Raspiducky
Raspiducky
NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
35. Ponaša se kao tastatura i ima instalirane keystrokes-e
Kad ga konektujemo na računar ponaša se kao tastatura i keystrokes se automatski pokreću, ima
veliku brzinu - 1000 reči po minuti
Rubber Ducky
Komande se pišu u Ducky skriptama
36. Raspiducky
Softver otvorenog koda, napravljen preko Raspberry Pi Zero W
Emulacija USB fleš diska
Emulacija tastature
Izvršavanje komandi preko Bluetooth-a
Brzo kucanje
37. PHUKD
Fizički keylogger koji je napravljen pomoću Teensy
mikrokontrolera, u stanju da skladišti keystrokes-e
Moguće je definisati tačno vreme izvršavanja napada
Brzo kucanje
PS/2 keyboard port
Teensy
SD adapter
39. Rubber Ducky
Rubber Ducky
PHUKD
USB Driveby
Raspiducky
Raspiducky
NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
DeviceVeil
USBFilter
MITIGACIJA
40. USBFIlter
Zbog jednostavnosti podržanih
pravila napadač može da ih
zaobiđe.
Overhead prilikom svakog slanja
paketa.
Determinističko rešenje koje
otkriva već poznate napade.
✓ ╳
Svi fizički ili virtuelni uređaji
moraju proći kroz USBFILTER pre
isporuke na željeno odredište
USBFILTER se ne može zaobići ili
onemogućiti sve dok se održava
integritet OS
Korisnički definisana pravila
moraju biti verifikovana
Cinch
41. Rubber Ducky
Rubber Ducky
PHUKD
USB Driveby
Raspiducky
Raspiducky
NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
DeviceVeil
Cinch
MITIGACIJA
42. Cinch
✓ ╳
USBlock
Izoluje USB uredjaj od host-a
Prosleđivanje komunikacije kroz
virtuelnu mašinu - gateway
Sprovođenje bezbedne
politike - security policies
Usmeravanje USB saobraćaja
na zaštićenu mašinu
Moguće eksploatisanje bug-ova
Uticaj na performanse nije
prihvatljiv za audio i video uređaje
Nema individualnu
autentifikaciju
Overhead za vreme komunikacije
sa USB-om
43. Rubber Ducky
Rubber Ducky
PHUKD
USB Driveby
Raspiducky
Raspiducky
NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
DeviceVeil
USBlock
MITIGACIJA
44. ✓ ╳
Framework
za detekciju
Malbord-a
USBlock
Ne može da se brani protiv napada
na BIOS nivou.
Zasniva se na informacijama na
nivou operativnog sistema
Novije rešenje, ne oslanja se na
učešće korisnika o odluci o
poverenju
Jednostavno, efikasno i
nadogradivo
Zasnovano na analizi USB
paketa saobraćaja
Koristi vremenski jaz između
dinamike kucanja ljudi i
keystroke injection napada
Razlikuje normalno od
abnormalnog kucanja (AKS-a)
46. USBlock
03
Cinch
02
USBFILTER
01
Prva dva rešenja sprečavaju keystroke
injection napade na osnovu nepoznatih VID i
PID. Međutim Malbord uspešno izvršava
imitaciju VID i PID od tastature, tako da ne
mogu da ga prepoznaju.
Malbord može da se izvrši iako postoji
USBlock zaštita. Moguće je izvršiti dok
korisnik nije za računarom, jer je dinamika
pritiska na taster slična ljudskoj dinamici.
47. USB Host Shield Mini omogućava Teensy-ju komunikaciju sa tastaturom.
Teensy je zadužen da kopira VID i PID tastature.
ESP8266 služi za konektovanje na
Wi-Fi mrežu.
Malboard overview [6]
Malbord
Generiše keystrokes-e koji imaju iste osobine ponašanja kao i žrtva napada.
48. Rubber Ducky
Rubber Ducky
PHUKD
USB Driveby
Raspiducky
Raspiducky
NAPAD
Malbord
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
DeviceVeil
Framework za
detekciju
Malboard-a
MITIGACIJA
49. NAPAD
Transportni sloj
Logic bomb
Man in the middle
attack
Ransomware
PRETNJE RESURSI
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
50. Man in the middle
attack
Napad gde napadač tajno
presreće i prenosi poruke
između 2 strane koje
komuniciraju međusobno
Potrebna 2 prilagođena USB
hardware-ska uređaja
51. Logic bomb
Briše datoteke
Briše hard diskove
Oštećuje podatke
Cilj da se nanese šteta kada se
ispune određeni uslovi
Zlonamerni kod se diskretno
instalira u softver, računarsku
mrežu ili OS
Pokretanje u određenom
trenutku
52. IRON HID
Sakriven Tensy board na
mestima kao što su tastature i
prenosive USB baterije
USB On-To-Go kabl
Prisluškivanje usb
komunikacije
Injektovanje lažnih pritisaka
na tasaturi sa ciljem nasilnog
otključavanja ekrana
53. Bad Android
Punjenje telefona na laptopu
žrtve
Menja rutiranje tabela host-
ovog sistema
Menja default-ni mrežni
gateway od laptopa na IP
adresu telefona
Sav mrežni saobraćaj
usmeren preko telefona
Promena unosa za DNS
servere laptopa i
redirektovanje saobraćaja na
kompromitovane servere
54. NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
Logic bomb
Man in the middle
attack
Ransomware
DeviceVeil
USBFilter
MITIGACIJA
55. USBFIlter
Zbog jednostavnosti podržanih
pravila napadač može da ih
zaobiđe.
Overhead prilikom svakog slanja
paketa.
Determinističko rešenje koje
otkriva već poznate napade.
✓ ╳
Svi fizički ili virtuelni uređaji
moraju proći kroz USBFILTER pre
isporuke na željeno odredište
USBFILTER se ne može zaobići ili
onemogućiti sve dok se održava
integritet OS
Korisnički definisana pravila
moraju biti verifikovana
Cinch
56. NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
Logic bomb
Man in the middle
attack
Ransomware
DeviceVeil
Cinch
MITIGACIJA
57. Moguće eksploatisanje bug-ova
Nema individualnu autentifikaciju
✓ ╳
DeviceVeil
Cinch
Uticaj na performanse nije
prihvatljiv za audio i video uređaje
Overhead za vreme komunikacije
sa USB-om
Izoluje USB uredjaj od host-a
Prosleđivanje komunikacije kroz
virtuelnu mašinu -gateway
Sprovođenje bezbedne
politike - security policies
Usmeravanje USB saobraćaja
na zaštićenu mašinu
58. NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
Logic bomb
Man in the middle
attack
Ransomware
DeviceVeil
DeviceVeil
MITIGACIJA
59. USBFIlter
Nije kompatibilan sa legacy
sistemima
Ne može zaštiti OS od dozvoljenih
(malicioznih) uređaja
Zahteva izmene hardvera
✓ ╳
USBlock
DeviceVeil
Ne može sprečiti curenje
informacija
Individualna autentifikacija
uređaja (PUF)
Overhead za vreme insert-ovanja
uređaja
Ne zavisi od OS
60. NAPAD
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionih kanala
Personal data
Sensitive data
Periferni
uređaji
Firmware
Fajl sistem
Lični podaci
Osetljivi podaci
PRETNJE RESURSI
Transportni sloj
Logic bomb
Man in the middle
attack
Ransomware
DeviceVeil
USBlock
MITIGACIJA
62. Osmišljen je framework za detekciju Malboard napada, ovo rešenje obuhvata tri modula za detekciju koja su
zasnovana na bočnim kanalima i oni su:
1) Detekcija zasnovana na potrošnji energije
2) Detekcija na osnovu kašnjenja zvuka pritiska na
tasteru
3) Otkrivanje na osnovu inspekcije brisanja u kucanju
Framework za detekciju
Malborda
63. Novije rešenje, ne oslanja se
na učešće korisnika o odluci o
poverenju
Jednostavno, efikasno i
nadogradivo
Zasnovano na analizi USB
paketa saobraćaja
Koristi vremenski jaz između
dinamike kucanja ljudi i
keystroke injection napada
Razlikuje normalno od
abnormalnog kucanja (AKS-a)
RES
t=0.02 s=3
Sequence
threshold
Time
threshold
Detektovao
se RES
USB
MONITOR
USBlock
65. USBKiller
Sniffing attack
Juice jacking
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionoh
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
SandUSB
UScramBle
Cinch
Security training
Računari bez
drajvera
HDD
Signal injection
Fizički sloj
PRETNJE
NAPADI RESURSI
MITIGACIJE
NAPADAČI
66. NAPAD PRETNJE RESURSI
Fizički sloj
Juice jacking
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionoh
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
HDD
Signal injection
67. Juice jacking
Charging cable napad
USB port ima dvostruku funkciju, punjenja i prenosa podataka,
USB uređaj može nenamerno dati pristup podacima
zlonamernom hostu tokom punjenja.
Napadač bez potrebe za bilo kakvom dozvolom od strane
vlasnika tog uređaja može instalirati malver ili može rukovati
osetljivim podacima korisnika.
USB charging station USB charging interface Shareable Power Bank USB charging in hotel
68. PRETNJE RESURSI
Fizički sloj
Juice jacking
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionoh
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
HDD
Signal injection
DeviceVeil
SandUSB
MITIGACIJA
NAPAD
69. NAPAD PRETNJE RESURSI
Fizički sloj
Sniffing attack
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionoh
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
HDD
Signal injection
71. PRETNJE RESURSI
Fizički sloj
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionoh
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
HDD
Signal injection
DeviceVeil
UScramBle
MITIGACIJA
NAPAD
Sniffing attack
72. USBFIlter
Ne važi za USB 3.0 verzije i veće
Ne štiti od malicioznih ili
kompromitovanih hub-ova koji
vide ključ
✓ ╳
Cinch
UScramBle
bezbedno slanje i razmena ključa
73. PRETNJE RESURSI
Fizički sloj
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionoh
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
HDD
Signal injection
DeviceVeil
Cinch
MITIGACIJA
NAPAD
Sniffing attack
74. NAPAD PRETNJE RESURSI
Fizički sloj
USBKiller
Eksfiltracija osetljivih
podataka
Brisanje ili
modifikacija podataka
Keystroke injection
Injektovanje
malicioznog koda
Pristup firmware-u
Krađa podataka
Prisluškivanje
komunikacionoh
kanala
Lični podaci
Osetljivi podaci
Periferni
uređaji
Firmware
Fajl sistem
HDD
Signal injection
Security
training
Računari bez
drajvera
76. Izoluje USB uredjaj od host-a
Prosleđivanje komunikacije
kroz virtuelnu mašinu -
gateway
Sprovođenje bezbedne
politike - security policies
Usmeravanje USB saobraćaja
na zaštićenu mašinu
Security
policies
Signature policy
Compliance policy
Cinch’s crypto Policy
Containment policy
Cinch’s logging Policy
Security
policies
Cinch overview [7]
Cinch
77. Arhitektura sistema SandUSB se sastoji od sledeća tri glavna procesa:
Samostalni gadget koji predstavlja zaštitni sloj između USB uređaja i host računara.
SandUSB
SandUSB workflow [8]
1. Numeracija uređaja i crna lista
2. Skeniranje i analiza
3. Pasivna analiza USB paketa
78. Future work
➔ Nastaviti sa istraživanjem izabranih
najboljih rešenja.
➔ Istražiti detaljnije njihovu arhitekturu i
implementaciju.
➔ Napisati novi rad u kom će biti izložen
predlog novog mehanizma koji bi
mogao da štiti od USB napada po
svim slojevima.
79. Ljudski sloj
Security training
Fizički sloj
Cinch + SandUSB
Transportni sloj
Framework za detekciju Malbord-a +
USBlock
Aplikacioni sloj
ProvUSB + DeviceVeil + Optičko
razdvajanje USB vodova podataka
TARGET MODULE
Zaključak
80. [1] SoK: "Plug & Pray" Today – Understanding USB Insecurity in Versions 1 Through C
[2] USB-based attacks
[3] Users Really Do Plug in USB Drives They Find
[4] Provusb: Block-level provenance-based data protection for usb storage devices
[5] DeviceVeil: Robust Authentication for Individual USB Devices Using Physical Unclonable Functions
[6] Making USB Great Again with USBFILTER
[7] USB Snooping Made Easy: Crosstalk Leakage Attacks on USB Hubs
[8] USBlock: Blocking USB-Based Keypress Injection Attacks
[9] Malboard: A novel user keystroke impersonation attack and trusted detection framework based on side-channel analysis
[10] Defending against Malicious Peripherals with Cinch
[11] A transparent defense against USB eavesdropping attacks
[12] Charger-Surfing: Exploiting a Power Line Side-Channel for Smartphone Information Leakage
[13] SandUSB: An installation-free sandbox for USB peripherals
Related papers