Каким образом usb накопители могут представлять риск для безопасности

Обновлено: 07.07.2024

USB-накопители: «маленькая» угроза IT безопасности

Почему карты памяти и другие USB-устройства хранения данных могут быть самыми опасными устройствами в вашей организации.

Переносные устройства хранения данных так малы, удобны и, казалось бы, безобидны. Сложно поверить, что эти устройства создают большую угрозу безопасности, но это так. По сути дела, карты памяти, USB накопители, мультимедийные проигрыватели и другие портативные устройства хранения, подключаемые через USB порт несут собой двойную угрозу, потому что позволяют пользователям тайно скопировать конфиденциальную информацию из корпоративных серверов, а также внедрить вредоносное и шпионское ПО в сетевых системах, причем без активных действий пользователя.

Запрет на использование переносных устройств хранения обычно не сильно уменьшает угрозу. Различные исследования(в том числе проводимое в прошлом году Boston-based Yankee Group Research Inc.) показывают, что сотрудники предприятия, которым запрещают пользоваться такими устройствами, обычно уверены, что они смогут использовать их на рабочем месте. Тридцать один процент работников заявили, что они могут обойти защиту, и лишь 13 процентов от респондентов считают, что сотрудники IT-департамента имеют полный контроль над их компьютерами.

Тем не менее, ситуация отнюдь не безнадежна. Угрозы со стороны переносных устройств хранения могут быть значительно сокращены либо полностью ликвидированы, если следовать стратегии, которая сочетает в себе 3 основных принципа: планирование, технологии и коммуникации.

Шаг первый: Осознание угрозы. Переносные устройства хранения (USB-накопители) дешевы и широко распространены. Устройства продаются буквально в переходах, вручаются в качестве премий или даже как реклама с логотипом торговой марки, осуществляется обмен между сотрудниками и деловыми партнерами. Заклейка USB портов компьютера не улучшит ситуацию. Устройства хранения в настоящее время имеют широкое применение, поэтому полное их блокирование нанесет вред производительности труда. Гораздо лучший подход заключается в том, чтобы добавить переносные устройства хранения в политику безопасности предприятия.

Чтобы избежать заражения IT-ресурсов вредоносными программами, которые могут быть принесены на портативном устройстве хранения, компьютеры, серверы и сетевые устройства должны быть защищены различными технологиями безопасности. Антивирусное ПО должно блокировать вредоносный код на портативных устройствах.

Шаг четвертый: Обучение сотрудников. Многие работники не знают о рисках использования переносных устройств хранения информации. Существует много способов передать необходимые данные: защищенная корпоративная электронная почта, внутренний веб-портал и другие. Сотрудникам необходимо объяснить какие действия допустимы с их стороны, чтобы свести к минимуму угрозы. Очень важно напомнить сотрудникам, что они будут нести ответственность за безопасность данных в случаях возникновения проблем. Всякий раз, когда это возможно, системы должны оповещать пользователей, если те собираются выполнить потенциально опасные действия с USB устройствами.

Нельзя не обращать внимание на угрозы использования переносных устройств хранения данных. Необходимо осознать угрозы и принять меры по их минимизации.

22 июня 2009 15:27 | Статьи

Я не понял, поясните. Типо, все флэшки (Зараза)

Ну, с параметрами по умолчанию, типа того..

НЕ зараза, просто надо с мозгами их пользовать

А о чем по вашему статья? Именно об этом!

А мозги чьи использовать? можно рака? или еще чьи

у меня флешка с кучей всякого мусора, в том числе и программ,
на рабочем компе фирмы стоит хитрая програмулина, которая при подключении флешки переименовала все .exe файлы в корневой папке, когда они мне понадобились, я переименовал обратно, и все работает.
никто не знает че за програмка ?

flash autorun kill

Про шифрование очень правильно, а остальные пункты муть и лажа. Кому позарез надо, тот внесет и вынесет. Кадры надо подбирать порядочные.
А флэшки и для архивации полезны, и для работы из дома. Конечно, если антивирусной политики ноль, то беды. Но это опять же проблема кадров, на этот раз сисадминских.

Новое исследование, проведенное компанией Honeywell, показало, что съемные USB-носители «внезапно» представляют угрозу, описываемую как «значительную и преднамеренную», для защиты промышленных сетей управления технологическими процессами.


В отчете сообщается, что на 44% проанализированных USB-накопителей был выявлен и заблокирован по крайней мере один файл, угрожавший безопасности. Четверть (26%) из обнаруженных файлов была способна нанести серьезный ущерб, в результате которых операторы могли потерять возможность видеть ход выполнения операций или управлять им. Среди обнаруженных угроз были такие как TRITON, Mirai, разные формы червя Stuxnet. Сравнительный анализ также показал, что традиционные средства защиты от вредоносных программ не смогли обнаружить до 11% выявленных угроз.

Учитывая, что задаче защиты и ограничения доступа к корпоративным сетям традиционно уделяется большее внимание, чем контролю устройств, уязвимость организаций от съемных носителей USB становится еще более очевидной.

А внимания уделяют частенько слишком мало. Так, одной из нашумевших тем, сопутствовавших президентским выборам 2016 г. в США, был взлом почтового сервера Демократической партии (DNC) с хищением переписки огромного объема. Как утверждали демократы и чиновники, взлом был произведен из Румынии, и в деле участвовали российские хакеры или спецслужбы, и сделано это было ради попытки вмешаться в выборы – а все остальные версии не что иное, как «теория заговора».

Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике. Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 года с сервера DNC было загружено 1976 мегабайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 МБ/с. При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не позволял передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 года были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 МБ/с соответственно. Пиковые скорости с более высокими скоростями регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 мегабайт в секунду. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.

В то же время, скорость в 23 МБ/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Кроме того, эксперты полагают, что объем похищенных данных слишком велик для передачи через Интернет. Все это позволяет сделать вывод, что хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на внешний USB накопитель.

Не столь давно было опубликовано другое одно весьма интересное исследование, выполненное австралийскими специалистами из University of Adelaide. Они протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что более 90 процентов из них передают информацию на внешнее устройство USB, не являющееся прямым адресатом при передаче данных. «Считалось, что, поскольку информация передается только по прямому пути между USB-устройством и компьютером, она защищена от потенциально скомпрометированных устройств», — сказал Yuval Yarom, «Но наши исследования показали, что если вредоносные устройства, подключены к соседним портам на одном и том же внешнем или внутреннем USB-хабе, эта конфиденциальная информация может быть захвачена вредоносным устройством». Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных. В качестве теста для подтверждения гипотезы исследователи использовали модифицированное недорогое устройство с подключаемым USB-разъемом для считывания каждого нажатия клавиши с соседнего USB-интерфейса клавиатуры, после чего перехваченные данные были отправлены через Bluetooth на другой компьютер.

Как исследование австралийского университета, так и анализ утечки почтовой переписки с сервера DNC прямо говорят о том, что тенденция последних лет забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, категорически ошибочна и даже вредна. Да, сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации, а значит, их использование для хищения конфиденциальной информации все еще актуально, и более того – намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту. Более того, возможность атаки вредоносного ПО со съемного USB-накопителя также следует иметь в виду как потенциальную угрозу.

До некоторых организаций, много лет игнорировавших угрозу USB, проблема все же доходит. Как говорится, лучше позже, чем никогда. Так, весной 2018 г. компания IBM запретила своим сотрудникам использовать съемные устройства хранения данных. В директивной рассылке для сотрудников Global CIO Shamla Naidoo сообщил, что компания «расширяет практику запрета передачи данных на все съемные портативные устройства хранения данных (USB, SD-карта, флэш-накопитель)». В качестве аргумента был приведен возможный финансовый и репутационный ущерб от утери или некорректного использования съемных устройств хранения. Подход был выбран радикальный – просто запретить USB. При этом разработчикам было рекомендовано использовать собственный облачный сервис синхронизации и обмена для хранения и передачи данных.

Нам неизвестно, какие методы и средства для блокировки USB выбрали IBM и Amazon, но учитывая информацию о том, что в IBM думают о возможности предоставления исключений при блокировке USB порта для отдельных сотрудников, вряд ли это полноценный DLP-продукт.

К сожалению, многие решения, позиционируемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне, или препятствуя старту драйвера устройства. Такая «защита» является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности – и уж точно никак не способна помешать зловреду атаковать компьютер с флешки.

Качественная нейтрализация угроз, связанных с использованием интерфейса USB, достигается посредством гибкого сочетания функций мониторинга и контроля доступа к устройствам, подключаемым через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройство хранения данных, но являющихся потенциальным каналом утечки данных или проникновения зловредов.

В заключении хочу заметить, что наш продукт DeviceLock DLP еще с версии DeviceLock 5.5, опубликованной в далеком 2003 г., обеспечивает полноценный контроль портов USB и FireWire. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через USB-устройства, съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и другие каналы передачи данных. Кроме того, поддержка событийного протоколирования и теневого копирования в DeviceLock DLP обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.

HID-устройства, превращенные в «троянских коней», и кабели-шпионы могут использоваться для проникновения даже в изолированные системы.

Однако не стоит забывать о том, что USB-устройства — это не только флешки. Устройства типа human interface devices (HID), такие как клавиатуры и мыши, зарядные кабели для смартфонов и даже плазменные шары и термокружки — все они могут быть использованы при атаке на промышленные системы.

Краткая история зловредных USB-устройств

Кибероружие в виде USB-устройств появилось довольно давно, первые модели увидели свет еще в 2010 году. В них была небольшая программируемая плата Teensy со стандартным USB-разъемом. Они могли имитировать работу HID-устройства (например, клавиатуры). Злоумышленники быстро сообразили, что такие устройства можно использовать для проникновения: они разработали версию, которая умела создавать новых пользователей в системе, запускать программы с бэкдорами и загружать в систему вредоносное ПО, копируя его с устройства или скачивая с сайта.

Первая модификация Teensy получила название PHUKD. За ней последовала Kautilya, совместимая с большинством популярных плат Arduino. Позже появился Rubberducky — пожалуй, самый известный USB-эмулятор нажатий клавиш (скажем спасибо Mr. Robot), выглядевший как обычная флешка. Более мощное устройство под названием Bash Bunny использовалось для атак на банкоматы.

Второе поколение вредоносных USB-устройств было создано в 2014–2015 годах — среди них, в частности, печально известные решения на базе BadUSB. Еще заслуживают упоминания TURNIPSCHOOL и Cottonmouth, которые, возможно, были разработаны Агентством национальной безопасности США. Эти устройства были настолько крохотными, что запросто помещались внутри USB-кабеля. С их помощью можно было добыть данные даже из компьютеров, которые не были подключены ни к каким сетям. Это же самый обычный кабель — кто заподозрит неладное?

Как сейчас обстоят дела со зловредными USB-устройствами

Третье поколение USB-устройств, тестирующих системы на проникновение, — это уже совершенно другой уровень. Один из таких инструментов — WHID Injector. По сути, это Rubberducky с возможностью удаленного подключения. Благодаря поддержке Wi-Fi его уже не надо заранее программировать на определенный род деятельности: преступник может управлять устройством дистанционно, что дает ему возможность действовать по ситуации и работать в разных операционных системах. Еще один инструмент третьего поколения — P4wnP1, основанный на Raspberry Pi, модификация Bash Bunny с дополнительными функциями, включая беспроводное подключение.

Разумеется, и WHID Injector, и Bash Bunny достаточно компактны и легко помещаются в клавиатуру или мышь. На этом видеоролике показан ноутбук, который не подключен к Интернету ни по локальной сети, ни через Wi-Fi, но к нему подсоединена клавиатура с трояном, которая позволяет атакующему удаленно выполнять команды и запускать приложения.

Миниатюрные USB-устройства вроде тех, о которых мы говорили выше, можно запрограммировать так, чтобы они выдавали себя за определенную модель HID-устройства. Так можно обходить политики безопасности в компаниях, где требуют использовать мыши и клавиатуры только определенных производителей. В инструментах вроде WHID Injector также может быть микрофон, который используется для прослушки и наблюдения за сотрудниками. Одного такого устройства может быть достаточно, чтобы скомпрометировать всю сеть целиком, если она не сегментирована надлежащим образом.

Как защитить системы от вредоносных USB-устройств

Троянизированные мыши, клавиатуры и кабели-шпионы представляют серьезную угрозу даже для изолированных систем. Сегодня инструменты для таких атак стоят дешево, а чтобы их программировать, не нужны специальные навыки. Так что вам следует постоянно быть начеку.

Для защиты критически важной инфраструктуры следует использовать многоуровневый подход.

Безопасные USB-накопители защищают хранящиеся на них данные от доступа неавторизованных пользователей. USB-накопители представлены на рынке с 2000 года, и их использование растет экспоненциально. Поскольку как потребители, так и компании увеличивают спрос на эти диски, производители выпускают более быстрые устройства с большей емкостью хранения данных .

Все большее число портативных устройств используются в бизнесе, таких как ноутбуки , ноутбуки , карманные персональные компьютеры (КПК), смартфоны , USB флэш - накопителей и других мобильных устройств.

Компании, в частности, подвергаются риску, когда конфиденциальные данные хранятся на незащищенных USB-накопителях сотрудниками, которые используют устройства для передачи данных за пределы офиса. Последствия потери дисков, загруженных такой информацией, могут быть значительными, включая потерю данных клиентов, финансовой информации, бизнес-планов и другой конфиденциальной информации с соответствующим риском ущерба репутации.

Содержание

Основные опасности USB-накопителей

Флэш-накопители USB создают две основные проблемы для безопасности информационных систем: утечка данных из-за их небольшого размера и повсеместного распространения, а также компрометация системы из-за заражения компьютерными вирусами , вредоносным и шпионским ПО .

Утечка данных

Большая емкость флэш-накопителей USB по сравнению с их небольшим размером и низкой стоимостью означает, что их использование для хранения данных без надлежащего оперативного и логического контроля может представлять серьезную угрозу доступности, конфиденциальности и целостности информации. При обеспечении безопасности важных активов следует учитывать следующие факторы:

  • Хранение: USB-флеш-накопители трудно отслеживать физически, они хранятся в сумках, рюкзаках, чехлах для ноутбуков, куртках, карманах брюк или остаются на рабочих местах без присмотра.
  • Использование: отслеживание корпоративных данных, хранящихся на персональных флеш-накопителях, является сложной задачей; диски маленькие, обычные и постоянно движущиеся. Хотя на многих предприятиях действуют строгие правила управления USB-накопителями, и некоторые компании полностью запрещают их использование, чтобы минимизировать риск, другие, похоже, не знают о рисках, которые эти устройства представляют для безопасности системы.

Средняя стоимость утечки данных из любого источника (не обязательно флэш-накопителя) колеблется от менее 100 000 долларов до примерно 2,5 миллионов долларов.

Обзор SanDisk охарактеризовал данные, которые корпоративные конечные пользователи копируют чаще всего:

  1. Данные клиентов (25%)
  2. Финансовая информация (17%)
  3. Бизнес-планы (15%)
  4. Данные сотрудников (13%)
  5. Маркетинговые планы (13%)
  6. Интеллектуальная собственность (6%)
  7. Исходный код (6%)

Примеры нарушений безопасности в результате использования USB-накопителей:

  • В Великобритании:
    • HM Revenue & Customs потеряла личные данные 6500 держателей частных пенсий
    • украли USB-накопитель с именами, оценками и номерами социального страхования 6500 бывших студентов.
    • USB-накопители с секретной военной информацией армии США продавались на базаре недалеко от Баграма в Афганистане.

    Заражение вредоносным ПО

    На заре компьютерных вирусов, вредоносного и шпионского ПО основным средством передачи и заражения были дискеты . Сегодня флеш-накопители USB выполняют ту же роль хранения и передачи данных и программного обеспечения, что и дискеты, часто используемые для передачи файлов между компьютерами, которые могут находиться в разных сетях, в разных офисах или принадлежать разным людям. Это сделало USB-накопители ведущей формой заражения информационных систем. Когда вредоносная программа попадает на USB-накопитель, она может заразить устройства, к которым этот накопитель впоследствии подключен.

    Распространенность заражения вредоносным ПО с помощью USB-накопителя была задокументирована в исследовании Microsoft 2011 года, в котором анализировались данные из более чем 600 миллионов систем по всему миру в первой половине 2011 года. Исследование показало, что 26 процентов всех вредоносных программ заражения системы Windows были вызваны USB-накопители, использующие функцию автозапуска в Microsoft Windows . Этот вывод согласуется с другими статистическими данными, такими как ежемесячный отчет антивирусной компании ESET о наиболее часто обнаруживаемых вредоносных программах, в котором злоупотребление autorun.inf занесено в первую десятку угроз в 2011 году.

    Файл Windows autorun.inf содержит информацию о программах, которые должны запускаться автоматически, когда пользователь ПК с Windows обращается к съемным носителям (часто USB-флешкам и аналогичным устройствам). Параметр автозапуска по умолчанию в версиях Windows до Windows 7 автоматически запускает программу, указанную в файле autorun.inf, при доступе ко многим типам съемных носителей. Многие типы вредоносных программ копируют себя на съемные запоминающие устройства: хотя это не всегда основной механизм распространения программы, авторы вредоносных программ часто встраивают дополнительные методы заражения.

    Примеры вредоносных программ, распространяемых через USB-накопители, включают:

    • Duqu коллекция компьютерных вредоносных программ.
    • Пламя модульное компьютер вредоносных программ.
    • Stuxnet вредоносный компьютерный червь.

    Решения

    Поскольку безопасность физического диска не может быть гарантирована без ущерба для преимуществ переносимости, меры безопасности в первую очередь направлены на то, чтобы сделать данные на скомпрометированном диске недоступными для неавторизованных пользователей и неавторизованных процессов, например, которые могут быть выполнены вредоносным ПО. Один из распространенных подходов - зашифровать данные для хранения и регулярно сканировать USB-накопители на предмет компьютерных вирусов, вредоносных программ и шпионского ПО с помощью антивирусной программы, хотя возможны и другие методы.

    Программное шифрование

    Программные решения, такие как BitLocker , DiskCryptor и популярный VeraCrypt, позволяют автоматически и прозрачно шифровать содержимое USB-накопителя. Кроме того, Windows 7 Enterprise, Windows 7 Ultimate и Windows Server 2008 R2 обеспечивают шифрование USB-накопителя с помощью BitLocker to Go. Apple Computer Mac OS X операционная система предоставляет программное обеспечение для шифрования данных диска , так как Mac OS X Panther был выпущен в 2003 году (см также: Disk Utility ).

    На внешний USB-накопитель можно установить дополнительное программное обеспечение, чтобы предотвратить доступ к файлам в случае потери или кражи накопителя. Установка программного обеспечения на компьютеры компании может помочь отслеживать и минимизировать риски, записывая взаимодействия между любым USB-накопителем и компьютером и сохраняя их в централизованной базе данных.

    Аппаратное шифрование

    Некоторые USB-накопители используют аппаратное шифрование, при котором микрочипы на USB-накопителе обеспечивают автоматическое и прозрачное шифрование. Некоторые производители предлагают накопители, требующие ввода пин-кода на физической клавиатуре устройства, прежде чем разрешить доступ к диску. Стоимость этих USB-накопителей может быть значительной, но начинает снижаться из-за того, что этот тип USB-накопителей набирает популярность.

    Аппаратные системы могут предлагать дополнительные функции, такие как возможность автоматической перезаписи содержимого диска, если неправильный пароль вводится более определенного количества раз. Этот тип функциональности не может быть обеспечен программной системой, поскольку зашифрованные данные можно просто скопировать с диска. Однако эта форма аппаратной безопасности может привести к потере данных при случайной активации законными пользователями, а надежные алгоритмы шифрования по существу делают такую ​​функциональность избыточной.

    Поскольку ключи шифрования, используемые при аппаратном шифровании, обычно никогда не хранятся в памяти компьютера, технически аппаратные решения менее подвержены атакам « холодной загрузки », чем программные системы. В действительности, однако, атаки «холодной загрузки» не представляют особой угрозы (если вообще не представляют), если предположить, что базовые, элементарные меры безопасности принимаются с программными системами.

    Взломанные системы

    Безопасность зашифрованных флеш-накопителей постоянно проверяется отдельными хакерами, а также профессиональными охранными фирмами. Иногда (как в январе 2010 г.) флеш-накопители, которые считались безопасными, оказывались плохо спроектированными, так что они практически не обеспечивали безопасности, давая доступ к данным без знания правильного пароля.

    Флеш-накопители, которые были взломаны (и, как утверждается, теперь исправлены), включают:

    • SanDisk Cruzer Enterprise
    • Kingston DataTraveler BlackBox
    • Корпоративный безопасный USB-накопитель Verbatim
    • Trek Technology ThumbDrive CRYPTO

    Все вышеперечисленные компании отреагировали незамедлительно. Kingston предложила на замену накопители с другой архитектурой безопасности. SanDisk, Verbatim и Trek выпустили исправления.

    Удаленное управление

    В коммерческих средах, где используются наиболее безопасные USB-накопители, система централизованного / удаленного управления может предоставить организациям дополнительный уровень контроля ИТ-активов, что значительно снижает риски вредоносной утечки данных. Это может включать начальное развертывание и текущее управление пользователями, восстановление пароля, резервное копирование данных, удаленное отслеживание конфиденциальных данных и отключение любых выпущенных защищенных USB-накопителей. Такие системы управления доступны как программное обеспечение как услуга (SaaS), где разрешено подключение к Интернету, или как решения за межсетевым экраном.

    Читайте также: