Зламуємо контролери флешок, щоб перетворити їх на клавіатури.

Звичайні USB-флешки, виявляється, теж комп'ютери з прошивкою, що оновлюється. Цю можливість, як показали дослідники, можна використовувати на зло: перетворюючи флешку на клавіатуру, встановлювати шкідливе програмне забезпечення.

В якійсь новині як вектор рішення було запропоновано щось у стилі «заборонити, «відібрати скакалку», зробити підписані оновлення мікрокоду, флешка має бути лише флешкою» і т.д.

Мені такий підхід не подобається:

  • Не люблю закритість тощо; захищати слід збільшуючи щит, а не вкорочуючи всім мечі;
  • Кому треба все одно зроблять «пристрій, схожий на флешку»;
  • Існуючі флешки від цього самі не виправляться;

Мені виправлення швидше бачиться в тому, щоб не завжди довіряти USB, вважаючи все, що прийшло звідти (у тому числі у вигляді натискань на кнопки USB-клавіатури) недовіреним до підтвердження користувача.

не завжди довіряти USB, вважаючи все, що прийшло звідти (у тому числі у вигляді натискань на кнопки USB-клавіатури) недовіреним до підтвердження користувача

Виявлено USB-клавіатуру! Вона поки що не є довіреною, тому натискання з неї не реєструються. Зробити її довіреною? [Та ні]: .

1. Порти USB можуть бути більш довіреними та менш довіреними;

2. Стара клавіатура – ​​добре, нова клавіатура – ​​введіть капчу;

флешок

Тому що великому братові потрібно, щоб у пристрої, що поставляється звичайному користувачеві, не було дірок ззовні. Щоб купивши девайс із захистом цифровим підписом, він не міг нічого виправити, інакше, як не витягнувши чіп для перепрошивки на програматорі, що в більшості випадків неможливо, коли чіп розпаяний на платі і на що більшість з огляду на це непіде. А тут одразу такі гешефти виникають – як неможливість використання піратського софту в принципі. Якщо біос підписаний, всі аксесуари підписані, програма примусово інстальована і теж працює тільки з довіреними підписами, то у випадку, якщо ви не кулхацкер, ви потрапили на бабки. Вас доїтимуть без жодної хмари. Ось до чого все йде. Повністю закриті права для користувачів системи. Крок ліворуч, крок праворуч – розстріл на місці. Жодних вам вільних лінуксів. Тільки підписаний цифровий код. Розробник зобов'язаний отримати ліцензію та ЦП, інакше розробкою софту займатися не зможе.

Параноїдально звичайно, але всі ці наміри з SecureBoot'ами і очевидне бажання у великих компаній максимально контролювати всю інфраструктуру.