En läsarfråga som egentligen handlade om Flipper Zero har inkommit, men då detta inte är specifikt för Flipper Zero så kommer jag att förklara vad ”BadUSB” (Dålig/Farlig USB) egentligen är. Jag återkommer till vad Flipper Zero har med det hela att göra, även om det är uppenbart om du läser vidare.
BadUSB är en allvarlig sårbarhet i USB-systemet som blev känt redan 2014. Den utnyttjar de fasta program (firmware) som finns i varje USB-minne och styr dess funktioner. En BadUSB-attack innebär att en USB-enhet manipuleras för att automatiskt utföra skadliga handlingar när den ansluts till en dator. Detta kan inkludera att stjäla data, installera skadlig programvara, eller ta kontroll över datorn. Angripare kan använda dessa attacker för att få obehörig åtkomst till känslig information eller för att sabotera system.
Hur blir man attackerad av BadUSB?
Det absolut vanligaste sättet är att en USB-sticka med manipulerad firmware placeras någonstans där måltavlan enkelt kan hitta den. Ibland räcker det med att lägga ett USB minne utanför ett kontor, i en korridor, på ett fikabord eller, om det är möjligt, lägga den direkt på skrivbordet till den man vill attackera.
När måltavlan i fråga hittar minnet så börjar denne fundera ”vad är detta för USB-sticka? Den kommer jag inte ihåg…” nästa handling är att dom stoppar in den i datorn för att kontrollera innehållet. Ren nyfikenhet är också en otroligt vanlig motivator.
Direkt USB-stickan ansluts till datorn så går det blixtsnabbt. En bra skriven ”BadUSB”-attack kommer inte att märkas överhuvudtaget. Måltavlan kommer troligen inte ens att förstå att den blivit attackerad. Du får INTE något meddelande om att köra program, du får ingen förvarning och du behöver inte klicka på ”JA” någonstans för att attacken ska genomföras. Direkt du stoppar in USB-stickan i din dator så är det försent att stoppa den.
Ett annat sätt för hackers att attackera datorer är att dom helt enkelt väntar tills du går och hämtar kaffe, kopplar in en BadUSB på din dator och några sekunder senare har dom full kontroll. Dom kopplar ur USB enheten och går iväg igen… Inom loppet av sekunder. Skrämmande effektivt.
Varför är BadUSB-attacker så farliga (och effektiva)?
Det som gör BadUSB-attacker så farliga är att det går otroligt snabbt att bli attackerad. Attacken går oftast obemärkt igenom samtliga skydd på en dator och går att utföra utan att lämna tydliga spår. Det är otroligt svårt för ett säkerhets-team att identifiera och reagera på hotet, eftersom det går att utföra både slumpmässigt och målspecifikt utan att väcka misstankar.
Det är också, trots sin sofistikerade attack, en väldigt billig enhet att tillverka själv. I grund och botten så kostar en otroligt effektiv BadUSB-attack runt 60-80 kr att genomföra. Om det gäller hög-säkerhets hacking, så kan man säga att det är otroligt billigt. Detta gör i sin tur att en hacker kan sprida ur flera enheter på ett företag för att få snabbare kontroll över flera datorer, eller vara säker på att den tänkta måltavlan (Chefer, IT administratörer och andra med hög behörighet) blir attackerad.
Många hackers använder dessutom Raspberry Pi Pico för att använda som en ännu mer sofistikerad och avancerad attack-enhet. En otroligt billig microdator som kan utföra otroligt avancerade attacker på en väldigt kort tid.
Hur kan man då skydda sig mot BadUSB-attacker?
Att upptäcka en BadUSB-attack kan vara svårt eftersom dessa attacker ofta är utformade för att vara osynliga för traditionella säkerhetsåtgärder. Även om du har antivirus eller andra skyddslösningar så är BadUSB oftast otroligt effektiv. Datorn och alla skyddsprogram tror helt enkelt att det är du som utför handlingarna och tillåter detta utan ”diskussion”.
Vad man kan göra för att skydda sig mot denna form av attack är att hålla sin dator och programvara uppdaterad och använda sunt förnuft. Om du hittar en USB-sticka i en korridor på jobbet, anslut INTE den till din dator. Lämna inte heller dina USB-stickor framme så att en potentiell attack kan utföras med en USB-sticka som ser ut exakt som din, vilket är den effektivaste attacken.
Lämna aldrig din dator olåst när du går på toaletten eller hämtar kaffe/te, även om du ”bara blir borta några minuter”. Det tar bara sekunder för BadUSB.
Om du är ansvarig för säkerheten för ditt företag och använder Windows i en Enterprise miljö så kan du begränsa möjligheterna för användare att kunna göra förändringar i datorns system, vilket kan vara effektivt för att skydda en dator mot BadUSB-attacker. Många av attackerna kräver att användaren som är inloggad på datorn har behörigheter att utföra handlingen som den vill utföra. Om en användare inte kan utföra en handling på grund av policys, då kan attacken inte heller genomföras korrekt.
Värt att tänka på.
Om man blivit attackerad med BadUSB, hur vet man det?
Om din dator börjar bete sig konstigt efter att du anslutit en USB-enhet, till exempel oväntade popup-fönster eller program som startar upp av sig själva, kan detta vara tecken på en attack. Men det är förstås inte säkert att det är så heller.
Ibland när Windows uppdaterar saker i bakgrunden så kan kommandotolken dyka upp för en halv-sekund i bakgrunden när något i systemet uppdateras. Vilket är helt normalt. Då många har automatisk uppdatering på Windows så kan också detta ske lite när som helst, utan förvarning.
Man ska dock vara uppmärksam på ovanligt beteende från sin dator. Det är det enklaste sättet att få kontroll på läget.
Om du blivit attackerad av en hacker när din dator varit upplåst, men du varit på exempelvis toaletten. Då är det otroligt svårt att avgöra om något överhuvudtaget har skett. Jag skulle vilja säga att det i princip är omöjligt att avgöra detta, så länge hackern inte gjort någon allvarlig miss.
Vad har då Flipper Zero med detta att göra?
Det borde vara uppenbart vid det här laget och jag borde inte behöva skriva något, men Flipper Zero kan förstås agera som en BadUSB och attackera en dator med avancerade scripts. Dessutom kan den anfalla Windows, Linux, MacOS och många andra operativsystem precis lika bra. Vilket gör Flipper Zero otroligt effektiv på just denna attack.
Att attackera med en Flipper Zero är alltså ett scenario där man uteslutande hackar en dator ”på plats” medan måltavlan är och hämtar kaffe, eller går på toaletten. Att lämna den någonstans i hopp om att någon ska anfalla sig själv är lite väl positivt tänkande av en hacker. 🤣
En disclaimer
Jag förstår att det låter otroligt roligt att ”pranka” dina arbetskamrater med en BadUSB-attack. Det finns många harmlösa attacker som spelar en irriterande låt när du stoppar i USB enheten i datorn eller liknande. Det kan även vara en ”ögonöppnare” för många nyfikna som funderar vad som finns på USB minnet.
Personen i fråga gör garanterat inte om misstaget igen om BadUSB skriver ett mail och skickar det till säkerhetsavdelningen, med en förklaring vad användaren har gjort. Exempelvis.
Även om det är roligt så är det rent tekniskt olagligt att utföra en sådan attack på dom flesta företag, även om du ”bara ville skämta”. Du ska därför tänka till ordentligt innan du genomför ett sådant ”prank”.
Om du arbetar med datasäkerhet så kan det förstås vara en bra övning för att öka medvetenheten på företaget. I utbildningssyfte så är det förstås otroligt roligt att anfalla en kollega som glömt att låsa sin dator, men gör inget dumt baserat på vad jag skriver, även om det låter roligt.
Slutligen
Jag hoppas att informationen rörande BadUSB har fått upp ögonen för denna attack, som fortfarande, trots att den är 11 år gammal (?!), är en av dom mest effektiva sätten att ta kontroll över en dator. Det som gör den otroligt effektiv är att man nyttjar ”features” som finns inbyggda i USB-standarden. Det går alltså inte att stoppa denna attack på något konventionellt sätt, och absolut inte på ett sätt som inte påverkar användarens upplevelse av datorn på ett negativt sätt.
Hur som helst.
Ha en riktigt bra dag så hörs vi snart igen.