Flipper Zero, osa 3: Älä ikinä kiinnitä tietokoneeseen vierasta usb-laitetta

14.10.2023 11:03|päivitetty16.10.2023 13:57

Mikrobitti kokeili someilmiöksi noussutta hakkerin monitoimityökalu Flipper Zeroa. Juttusarjan kolmannessa osassa perehdymme BadUsb-hyökkäyksen uhkakuviin.

Huolestuttavan helppoa. ChatGPT:n avulla Flipper Zeroon syntyi DuckyScript-kuorma, jonka ajaminen laitteelle avaa oletusselaimeen YouTuben kautta Rick Astleyn kappaleen Never Gonna Give You Up.

Opetuskäyttöön tarkoitettu ”hakkerin monitoimityökalu” Flipper Zero pitää sisällään liudan enemmän tai vähemmän huolestuttavia ominaisuuksia. Näistä yksi muuttaa Flipperin myrkytetyksi usb-laitteeksi.

Tuntemattoman laitteen kiinnittäminen tietokoneeseen – ja jossain tapauksissa myös mobiililaitteeseen – on aina riski. Otsikoissa vilahtelee tuon tuosta varoituksia myrkytetyistä usb-pihoista ja muistitikuista, mutta tällaiset uhkakuvat voivat tuntua kaukaisilta.

Todellisuudessa BadUsb-hyökkäys on huolestuttavan helppo tapa iskeä laitteen suojauksen ohitse. Sen vaarallisuus nojaa höynäytettävään ihmiseen, joka hölmöyksissään luottaa tuntemattomaan laitteeseen tai jättää koneensa lojumaan vartioimatta.

Mikä on BadUsb-hyökkäys?

BadUsb esiteltiin ensimmäistä kertaa vuonna 2014 Black Hat -konferenssissa. Pari kuukautta myöhemmin haavoittuvuutta hyödyntävä koodinpätkä levisi verkkoon, Wired kirjoittaa tuolloin julkaisemassaan artikkelissa. Hyökkäyksessä hyödynnetään tehtävää varten kehitettyjä erityisiä usb-laitetta.

Tavallisten usb-laitteiden vahvuus ja heikkous on niiden yksinkertainen kytke ja käytä -mentaliteetti. Olipa kyse sitten webkamerasta, mikrofonista tai ihan vain muistitikusta, tarvitsee käyttäjän usein vain kiinnittää laite usb-piuhalla tietokoneeseensa.

Helppoudessa piilee ratkaisun heikkous. BadUsb-hyökkäyksessä tietokoneeseen kiinnitettävä laite imitoi hid-laitetta (human interface device). Käytännössä tämä tarkoittaa esimerkiksi näppäimistöä tai peliohjainta.

BadUsb-ominaisuudella varustettu Flipper Zero imitoi tietokoneeseen kiinnitettävää usb-näppäimistöä ja sille annettavia komentoja. Vastaanottava laite suhtautuu komentoihin samalla luottamuksella kuin laitteen omistajan itsensä antamiin komentoihin. Varsinaiset näppäimistösyötteet tehdään DuckyScript-ohjelmointikielellä.

Kuormasta (payload) riippuen BadUsb-laite pystyy esimerkiksi avaamaan takaovia, suorittamaan monenmoisia komentoja ja varastamaan tietoja. Yksi mahdollisista BadUsb:n kautta tehdyistä iskuista on fork bomb -hyökkäys, jossa itseään toistava komento lopulta kaataa kohdelaitteen.

Flipper Zerossa on valmiina kaksi vaaratonta esimerkkiä, joista toinen yksinkertaisesti avaa Windows Muistio -tekstieditorin ja kirjoittaa lyhyen tervehdystekstin. Toinen taas avaa selaimeen qFlipper- ohjelman asennusikkunan.

Myrkyllinen tikku. Flipper Zero imitoi BadUsb-hyökkäyksessä näppäimistöä. Tosin skandinäppäimistö tuo omat mutkansa matkaan.

Vaikka itselläni ei ole juuri minkäänlaista ohjelmointiosaamista, osasin silti luoda ChatGPT:n avulla DuckyScript-kuorman, jonka ajaminen laitteelle avaa oletusselaimeen YouTuben kautta Rick Astleyn kappaleen Never Gonna Give You Up. Lopuksi ruudulle pyörähtävät vielä kappaleen sanoitukset.

Prosessi oli huolestuttavan helposti toteutettavissa.

Onneksi ChatGPT:n kaltaiset tekoälybotit on koulutettu välttämään ohjelmointiavun antamista epäilyttäviin tarkoituksiin. Kuitenkin erikoisen kysymyksenasettelun avulla käyttäjien on todistetusti todettu voivan kiertää palveluiden asettamia rajoituksia.

LUE MYÖS:

Googlen tekoälyn turvajärjestelmissä on selviä aukkoja – suostuu kirjoittamaan niin kalasteluviestejä kuin kiristyshaittaohjelmiakin

Todellinen uhka?

BadUsb on osaavissa käsissä vaarallinen hyökkäysmuoto. Kaikeksi onneksi hyökkääjän on kuitenkin pääsääntöisesti oltava joko samassa tilassa uhrin laitteen kanssa tai hänen on jollain muulla tavalla ujutettava saastutettu usb-laite uhrille.

Vaikka Flipper Zero on kohtalaisen pieni, se on helppo havaita roikkumassa tietokoneen kyljestä. Tavalliseen usb-tikkuun verrattuna sitä ei voi pitää kovin salamyhkäisenä laitteena.

Toisaalta laitteen voi kiinnittää esimerkiksi ison työaseman taakse tai piilottaa telakan johtoviidakon sekaan. Tämän jälkeen Flipper Zeroa on mahdollista ohjailla bluetooth-yhteydellä laitteen oman mobiilisovelluksen kautta. Uhrin käynnistäessä koneen hyökkääjä voi etäyhteyden välityksellä hallita Flipperin tekemisiä.

Todellisuudessa tämä kuitenkin vaatisi melkoista James Bond -tason kikkailua ja mahdollisen huonekasvin takana piilottelua. Kaikkineen Flipper Zero on potentiaalisesti vaarallinen työkalu, mutta isoa yleisöä se auttaa hahmottamaan nykymaailman vaaroja ja heikkouksia.

SAMULI LEPPÄLÄ

@saleppala