Temo che questo derivi da un malinteso del giornalista:

... ha detto che un dispositivo che sembrava vuoto potrebbe ancora contenere un virus.

Nel video a cui si riferisce il giornalista è evidente, infatti, nei primi due minuti Karsen dice di NON parlare di virus. Quindi continua a dimostrare, sullo schermo, che il dispositivo USB apparentemente vuoto si sta trasformando in un dispositivo diverso (ad esempio, emulazione di memoria, tastiera e tasti), come accennato nella mia risposta precedente (sotto), ma All'epoca non avevo esaminato l'intera risorsa per stabilirla come prova conclusiva.

Quindi il gioco è fatto, l'autore in qualche modo ha frainteso la presentazione video e la BBC l'ha pubblicata ...

In che modo le chiavette USB "vuote" possono contenere malware?

Questa domanda non forma un'immagine chiara.

Innanzitutto dobbiamo definire "empty".

• Intendi non formattato ? Se questo è il caso, possiamo semplicemente cancellare il primo settore per annullare la formattazione di un dispositivo di memorizzazione, lasciando intatto il resto dei byte? Potrebbe esserci codice virale in quei byte non cancellati, ma tecnicamente non formattati?
• Vuoi dire che sembra vuoto quando inserito ? Ci sono stati numerosi trucchi per nascondere i file in passato, come conservarli nel cestino, utilizzare l'attributo "nascosto" o "file di sistema", utilizzare flussi NTFS o persino partizioni non supportate. Approfondendo ulteriormente la tana del coniglio, l'unità è vuota ma crittografata? Un difetto in una delle principali librerie crittografiche (le abbiamo viste parecchio di recente) potrebbe esporre il sistema ad attacchi di canale laterale nascosto, anche da un dispositivo apparentemente vuoto ... Inoltre, alcune chiavette USB sono avviabili (su alcuni sistemi ; ci arriveremo più avanti), il che implica che potresti essere in grado di scrivere un virus del settore di avvio per infettarle. I virus del settore di avvio non si preoccupano del sistema operativo installato, dal momento che vengono comunque eseguiti prima dell'avvio del sistema operativo ... Questo mi porta alla tua prossima domanda:

È solo un problema per i sistemi Windows (legacy)?

No. Dovremmo considerare cosa costituisce "malware". È possibile che una sequenza arbitraria di byte sia considerata malware perché causa danni a un sistema (ad esempio il codice macchina x86 / x64 su un processore x86 / x64) ma non a un altro (ad esempio lo stesso bytecode su un ARM / SPARC). Per rispondere a questa domanda, dobbiamo solo trovare (o progettare) un sistema che decodifica la sequenza arbitraria come malware, anche se in precedenza non lo era.

Esiste un modo per utilizzare questi stick proteggendoti?

No. Infine, considera la definizione di chiavetta USB . È possibile che, invece di collegare un dispositivo di archiviazione , tu stia collegando un qualche tipo di bug elettronico, come un adattatore per tastiera wireless o un USB thumb killer. Tali dispositivi di per sé non costituiscono realmente malware , o perché non sono software o perché non sono stati progettati per essere dannosi ... anche se potrebbero comunque essere rischi per la sicurezza. Potrebbe anche essere possibile per un dispositivo accedere alla memoria (ad esempio apparendo come un caricabatterie per il tuo telefono cellulare e poi rubando tutte le tue foto, video, ecc. Utilizzando la linea dati o una rete Wi-Fi nascosta).

Non inserire dispositivi USB non affidabili. Periodo. Potrebbero non contenere malware, ma questo non è l'unico pericolo ... soprattutto in questo giorno ed età in cui la concorrenza, il sabotaggio elettronico della sorveglianza & sono di gran moda.

Puoi hackerare il firmware di un dispositivo USB. Con ciò puoi dire al sistema operativo quello che vuoi, ad es. il dispositivo è vuoto anche se non lo è. Oppure attaccare lo stack software USB del sistema operativo inviando dati che un normale dispositivo USB non invierebbe (quindi il dispositivo potrebbe anche essere davvero vuoto, l'attacco proviene dal firmware).

Puoi anche fare altro cose divertenti, come dire al sistema operativo che il dispositivo USB è anche una tastiera, quindi digitare automaticamente i comandi che fanno qualcosa se è collegato. Oppure dire al sistema operativo che il dispositivo USB è una scheda di rete e reindirizzare tutto il traffico a un server che controlli .

Divertimento senza fine con firmware USB compromessi ...

USB funziona in questo modo, AFAIK, nota dove le bugie potrebbero portare fuori strada il sistema.

1. Il computer fornisce + 5V e GND al dispositivo USB.
2. Microcontrollore nell'USB il dispositivo esegue e trasmette il linguaggio USB per "Questo è un dispositivo di tipo X" (X è disco, fotocamera, tastiera, mouse o qualsiasi dispositivo registrato con USB Consortium).
3. Il computer intraprende un'azione "appropriata" .

Considera dispositivi USB con microcontrollore sovvertito (riprogrammato) ...

  Computer: + 5V, GND Microcontrollore: sono una tastiera Computer: OKMicrocontrollore: "FORMAT C:" ENTER "Y" ENTER  

(riferimento Dilbert)

Cerca la vulnerabilità "BadUSB" per i dettagli.

Lì è ora un gadget GoodUSB: http://hackaday.com/2017/03/02/good-usb-protecting-your-ports-with-two-microcontrollers/

Esistono diversi modi per farlo sembrare vuoto:

• Utilizzo di caratteri non supportati nel nome file

• Utilizzo di opzioni per nascondere i file

• Usare le speciali cartelle di Windows (come le informazioni di sistema)

In tutti i casi, con un file manager decente sarai in grado di rilevarli, ma dall'interno di un sistema operativo Windows sarai in grado di rilevarli solo nel caso 2 e questo se lo hai abilitato per mostrare i file nascosti.

Sì, per lo più è un problema con il sistema operativo Windows.

Sì, ci sono modi per proteggere:

• Usa un buon file manager per vedere il contenuto reale della chiavetta
• Crea assicurati di non avere alcun tipo di esecuzione automatica abilitato
• Assicurati di non eseguire, leggere o trasferire file dalla chiavetta a meno che tu non sappia che sono sicuri

Un computer non è solo un processore, un po 'di RAM e un disco rigido. Ci sono molti processori all'interno di un computer, inclusi processori host USB, processori di tastiera, processori di clock, processori bus di indirizzi, processori IDE / SATA e altro ancora.

Una chiavetta USB "completamente vuota" potrebbe riportare 0 file e cartelle in una singola partizione, anche se fosse, diciamo, una tastiera programmata per pubblicizzarsi come dispositivo di archiviazione di massa.

C'è molta fiducia a livello hardware per la maggior parte dei processori. Il firmware su molte chiavette USB è progettato con l'idea che non sarà programmato dagli utenti finali. Il firmware su molti host USB presume inoltre che non saranno programmati dagli utenti finali.

In altre parole, un utente con competenze tecniche sufficienti potrebbe scrivere il proprio codice su una chiavetta USB, che a sua volta potrebbe scrivere un payload sul processore host USB, che a sua volta potrebbe essere utilizzato per sovvertire altri sistemi tramite bus comuni.

Questo ambiente esiste solo in primo luogo perché la maggior parte dei processori include RAM non volatile che usano come una ROM per memorizzare il loro codice. Ciò consente ai fornitori di creare prima l'hardware, quindi rilasciare il software in un secondo momento. È molto più efficiente dal punto di vista economico che costruire il software direttamente nell'hardware.

Quindi, con tutto questo in mente, ecco le risposte che probabilmente non vorresti sentire:

In che modo le chiavette USB "vuote" possono contenere malware?

Solo perché il sistema operativo vede qualcosa come vuoto non significa che lo sia. Come minimo, ha il codice del firmware in esecuzione in un processore che si avvia nel millisecondo in cui il dispositivo è alimentato. Tutti i dispositivi USB dispongono di memoria, anche tastiere, mouse e schede audio. Se fosse veramente vuoto, il dispositivo non funzionerebbe.

Tuttavia, se il dispositivo si segnala come un dispositivo di archiviazione e il sistema operativo interroga la tabella delle partizioni, il dispositivo può semplicemente inviare tutti i dati che desidera, inclusi sembrare vuoti o avere una capacità di archiviazione arbitraria, ecc. , puoi trovare truffatori che vendono dispositivi di archiviazione con capacità insufficiente che vengono riprogrammati per segnalare una capacità maggiore di quella che hanno. Ad esempio, potresti acquistare una chiavetta da 32 GB che in realtà ha solo 2 GB di memoria fisica. Il firmware risiede nel sistema operativo, che alla fine si traduce in dati corrotti quando l'utente cerca di utilizzare più di (ad esempio) 2 GB di spazio di archiviazione.

Questo è un problema solo per Windows (legacy) sistemi?

No. Questo è un problema praticamente per ogni dispositivo hardware sul mercato. Alcune persone stimano che questo possa raggiungere il 90% o più dei dispositivi, inclusi laptop, tablet, telefoni, desktop, lettori mp3 e qualsiasi altra cosa che abbia firmware USB al suo interno. C'è almeno un produttore di cui ho sentito parlare che ha "rafforzato" il proprio firmware contro la riprogrammazione. Una semplice ricerca su Google troverà dispositivi di archiviazione resistenti alla riprogrammazione.

Esiste un modo per utilizzare questi stick proteggendosi?

No. In effetti, a meno che tu non esamini il codice di ogni firmware prima di collegarlo al tuo computer e, in effetti, leggi il codice del firmware del tuo computer prima di collegarvi qualcosa, non puoi esserne certo. È del tutto possibile che il tuo dispositivo sia stato infettato dalla NSA prima di essere spedito al tuo negozio e venduto a te. Potrebbe anche essere infetto anche se hai acquistato tutto l'hardware in modo frammentario e lo hai costruito da solo. A meno che tu non abbia creato e programmato fisicamente ogni aspetto del tuo computer da solo, non c'è assolutamente modo di essere perfettamente al sicuro.

Il meglio che puoi fare è stabilire un certo livello di fiducia ed evitare comportamenti rischiosi. Evita di acquistare hardware aperto su e-bay, a meno che non ti fidi ragionevolmente del venditore. Preferisci acquistare parti di computer di marca invece di imitazioni knockoff, a meno che tu non possa essere ragionevolmente sicuro che siano sicure (ad esempio fai ricerca). Usa il minor numero di dispositivi possibile ed evita di condividere i tuoi dispositivi con persone che non conosci. In altre parole, prendi le stesse precauzioni che prenderesti quando provi a comprare cibo, un'auto o qualsiasi altra cosa. La maggior parte dell'hardware non è attualmente infetta, solo perché ci sono modi più semplici per ottenere i dati di qualcuno, ma dovresti evitare l'esposizione casuale ai rischi.

La stessa chiavetta USB potrebbe essere il virus, non i dati sulla sua memoria flash.

Lascia che ti mostri come:

• Un dispositivo USB può avere più endpoint
• Un endpoint può ricevere o inviare dati
• Sono necessari 2 endpoint per una normale unità flash USB: Invia e ricevi
• USB 1.1 consente fino a 4 endpoint
• USB 2.0 consente fino a 15 endpoint, penso

Potresti usare gli endpoint rimanenti per emulare una tastiera o un mouse.

Se fatto giusto, l'utente nota solo un'unità flash apparentemente vuota. Quindi non c'è modo di eliminare il virus senza modificare il firmware USB

Diverse buone risposte sopra - un'altra relativa alla risposta di Waltinator sarebbe qualcosa di simile a un USB ruberducky che potrebbe contenere malware in una partizione nascosta che distribuirebbe visualizzando una partizione vuota.

A causa di dati danneggiati. Tutto ciò che può scrivere se stesso nella memoria può in teoria salvarsi da solo senza alcuna interazione da parte dell'utente. Con questa definizione si potrebbe dire che Windows stesso è un malware perché ogni volta che si collega un'unità o una USB, scrive alcuni byte invisibili che potrebbero contenere qualsiasi cosa. Ovunque, dalle informazioni di backup necessarie al sistema operativo o persino da software canaglia che si copia su qualsiasi cosa scrivibile. Negli anni '90 i floppy disk avevano un inserto fisico per il pollice che si poteva capovolgere come un interruttore, ruotandolo in una posizione di blocco i dati non sarebbero scrivibili sul disco. Non esiste niente di simile per le unità USB, anche se sono sicuro che probabilmente c'è un software che può permetterti di bloccare le unità. In Linux nulla viene montato automaticamente a meno che non sia configurato in questo modo, se si rileva malware su hardware rimovibile è un problema di Windows.

La mia risposta breve: è facile falsificare i dati per far sembrare qualcosa che non è.

Questo può essere fatto in modo dannoso o semplicemente come sottoprodotto di un'applicazione diversa.

Caso in questione di sottoprodotto accidentale. Ho una chiavetta USB3 da 16 GB che ho trasformato in una USB avviabile di Kali Linux. Il programma che ho usato ha finito per trasformare lo spazio inutilizzato in una partizione non allocata, quindi ora il sistema vedeva solo la chiavetta come lo spazio totale occupato dai dati ISO. Ho finito per dover utilizzare un programma di partizionamento di terze parti per ripartizionare l'intera chiavetta e ottenere il totale di 16 GB.