J'ai bien peur que cela découle d'un malentendu de la part du journaliste:

... a déclaré qu'un appareil qui semblait vide pouvait encore contenir un virus.

Dans la vidéo à laquelle le journaliste fait référence, il est clair, en fait, dans les deux premières minutes, Karsen dit qu'il NE parle PAS de virus. Il poursuit ensuite en démontrant, à l'écran, que le périphérique USB apparemment vide se transforme en un périphérique différent (par exemple, émulation de stockage ainsi que clavier et lecture de frappes), comme cela a été évoqué dans ma réponse précédente (ci-dessous), mais À l'époque, je n'avais pas examiné l'intégralité de la ressource pour en faire une preuve concluante.

Alors voilà, l'auteur a mal compris la présentation vidéo et la BBC l'a publiée ...

Comment les clés USB "vides" peuvent-elles contenir des logiciels malveillants?

Cette question ne forme pas une image claire.

Tout d'abord, nous devons définir "empty".

• Voulez-vous dire non formaté ? Si tel est le cas, pouvons-nous simplement effacer le premier secteur pour déformer un périphérique de stockage, en laissant le reste des octets intact? Pourrait-il y avoir du code viral dans ces octets non effacés, mais techniquement non formatés?
• Voulez-vous dire que semble vide une fois inséré ? Il y a eu de nombreuses astuces pour cacher des fichiers dans le passé, comme les stocker dans la corbeille de recyclage, en utilisant l'attribut 'hidden' ou 'system file', en utilisant des flux NTFS ou même des partitions non prises en charge. En plongeant plus loin dans le terrier du lapin, le lecteur est-il vide mais chiffré? Une faille dans une bibliothèque cryptographique majeure (nous en avons beaucoup vu récemment) pourrait exposer le système à des attaques secrètes de canal secondaire, même à partir d'un appareil apparemment vide ... De plus, certaines clés USB sont amorçables (sur certains systèmes ; nous y reviendrons plus tard), ce qui implique que vous pourrez peut-être écrire un virus de secteur de démarrage pour les infecter. Les virus du secteur de démarrage ne se soucient pas vraiment du système d'exploitation installé, car ils s'exécutent avant le démarrage du système d'exploitation de toute façon ... Cela m'amène à votre question suivante:

Est-ce seulement un problème pour les systèmes Windows (hérités)?

Non. Nous devrions considérer ce qui constitue un «malware». Il est possible qu'une séquence arbitraire d'octets soit considérée comme un malware, car elle endommage un système (par exemple, le code machine x86 / x64 sur un processeur x86 / x64) mais pas un autre (par exemple le même bytecode sur un ARM / SPARC). Pour répondre à cette question, il suffit de trouver (ou de concevoir) un système qui décode la séquence arbitraire en tant que malware, même si ce n'était pas le cas auparavant.

Y a-t-il un moyen d'utiliser ces bâtons tout en vous protégeant?

Non. Enfin, considérons la définition de clé USB . Est-il possible qu'au lieu de brancher un périphérique de stockage , vous branchez une sorte de bogue électronique, comme un adaptateur de clavier sans fil ou un tueur de pouce USB. Ces appareils eux-mêmes ne constituent pas vraiment des logiciels malveillants , soit parce qu'ils ne sont pas des logiciels, soit parce qu'ils n'ont pas été conçus pour être malveillants ... bien qu'ils puissent néanmoins être des risques pour la sécurité. Il peut également être possible pour un appareil d'accéder à la mémoire (par exemple en apparaissant comme un chargeur pour votre téléphone portable, puis en volant toutes vos photos, vidéos, etc. en utilisant la ligne de données ou un réseau wifi secret).

N'insérez pas de périphériques USB non fiables. Période. Ils ne contiennent peut-être pas de logiciels malveillants, mais ce n'est pas le seul danger ... surtout à cette époque où la concurrence, le sabotage électronique, la surveillance & font fureur.

Vous pouvez pirater le micrologiciel d'un périphérique USB. Avec cela, vous pouvez dire au système d'exploitation ce que vous voulez, par exemple. l'appareil est vide même s'il ne l'est pas. Ou attaquez la pile logicielle USB du système d'exploitation en envoyant des données qu'un périphérique USB normal n'enverrait pas (donc le périphérique pourrait même être vraiment vide, l'attaque vient du firmware).

Vous pouvez également faire d'autres des choses amusantes, comme dire au système d'exploitation que le périphérique USB est également un clavier, puis tapez automatiquement des commandes qui font quelque chose s'il est branché. Ou dites au système d'exploitation que le périphérique USB est une carte réseau et redirigez tout le trafic vers un serveur que vous contrôlez .

Amusement sans fin avec les firmwares USB piratés ...

L'USB fonctionne comme ceci, AFAIK, notez où les mensonges pourraient égarer le système.

1. L'ordinateur fournit + 5V et GND au périphérique USB.
2. Microcontrôleur dans l'USB l'appareil exécute et transmet le langage USB pour «Il s'agit d'un appareil de type X» (X est un disque, un appareil photo, un clavier, une souris ou tout appareil enregistré auprès du consortium USB).
3. L'ordinateur prend les mesures «appropriées» .

Pensez aux périphériques USB avec un microcontrôleur subverti (reprogrammé) ...

  Ordinateur: + 5V, GNDMicrocontroller: Je suis un clavier.Ordinateur: OKMicrocontroller: "FORMAT C:" ENTER "Y" ENTER  

(référence Dilbert)

Recherchez la vulnérabilité "BadUSB" pour plus de détails.

Là est désormais un gadget GoodUSB: http://hackaday.com/2017/03/02/good-usb-protecting-your-ports-with-two-microcontrollers/

Il existe plusieurs façons de le faire apparaître vide:

• Utilisation de caractères non pris en charge dans le nom de fichier

• Utilisation d'options de masquage pour les fichiers

• Utilisation des dossiers Windows spéciaux (comme les informations système)

Dans tous les cas, avec un gestionnaire de fichiers décent vous pourrez les détecter, mais depuis l'intérieur d'un système d'exploitation Windows, vous ne pourrez les détecter que dans le cas 2 et c'est si vous l'avez activé pour afficher les fichiers cachés.

Oui, c'est surtout un Problème de Windows OS.

Oui, il existe des moyens de protéger:

• Utilisez un bon gestionnaire de fichiers pour voir le contenu réel de la clé
• Make assurez-vous qu'aucun type d'exécution automatique n'est activé
• Assurez-vous de ne pas exécuter, lire ou transférer des fichiers à partir de la clé à moins que vous ne sachiez qu'ils sont sûrs

Un ordinateur n'est pas seulement un processeur, de la RAM et un disque dur. Il existe de nombreux processeurs à l'intérieur d'un ordinateur, y compris des processeurs hôtes USB, des processeurs de clavier, des processeurs d'horloge, des processeurs de bus d'adresses, des processeurs IDE / SATA, etc.

Une clé USB «complètement vide» peut signaler 0 fichier et des dossiers dans une seule partition, même s'il s'agissait, par exemple, d'un clavier programmé pour se présenter comme un périphérique de stockage de masse.

Il y a beaucoup de confiance qui existe au niveau matériel pour la plupart des processeurs. Le micrologiciel de nombreuses clés USB est conçu avec l'idée qu'elles ne seront pas programmées par les utilisateurs finaux. Le micrologiciel de nombreux hôtes USB suppose également qu'ils ne seront pas programmés par les utilisateurs finaux.

En d'autres termes, un utilisateur disposant de compétences techniques suffisantes pourrait écrire son propre code sur une clé USB, ce qui à son tour pourrait écrire une charge utile sur le processeur hôte USB, qui à son tour pourrait être utilisée pour subvertir d'autres systèmes via des bus communs.

Cet environnement n'existe qu'en premier lieu car la plupart des processeurs incluent une RAM non volatile qu'ils utilisent comme une ROM pour stocker leur code. Cela permet aux fournisseurs de créer le matériel en premier, puis de déposer le logiciel plus tard. C'est beaucoup plus rentable que d'intégrer le logiciel directement dans le matériel.

Donc, avec tout cela à l'esprit, voici les réponses que vous ne voulez probablement pas entendre:

Comment les clés USB "vides" peuvent-elles contenir des logiciels malveillants?

Ce n'est pas parce que le système d'exploitation considère que quelque chose est vide que c'est le cas. Au minimum, le code du micrologiciel s'exécute dans un processeur qui démarre la milliseconde pendant laquelle l'appareil est alimenté. Tous les périphériques USB ont de la mémoire, même des claviers, des souris et des cartes son. S'il était vraiment vide, l'appareil ne fonctionnerait pas.

Cependant, si le périphérique se présente comme un périphérique de stockage et que le système d'exploitation interroge la table de partition, le périphérique peut alors simplement envoyer les données qu'il souhaite, y compris semblant vide, ou ayant une capacité de stockage arbitraire, etc. Même aujourd'hui , vous pouvez trouver des escrocs qui vendent des périphériques de stockage sous-capacité qui sont reprogrammés pour signaler plus de capacité qu'ils n'en ont. Par exemple, vous pouvez acheter une clé de 32 Go qui ne dispose en réalité que de 2 Go de stockage physique. Le micrologiciel repose sur le système d'exploitation, ce qui entraîne finalement des données corrompues lorsque l'utilisateur tente d'utiliser plus de (par exemple) 2 Go de stockage.

Est-ce seulement un problème pour Windows (hérité) systèmes?

Non. C'est un problème pour pratiquement tous les périphériques matériels du marché. Certaines personnes estiment que cela peut atteindre 90% ou plus des appareils, y compris les ordinateurs portables, les tablettes, les téléphones, les ordinateurs de bureau, les lecteurs MP3 et tout ce qui contient un micrologiciel USB. Il y a au moins un fabricant dont j'ai entendu parler qui a "durci" son firmware contre la reprogrammation. Une simple recherche sur Google trouvera des périphériques de stockage résistants à la reprogrammation.

Y a-t-il un moyen d'utiliser ces bâtons tout en vous protégeant?

Non. En fait, à moins que vous n'examiniez le code de chaque micrologiciel avant de le brancher sur votre ordinateur et, en fait, que vous lisiez le code du micrologiciel de votre ordinateur avant d'y brancher quoi que ce soit, vous ne pouvez pas en être sûr. Il est tout à fait possible que votre appareil ait été infecté par la NSA avant d'être expédié dans votre magasin et vous être vendu. Il peut même être infecté même si vous avez acheté tout le matériel au coup par coup et que vous l'avez construit vous-même. À moins que vous n'ayez physiquement créé et programmé tous les aspects de votre ordinateur vous-même, il n'y a absolument aucun moyen d'être parfaitement en sécurité.

Le mieux que vous puissiez faire est d'établir un certain niveau de confiance et d'éviter les comportements à risque. Évitez d'acheter du matériel ouvert sur e-bay, sauf si vous faites raisonnablement confiance au vendeur. Préférez acheter des pièces d'ordinateur de marque au lieu d'imitations imitations, à moins que vous ne soyez raisonnablement sûr qu'elles sont sûres (c.-à-d. Faites des recherches). Utilisez le moins d'appareils possible et évitez de partager vos appareils avec des personnes que vous ne connaissez pas. En d'autres termes, prenez les mêmes précautions que vous prenez lorsque vous essayez d'acheter de la nourriture, une voiture ou quoi que ce soit d'autre. La plupart du matériel n'est actuellement pas infecté, uniquement parce qu'il existe des moyens plus simples d'obtenir les données de quelqu'un, mais vous devez éviter toute exposition occasionnelle à des risques.

La clé USB elle-même pourrait être le virus, pas les données de sa mémoire flash.

Laissez-moi vous montrer comment:

• Un périphérique USB peut avoir plusieurs points de terminaison
• Un point de terminaison peut recevoir ou envoyer des données
• Vous avez besoin de 2 points de terminaison pour une clé USB normale: envoyer et recevoir
• L'USB 1.1 autorise jusqu'à 4 points de terminaison
• USB 2.0 autorise jusqu'à 15 points de terminaison, je pense

Vous pouvez utiliser les points de terminaison restants pour émuler un clavier ou une souris.

Si c'est fait à droite, l'utilisateur ne remarque qu'un lecteur flash apparemment vide. Donc pas moyen de supprimer le virus sans modifier le firmware USB

Plusieurs bonnes réponses ci-dessus - une autre liée à la réponse de waltinator serait quelque chose comme un ruberducky USB qui pourrait avoir un malware dans une partition cachée qu'il déploierait tout en affichant une partition vide.

À cause de données corrompues. Tout ce qui peut s’écrire dans la mémoire peut en théorie s’enregistrer sans aucune interaction de l’utilisateur. Selon cette définition, vous pourriez dire que Windows lui-même est un logiciel malveillant, car chaque fois que vous branchez un lecteur ou une clé USB, il écrit quelques octets invisibles qui peuvent contenir n'importe quoi. N'importe où à partir des informations de sauvegarde nécessaires au système d'exploitation ou même à un logiciel malveillant qui se copie dans tout élément inscriptible. Dans les années 90, les disquettes avaient un insert de pouce physique que vous pouviez basculer comme un interrupteur, le basculer en position verrouillée empêcherait les données d'être inscriptibles sur le disque. Rien de tel n'existe pour les lecteurs USB, même si je suis sûr qu'il existe probablement un logiciel qui peut vous permettre de verrouiller des lecteurs. Sous Linux, rien n'est monté automatiquement à moins qu'il ne soit configuré de cette façon, si vous détectez des logiciels malveillants sur du matériel amovible, c'est un problème Windows.

Ma réponse courte: il est facile de truquer les données pour donner l'impression que quelque chose n'est pas quelque chose que ce n'est pas.

Cela peut être fait de manière malveillante ou simplement comme un sous-produit d'une autre application.

Exemple de sous-produit accidentel. J'ai une clé USB3 de 16 Go que j'ai transformée en une clé USB bootable de Kali Linux. Le programme que j'ai utilisé a fini par transformer l'espace inutilisé en une partition non allouée, de sorte que maintenant, le système ne voit que le bâton comme étant l'espace total occupé par les données ISO. J'ai fini par devoir utiliser un programme de partitionnement tiers pour repartitionner la clé entière et obtenir le total de 16 Go.