Обычная флешка – обычная угроза. Проблема и решение

Классический современный USB-накопитель, или попросту флешка, обеспечивает емкость от сотен мегабайт до нескольких терабайт, и чаще всего используется для хранения данных. Однако помимо основного назначения, хранения, USB-накопители вследствие легкости физического проникновения в защищенные инфраструктуры (размер имеет значение!) могут оказаться еще и источником угрозы…

Еще в 2016 г. независимый исследователь Uzair Amir описал модель использования зарядных USB-устройств как шпионских устройств - Keystroke Loggers. В середине 2017 г. портал WikiLeaks обвинил ЦРУ в создании механизмов незаконного взлома компьютеров через USB-порт с последующим заражением компьютера вредоносным ПО. Про реальные реализации подобных устройств мы писали в статьях «Ковыряясь в ЦРУшном улье…» и «Идеи АНБ в массы! USB-кабель со скрытой SIM-картой – не дорого…».

В чем заключается риск?

Согласно выводам исследователей Karsten Nohl и Jakob Lell, большинство производителей USB-накопителей никак не защищают прошивку на USB-устройствах, а потому ее можно перезаписать, встроив вредоносное ПО. Например, инфицированное устройство USB может быть перепрограммировано для того, чтобы украсть все данные, записанные в каком-либо разделе жесткого диска или на самой флешке. Другой вариант - передача вредоносного кода из модифицированной прошивки на компьютер для последующего самовоспроизведения, как вируса. Сайт TechAdvisory.org полагает, что около 25 процентов вредоносного ПО передаются через USB-накопители.

Karsten Nohl и Jakob Lell описывают три основных способа атак через USB:

1. USB-устройство выдает себя за клавиатуру, направляя собственные команды в операционную систему для вредоносного воздействия (установка вредоносного ПО или кража файлов).

2. USB-устройство имитирует сетевую карту, подменяя при этом записи в DNS для скрытого редиректа сетевого трафика на сторонние URL-адреса.

3. Внешние USB-накопители инфицируют компьютеры до того, как начнется проверка антивирусом.

Как минимизировать риски?

• Избегайте использования чужих USB-устройств

Как правило, большинство из нас беззаботно относится к USB-флешкам. Довольно распространенная ситуация – использование флешек для обмена информацией с коллегами, поставщиками, клиентами, друзьями и т.д., и немногие проверяют флешки перед тем, как воткнуть их в свои компьютеры. Я не говорю даже об антивирусах, что уж говорить про проверку в демилитаризованной зоне. Многие ли выбросят найденную на земле флешку? Вряд ли. Однако, пословица про бесплатный сыр всегда актуальна, и потому стоит помнить, что эти с флешкой на компьютере может появиться незваный гость - вредоносное ПО. Разные исследования и опросы показывают, что почти 50 процентов людей, найдя USB-устройство, вставляют его в свой компьютер, не соблюдая определенные меры предосторожности.

• Не пренебрегайте шифрованием накопителей

Шифрование является одним из наиболее эффективных способов защиты ваших данных, и в особенности данных на съемных накопителях - независимо от того, шифруется ли отдельный контейнер или весь носитель целиком.

• Изменить настройки автозапуска

Настоятельно рекомендуется отключить такие удобные пользовательские функции, как Autoplay и Autorun для съемных накопителей. Функция автоматического запуска предустановленного на устройствах ПО при их вставлении в USB-порт должна запускаться только для доверенных и проверенных устройств.

Как надежно устранить риски в организациях?

Все вышеперечисленные рекомендации могут быть с успехом применены и в домашних условиях, и желательно в комплексе с такими базовыми мерами, как использование антивируса и шифрование файлов и контейнеров. Организациям же в силу простых причин (наличие конфиденциальных корпоративных данных, требующих защиты) можно также воспользоваться специфическими возможностями DLP-систем. Далеко не всегда сотрудникам для выполнения их бизнес-процессов необходим свободный доступ к порту USB, не говоря уже про сомнительную необходимость пользоваться любыми флешками, попавшимися в руки.

Отсюда вытекает последняя рекомендация данной заметки – использовать DeviceLock DLP, как лучший в мире программный продукт для контроля доступа к устройствам и портам. При корректном разграничении доступа к съемным накопителям и контроле USB-порта с помощью DeviceLock DLP риски использования неавторизованных устройств, запуска вредоносного ПО могут быть сведены практически к нулю.

P.S. А еще стоит не забывать про удаление личных и служебных конфиденциальных данных с флешек, если они там больше не нужны. Для забывчивых отлично подходит продукт DeviceLock Discovery ;)

Автор: Сергей Вахонин