Svenska ElektronikForumet

Glenn skrev:dom jag känner till har just utnyttjat windows dumma benägenhet att autostarta grejer från USB-sticka i defaultinställningen.

Windows har aldrig autostartat saker från annat än CD/DVD om inte användaren själv åsidosatt det. Och t.o.m det patchades bort under XP-tiden till att bli en fråga om man vill starta det som står i autorun.inf.

edit: grammatikfel

newbadboy skrev:Ok då har jag fått svar ang mjukvarudelen.

Hur är det då med hur robust hårdvaran är mot överspänning etc?

Står i standarden, dvs inte mer än vad som absolut behövs.

mankan skrev:PoisonTap kom nyligen: https://samy.pl/poisontap/

Den här fattar jag inte riktigt.

Så, den emulerar en USB Ethernet, vilket får högre prio än eventuellt WiFi, och på så sätt leder Internet-trafik genom sig själv. So far so good. Men hur kommer den åt Internet själv? Routas det tillbaks till datorn igen och ut? Hur kan det fungera utan manuellt route-fixande?

Sannolikt måste den ha en egen WiFi anslutning, så den kan ansluta sig till nätet.
Men, den fungerar bara OM

Man har fysisk tillgång till datorn i fråga.
En webbläsare är i gång, med en vanlig HTTP session.
HTTPS sessioner går inte att stjäla.
I Windows måste Policyn tillåta automatisk enhetsinstallation/uppkoppling mot nätverk, företagsnätverk brukar förhindra detta.
I Linux och MacOs vet jag inte om man kan förhindra en enhetsinstallation, utan att plocka bort USB eller PnP helt

En ide med att simulera nätverkskort kan vara att få windows att återansluta nätverksmappar.
Då simulerar du en nätverkserver med bara NTLM version 1, om du har denna så kan då räkna ut lösenordet snabbt...

Windows borde kanske undvika att installera nya USB tillbehör när skärmen är låst....

Ser ut som poisontap är möjlig för många sidor kör utan https... Kör alla https så skulle detta inte funka vad jag kan se...

Poisontap borde gå att göra på befintlig nätverkskabel också tyvärr, RPI med två nätverkskort och köra man-in-the-middle...
Så länge man kör ethernetkabel och inte wifi..

maDa skrev:Lightning är ju en förlängning av PCI-express, vilket ger access till hårdvaran på djupet. Man har kunnat ta över datorn, dumpa minne, överstyra boot genom att plugga in specialhårdvara. Och det är oberoende av OS.

Du blandade visst ihop Lightning och Thunderbolt. Det är Thunderbolt som är PCIe.
Apple Lightning är USB 2.0 med en dubbel uppsättning datalinor för att kunna bli vändbar - vilket görs av logik i kontakten. Det verkar som att Lightninig också har stöd för analogt ljud i det protokoll som används mellan telefonen och kontakten.

Jag har inte kollat mycket på USB 3.0 men jag skulle tro att det funkar som i USB 2.0 att skillnaden mest ligger i att höghastighetslägena bara är för stora dataöverföringar och att kontrollöverföringar sker på samma sätt som annars.

"USB Type C" är lite annorlunda däremot, eftersom det har sitt eget protokoll med logik i kabeln för att konfigurera vad de olika linorna ska användas till. Det har fler linor för dataöverföringar än USB 3.0, plus ett par linor för sitt eget protokoll. Men det har fortfarande två linor för gamla USB 2.0.

Mr Andersson skrev:

Glenn skrev:dom jag känner till har just utnyttjat windows dumma benägenhet att autostarta grejer från USB-sticka i defaultinställningen.

Windows har aldrig autostartat saker från annat än CD/DVD om inte användaren själv åsidosatt det. Och t.o.m det patchades bort under XP-tiden till att bli en fråga om man vill starta det som står i autorun.inf.

Fast en USB-sticka kan ju dyka upp som en CD också, sen så har vi ju U3 också, som väl är patchat idag, men det utnyttjade ju också att windows autostartade saker när man stoppade in stickan, i början till och med när skärmen var låst.

Minns när vi testade på jobbet med en hackad U3-sticka och tryckte in den i folks windowsdatorer när dom var på lunch, och läste ut "allt" från datorn på några sekunder, produktnycklar, webhistorik, sparade weblösenord (bara i IE då, för dom som var dumma nog att köra det) och såklart användarens lösenord till windows och diverse annat, typ ICQ osv.

Den första patchen gjorde så att det inte funkade med låst skärm bara, men jag tror nog att det lagades helt sedan.

Findecanor skrev:Du blandade visst ihop Lightning och Thunderbolt. Det är Thunderbolt som är PCIe.

Helt korrekt. Givetvis menar jag Thunderbolt. Blandar ihop dem ibland

Finns det något sätt i Linux och MacOS för att förhindra detta? I windows är det ju tämligen enkelt.

Om det nu ändå går att starta saker automatiskt i Windows,
hur gör man för att stänga av det i så fall?

Gissar att det går att göra med "group policies"
https://msdn.microsoft.com/en-us/library/bb530324.aspx

Liten varning innan, man kan lyckats se till att du inte kan få in ett nytt tangentbord/mus om du slår på detta...

Borde räcka med "Allow administratos to override Device Installation Restriction Policies" och "Prevent Installation of devices not described by other policy settings"
Detta borde innebära att alla installationer måste ske under "device manager".

Liten varning innan

Det tänkte jag inte på.

Det där var mer avancerat än vad jag trodde.
Tack för svaret och länken i alla fall.

TomasL skrev:Finns det något sätt i Linux och MacOS för att förhindra detta? I windows är det ju tämligen enkelt.

Utan någon direkt research men du kan ju alltid ta bort udev-hotplug konfigurationen för just nätverksinterface. Dessutom har jag en känsla av att något måste stå i /etc/network/interfaces (för Debian/Ubuntu iaf.) för att något ska hända (t.ex iface XXX inet dhcp)

OSX vet jag inte riktigt. Men jag kan intyga att fast anslutning har prio över WiFi, men det sker inte blixtsnabbt, öppna TCP-koppel förbli via gamla förbindelsen.

99,99999999% av alla Windowsanvändare tillåter ändå nya USB enheter i vilket fall så. Men ärligt så känns det lite hysteriskt. Jag hade lagt avlyssningen direkt på Ethernet-kabeln (om finnes) eller efter accesspunkten istället. Att lura offret att plugga in en USB-kabel är också ett moment i sig.

Jo, för privatanvändaren så är det väl tämligen ofarligt, dock är ju scenariot det att du, den elaka hackaren/industrispionen, kommer in på ett kontor, och obemärkt pluggar in din dongel i närmaste obevakade dator.

I AD kan ju admin enkelt förhindra detta med GPEd.