Os riscos associados aos dispositivos USB

Dispositivos USB são a principal fonte de malware para sistemas de controle industrial, disse Luca Bongiorni da Bentley Systems durante sua palestra na #TheSAS2019. A maioria das pessoas envolvidas de alguma maneira com segurança já ouviram os contos clássicos sobre pendrives que caíram “acidentalmente” em estacionamentos – uma história comum sobre segurança que é ilustrativa demais para não ser recontada diversas vezes.

Outra história – real – sobre pendrives USB envolvia um funcionário de uma unidade industrial que queria assistir La La Land e decidiu baixar o filme em um pendrive durante o almoço. Assim começa a narrativa sobre como um sistema isolado de uma usina nuclear foi infectado – é um relato muito familiar sobre uma infecção de infraestrutura crítica extremamente evitável.
No entanto, as pessoas tendem a esquecer que dispositivos USB não estão limitados a pendrives. Dispositivos de interface humana (Human Interface Devices – HIDs) como teclados e mouses, cabos para carregar smartphones, e até mesmo objetos como globos de plasma e canecas térmicas, podem ser manipulados com a finalidade de atingir sistemas de controle industrial.

Uma pequena história sobre armas USB

Apesar do esquecimento das pessoas, os dispositivos USB manipulados não são uma novidade. Os primeiros dispositivos desse tipo foram criados em 2010. Com base em uma pequena placa programável chamada Teensy e equipados com um conector USB, tornaram-se capazes de agir como HDIs, por exemplo, pressionando teclas em um PC. Os hackers rapidamente perceberam que dispositivos podiam ser usados para testes de penetração e inventaram uma versão programada para criar novos usuários, executar programas para criar backdoors e injetar malware – copiando ou baixando o vírus de um site específico.

A primeira versão modificada da Teensy foi chamada de PHUKD. Kautilya, que era compatível com as placas Arduino, mais populares, veio em seguida. E então Rubberducky – talvez a ferramenta USB de emulação de teclas mais conhecida, graças ao Mr. Robot, que imitava exatamente a movimentação média do dedo polegar. Um dispositivo mais poderoso chamado Bunny foi usado em ataques contra caixas eletrônicos.

O inventor do PHUKD rapidamente teve uma ideia e criou um mouse “trojanizado” com uma placa integrada de testes de penetração para que, além de funcionar como um mouse normal, pudesse fazer tudo que o PHUKD é capaz de fazer. De uma perspectiva de engenharia social, usar HIDs verdadeiros para penetrar sistemas pode ser ainda mais fácil do que usar pendrives USB com o mesmo propósito, já que até mesmo as pessoas com conhecimento suficiente para saber que não se deve inserir um dispositivo desconhecido em seu computador geralmente não se preocupam com teclados ou mouses.

A segunda geração de dispositivos USB manipulados foi criada durante os anos de 2014 e 2015 e incluía os famigerados dispositivos BadUSB. O TURNIPSCHOOL e o Cottonmouth, supostamente desenvolvidos pela Agência de Segurança Nacional dos Estados Unidos (NSA), também merecem ser mencionados: eram dispositivos tão pequenos que podiam ser colocados dentro de um cabo USB e usados para extrair dados de computadores (incluindo computadores desconectados de qualquer rede). Apenas um simples cabo – nada que preocupe alguém, certo?

O estado moderno dos dispositivos USB manipulados

A terceira geração de ferramentas USB de testes de penetração acaba por atingir um outro nível. Uma dessas ferramentas é o WHID Injector, basicamente um Rubberducky com uma conexão WiFi. Dessa forma, não precisa ser programada inicialmente com tudo que deve fazer; um hacker pode controlar a ferramenta remotamente, o que oferece mais flexibilidade além da habilidade de trabalhar com diferentes sistemas operacionais. Outra invenção da nova geração é a P4wnP1, baseada no Raspberry Pi e que é como o Bash Bunny com algumas funcionalidades adicionais, incluindo conectividade wireless.

E, é claro, tanto o WHID Injector quanto o Bash Bunny são suficientemente pequenos para serem inseridos em um teclado ou mouse. Esse vídeo mostra um laptop que não está conectado a nenhuma rede por USB, Ethernet ou WiFi, mas possui um teclado “trojanizado” que permite que um criminoso execute comandos e programas remotamente.

Dispositivos USB pequenos como os mencionados acima podem até mesmo ser programados para parecerem um modelo específico de HID, o que permite que desviem de políticas de segurança de empresas que aceitam mouses e teclados apenas de fornecedores específicos. Ferramentas como o WHID Injector também podem ser equipadas com um microfone para estabelecer vigilância por áudio e espionar pessoas em uma empresa. Pior ainda, apenas um destes dispositivos é capaz de comprometer toda a rede – a não ser que esteja adequadamente segmentada.

Como proteger sistemas contra dispositivos USB manipulados

  • Teclados e mouses “trojanizados”, além de vigilância ou cabos maliciosos, são ameaças sérias que podem ser usadas para comprometer até mesmo sistemas isolados. Hoje em dia, as ferramentas usadas nestes tipos de ataques podem ser compradas por preços baratos e programadas sem qualquer habilidade de programação, de forma que precisam estar no seu radar. Para proteger infraestruturas críticas contra essas ameaças utilize uma abordagem multicamadas.
  • Garanta a segurança física primeiro, para que pessoas não-autorizadas não possam conectar dispositivos USB aleatórios a sistemas de controle industrial. Além disso, bloqueie fisicamente portas USB não-utilizadas nesses sistemas e evite a remoção de HIDs que já estão conectados.
  • Treine funcionários para que conheçam os diferentes tipos de ameaça, inclusive dispositivos USB manipulados (como o do incidente La La Land).
  • Segmente a rede adequadamente e gerencie os direitos de acesso para evitar que criminosos alcancem sistemas usados para controlar a infraestrutura crítica.

Proteja todos os sistemas da unidade com soluções de segurança capazes de detectar todos os tipos de ameaça.

Fonte: Kaspersky

USB 2.0, 3.0, 3.2: tantas opções confundem usuários

Se você é uma das poucas pessoas no mundo que realmente sabia a diferença entre USB 2.0, USB 3.0, USB 3.1 Gen 1/Gen 2, e assim por diante, temos uma má notícia para você: o USB 3.2 foi anunciado, e todos os nomes mudam novamente. Em resumo, o padrão USB acaba de ficar ainda mais confuso para os usuários finais.

Mas também temos uma boa notícia com a novidade, isso porque a USB-IF torna explicitamente claro que a mais recente especificação do USB 3.2 fornece uma enorme taxa de transferência de 20 Gbps. Mas essa é a única coisa simples, porque o USB 3.2 suga as especificações anteriores e as torna parte próprias. A nova e horrível especificação é o USB 3.2 Gen 2×2.

É difícil resumir tudo, mas vamos tentar:

  • USB 3.2 Gen 1 (anteriormente referido como USB 3.0, ou formalmente como USB 3.1 Gen 1): tem uma taxa de transferência de 5 Gbps e é oficialmente conhecido pelo nome comercial SuperSpeed ​​USB;
  • USB 3.2 Gen 2 (anteriormente referido como USB 3.1, ou formalmente como USB 3.1 Gen 2): tem uma taxa de transferência de 10 Gbps e é agora oficialmente conhecido como SuperSpeed ​​USB 10 Gbps;
  • USB 3.2 Gen 2×2 (a última especificação): tem uma taxa de transferência de 20 Gbps e agora é oficialmente conhecido como SuperSpeed ​​USB 20 Gbps.

Observe também que essas novas especificações se referem apenas à velocidade de transferência, não ao cabo ou porta USB físico. Ainda estamos no meio de uma transição gradual de conectores físicos USB-A para USB-C, mas esse é um problema diferente.

O documento em PDF, que descreve as novas especificações, reitera várias vezes o quão importante é para os fabricantes indicar claramente o quão rápido é o dispositivo USB ou a porta. “Ao se referir a um produto baseado e em conformidade com a especificação USB 3.2, é essencial que os fabricantes identifiquem claramente os recursos de desempenho desse dispositivo separadamente de outros benefícios e/ou características físicas do produto”, afirma.

Mas, como outros rapidamente apontaram, não há realmente nada que proíba um fabricante de laptops, por exemplo, de simplesmente chamar um dispositivo de porta “USB 3.2” e não descrever a quantidade de banda que fornecerá ao usuário. Apesar dos pedidos do USB-IF, as únicas restrições parecem estar no uso dos logotipos do USB-IF, o que requer a aprovação do Programa de Conformidade USB.

Por que isso é importante: há um consolo: as novas especificações são compatíveis com versões anteriores, o que significa que você ainda poderá conectar um dispositivo USB mais antigo a uma nova porta USB 3.2. Ainda assim, a marca de tudo isso é um pesadelo absoluto, e é uma dor de cabeça adicional que os compradores de computador e de smartphones não precisam.

Fonte: itmídia

Como remover malware de pen drive

pendrive_malwareExiste um tipo de praga que vem perturbando a vida de muitos usuários de mídias flash há anos. Trata-se de um malware que infecta o pen drive e converte documentos e programas em meros atalhos. Tal atividade impede que o usuário abra qualquer coisa e muitas vezes leva a uma atitude desesperadora: a formatação da unidade removível.

A solução do problema não é tão complicada e pode poupar algumas dores de cabeça. Primeiramente, vale salientar que o malware não apaga nenhum arquivo do pen drive. Esta praga apenas oculta documentos e cria atalhos falsos, por isso mantenha a calma.

Agora que sabemos que os arquivos, em teoria, estão no pen drive, devemos verificar se o problema em questão está relacionado ao malware. Para averiguar se seus arquivos continuam na unidade, veja se no ícone do pen drive (disponível em “Meu Computador”) o espaço utilizado continua idêntico ao que era anteriormente à contaminação.

Caso o Windows informe que a unidade está vazia, então é possível que o malware que você pegou seja outro. Do contrário, a execução dos passos a seguir deverá resolver seu problema.

Recuperando arquivos

1. Abra o Prompt de Comando (basta pressionar a tecla “Windows” e então inserir o comando “cmd.exe”).

2. Já no Prompt, digite o seguinte comando: “attrib -h -r -s /s /d I:\*.*” (Nota: a letra “I” deve ser substituída pela letra atribuída ao seu pen drive).

Método manual

Acesse a pasta que foi afetada pelo malware e clique com o botão direito sobre o arquivo contaminado (que atualmente é um atalho). Abra as Propriedades do arquivo.

Acesse a aba “Atalho” e remova quaisquer informações que não tenham relação com o caminho do arquivo em questão (realizar o processo no item “Destino” e “Iniciar em”). Veja o exemplo abaixo:remover_atalhoFinalmente é altamente recomendável escanear o dispositivo USB bem como o computador com uma boa solução de segurança e ferramentas gratuitas como Malwarebytes, Hitman Pro, Zemana Antimalware e Emsisoft Emergency Kit.

Fonte: Tecmundo

Como remover malware de pendrives

usb_espacoExiste um tipo de praga que vem perturbando a vida de muitos usuários de mídias flash há anos. Trata-se de um vírus que infecta o pendrive e converte documentos e programas em meros atalhos. Tal atividade impede que o utilizador abra qualquer coisa e muitas vezes leva a uma atitude desesperadora: a formatação da unidade removível.

A solução do problema não é tão complicada e pode poupar algumas dores de cabeça. Primeiramente, vale salientar que o vírus não apaga nenhum arquivo do pendrive. Esta praga apenas oculta documentos e cria atalhos falsos, por isso mantenha a calma.

Agora que sabemos que os arquivos, em teoria, estão no pendrive, devemos verificar se o problema em questão está relacionado ao vírus. Para averiguar se seus arquivos continuam na unidade, veja se no ícone do pendrive (disponível em “Meu Computador”) o espaço utilizado continua idêntico ao que era anteriormente.

Caso o Windows informe que a unidade está vazia, então é possível que o vírus que você pegou seja outro. Do contrário, a execução dos passos a seguir deverá resolver seu problema.

dosRecuperando arquivos

1. Abra o Prompt de Comando (basta pressionar a tecla “Windows” e então inserir o comando “cmd.exe”).

2. Já no Prompt, digite o seguinte comando: “attrib -h -r -s /s /d I:\*.*” (Nota: a letra “I” deve ser substituída pela letra atribuída ao seu pendrive).

arquivo_proprMétodo manual

Acesse a pasta que foi afetada pelo vírus e clique com o botão direito sobre o arquivo contaminado (que atualmente é um atalho). Abra as Propriedades do arquivo.
Acesse a aba “Atalho” e remova quaisquer informações que não tenham relação com o caminho do arquivo em questão (realizar o processo no item “Destino” e “Iniciar em”).

Etapas finais

Utilize um bom antivírus e analise o pendrive e o HD.
Instale um anti-malware no seu computador e faça outra varredura no disco local e na unidade removível.
Se nenhum problema for informado pelos programas, então o vírus deve ter sido removido do seu pendrive. Em casos de persistência do problema, tente outros softwares.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Conheça o Eset ClevX DriveSecurity – antivírus para USB

clevxClevX DriveSecurity é um antivírus criado pela ESET voltado exclusivamente para dispositivos de armazenamento removível, como pendrives e HDs externos. Seu principal propósito é prevenir a propagação de malware por meio desses dispositivos.

Por isso, o programa foi desenvolvido para rodar sem a necessidade de instalação no computador, tornando-o capaz de operar a partir do próprio drive, eliminando as ameaças encontradas nos arquivos do dispositivo.

ClevX DriveSecurity rastreia qualquer mudança nos arquivos guardados no dispositivo em busca de vírus, spyware, trojans, worms, rootkits, adware e outros códigos maliciosos, fechando uma vulnerabilidade importante na defesa de redes domésticas por meio da criação de USBs seguros.

Para operá-lo, basta baixar o instalador e abrir no PC com Windows com o dispositivo USB conectado. O programa automaticamente rastreará a presença do pendrive ou HD externo e enviará para lá o instalador e arquivo de validação do antivírus. O programa tem uma versão gratuita para testes que vale durante 30 dias.

Após a instalação, basta então executar o ClevX DriveSecurity sempre que quiser de dentro do pendrive e eliminar ameaças antes mesmo que elas cheguem ao computador. Dessa forma, você mantém seus arquivos protegidos tanto no HD da máquina quanto no armazenamento externo.

Opinião do seu micro seguro: Testei o Eset ClevX Drive Security. Aqui vão algumas dicas de uso: após o download do instalador, basta iniciar a instalação tomando o cuidado de já previamente deixar um dispositivo USB plugado na máquina. Durante a instalação o pen drive será detectado e o setup acontecerá. Daí para frente, toda a vez que o usuário plugar o dispositivo USB em um computador conectado à Internet deverá executar o arquivo “DriveSecurity.exe” , localizado no próprio pen drive. A primeira atualização da sua base de dados de assinaturas acontece automaticamente até uns 5 minutos após a execução do arquivo citado anteriormente. Daí para frente, o programa irá atualizar a sua base de dados de assinaturas a cada 1 hora e também de forma automática.
Toda a vez que o usuário for transferir um arquivo da Internet ou do PC para o pen drive o Eset ClevX Drive Security (previamente aberto) irá fazer uma varredura do objeto em busca de ameaças. O menu do programa traz um log das análises realizadas.

Fontes: Techtudo e Eset Brasil

Smartphones com Windows 10 irão oferecer suporte à conexão USB

windows-10-usbO Windows 10 promete trazer diversas novidades também para os smartphones. A Microsoft revelou que adotará o padrão USB-C no novo sistema para celulares e computadores, o mesmo já apresentado no MacBook, da Apple, e no Chromebook Pixel.

Isso fará com que o telefone seja capaz de se conectar a pendrives e outros dispositivos compatíveis sem a necessidade de adaptadores.

De acordo com o material divulgado pela Microsoft, os smartphones trarão o suporte ao aguardado USB on-the-go (OTG), função que permite transferir suas fotos e vídeos diretamente para um pendrive sem a necessidade de usar um computador. Além disso, os Windows Phone poderá ser conectado a mouses, teclados, controle para jogos e até mesmo monitores externos, dispensando o uso do HDMI. Além disso, a função de carregamento está mantida.

Para quem não conhece, o USB-C é um padrão de conexão de alta velocidade entre os dispositivos móveis, computadores, periféricos e mídias de armazenamento, entre outros. A principal característica dele é ser multifuncional, ou seja, o usuário pode usá-la para diferentes fins sem ter a necessidade de carregar vários cabos. Esse novo tipo de conexão é reversível e não exige que a pessoa saiba o lado correto para conectar um aparelho, confusão comum em pendrives atuais.

O Windows 10 estará disponível entre os meses de junho e setembro deste ano para smartphones, tablets e computadores. Atualmente, é possível testar o preview técnico do sistema em alguns smartphones Lumia, através do programa Windows Insider. Segundo a Microsoft, todos os dispositivos com o Windows Phone 8.1 receberão a atualização.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Como remover malware que transforma pastas em atalhos

Um novo malware de computador vem causando vários transtornos aos usuários. Trata-se de uma ameaça que infecta o pendrive e, simplesmente, transforma todos os arquivos e documentos em simples atalhos. Atacando em uma hora, talvez, em que o usuário precise muito do pendrive, isso leva a uma atitude desesperada: a formatação do pendrive.

Se você está com este problema, antes de formatar seu pendrive, saiba que a solução não é nada complicada, basta um pouco de paciência, em alguns casos. Esse malware felizmente não apaga nenhum arquivo ou pasta que esteja na unidade removível, ele apenas oculta os documentos e pastas e cria atalhos falsos com o mesmo nome, quase idênticos. Portanto, já sabendo que seus arquivos ainda estão no seu pendrive, fique calmo!

Solução para o problema

Uma vez que todos os arquivos estão no pendrive, é só retirar o vírus. Mas por precaução, antes da remoção, devemos ter certeza de que os arquivos realmente estão no pendrive. Para isso, clique em “Propriedades” (em Meu Computador) no ícone do pendrive e veja se o tamanho do disco é o mesmo de antes desta praga se apossar do pendrive.

img1Após confirmado que os arquivos ainda estão no pendrive, o próximo passo é a eliminação do vírus.

Identificando e excluindo o malware

Normalmente, esse malware infecta a raiz do pendrive com um arquivo chamado de “autorun.inf”. O arquivo fica oculto, você não consegue ver ele normalmente. Para ver o arquivo, você terá que habilitar a visualização de arquivos ocultos. Veja como visualizar arquivos ocultos e excluir o vírus.

1 – Clique em Painel de Controle, e busque por “Opções de Pasta”. Logo em seguida, clique em Opções de Pasta.

img22 – Clique na aba Modo de Exibição e role até encontrar a opção “Mostrar arquivos, pastas e unidades ocultas” e a marque.

img33 – Pronto! Agora você já pode ver arquivos e pastas ocultas. Volte para o seu pendrive, e perceba que verá outros arquivos além dos que você tinha, o vírus os criou. Você poderá ver um arquivo chamado de “autorun.inf”, exclua ele com se exclui qualquer arquivo. Poderá existir também uma pasta chamada de RECYCLER, você pode excluir ela também.

img4Voltando a exibir os arquivos e pastas

Acima, você somente aprendeu a excluir o malware. Aprenda agora e reexibir os seus arquivos e pastas.

1 – Feche todas as pastas abertas e em seguida aperte as teclas WinKey + R e digite CMD para que o Prompt de Comando seja aberto.

img5

2 – Digite o seguindo comando: “ attrib -h -r -s /s /d K:*.* ” (sem aspas), troque a letra sublinhada, K, pela letra da unidade removível e tecle Enter.

3 – Esta etapa pode demorar um pouco, mas quando acabar, ela vai trazer os seus arquivos de volta. Os atalhos ainda vão existir, mas as suas pastas verdadeiras estarão lá, então você pode excluir estes atalhos.

4 – Por último, é recomendável que instale um bom antivírus e, também, anti-malware e faça uma varredura completa em seu computador e pendrive.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: OficinadaNet