December 15, 2018

Почему атаки через USB-устройства все еще актуальны?

Новое исследование, проведенное компанией Honeywell, показало, что съемные USB-носители «внезапно» представляют угрозу, описываемую как «значительную и преднамеренную», для защиты промышленных сетей управления технологическими процессами.

В отчете сообщается, что на 44% проанализированных USB-накопителей был выявлен и заблокирован по крайней мере один файл, угрожавший безопасности. Четверть (26%) из обнаруженных файлов была способна нанести серьезный ущерб, в результате которых операторы могли потерять возможность видеть ход выполнения операций или управлять им. Среди обнаруженных угроз были такие как TRITON, Mirai, разные формы червя Stuxnet. Сравнительный анализ также показал, что традиционные средства защиты от вредоносных программ не смогли обнаружить до 11% выявленных угроз.

Учитывая, что задаче защиты и ограничения доступа к корпоративным сетям традиционно уделяется большее внимание, чем контролю устройств, уязвимость организаций от съемных носителей USB становится еще более очевидной.

А внимания уделяют частенько слишком мало. Так, одной из нашумевших тем, сопутствовавших президентским выборам 2016 г. в США, был взлом почтового сервера Демократической партии (DNC) с хищением переписки огромного объема. Как утверждали демократы и чиновники, взлом был произведен из Румынии, и в деле участвовали российские хакеры или спецслужбы, и сделано это было ради попытки вмешаться в выборы – а все остальные версии не что иное, как «теория заговора».

Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике. Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 года с сервера DNC было загружено 1976 мегабайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 МБ/с. При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не позволял передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 года были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 МБ/с соответственно. Пиковые скорости с более высокими скоростями регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 мегабайт в секунду. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.

В то же время, скорость в 23 МБ/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Кроме того, эксперты полагают, что объем похищенных данных слишком велик для передачи через Интернет. Все это позволяет сделать вывод, что хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на внешний USB накопитель.

Не столь давно было опубликовано другое одно весьма интересное исследование, выполненное австралийскими специалистами из University of Adelaide. Они протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что более 90 процентов из них передают информацию на внешнее устройство USB, не являющееся прямым адресатом при передаче данных. «Считалось, что, поскольку информация передается только по прямому пути между USB-устройством и компьютером, она защищена от потенциально скомпрометированных устройств», — сказал Yuval Yarom, «Но наши исследования показали, что если вредоносные устройства, подключены к соседним портам на одном и том же внешнем или внутреннем USB-хабе, эта конфиденциальная информация может быть захвачена вредоносным устройством». Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных. В качестве теста для подтверждения гипотезы исследователи использовали модифицированное недорогое устройство с подключаемым USB-разъемом для считывания каждого нажатия клавиши с соседнего USB-интерфейса клавиатуры, после чего перехваченные данные были отправлены через Bluetooth на другой компьютер.

Как исследование австралийского университета, так и анализ утечки почтовой переписки с сервера DNC прямо говорят о том, что тенденция последних лет забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, категорически ошибочна и даже вредна. Да, сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации, а значит, их использование для хищения конфиденциальной информации все еще актуально, и более того – намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту. Более того, возможность атаки вредоносного ПО со съемного USB-накопителя также следует иметь в виду как потенциальную угрозу.

До некоторых организаций, много лет игнорировавших угрозу USB, проблема все же доходит. Как говорится, лучше позже, чем никогда. Так, весной 2018 г. компания IBM запретила своим сотрудникам использовать съемные устройства хранения данных. В директивной рассылке для сотрудников Global CIO Shamla Naidoo сообщил, что компания «расширяет практику запрета передачи данных на все съемные портативные устройства хранения данных (USB, SD-карта, флэш-накопитель)». В качестве аргумента был приведен возможный финансовый и репутационный ущерб от утери или некорректного использования съемных устройств хранения. Подход был выбран радикальный – просто запретить USB. При этом разработчикам было рекомендовано использовать собственный облачный сервис синхронизации и обмена для хранения и передачи данных.

Другой монстр мировой экономики, онлайн-ритейлер Amazon.com, во имя борьбы с мошенничеством сотрудников, сливающих внутреннюю информацию независимым продавцам, пошел на увольнение подозреваемых сотрудников в США и Индии за то, что они якобы неправомерно получили доступ к инсайдерским данным. Чтобы избежать мошенничества и утечек, Amazon ограничил для сотрудников технической поддержки возможности поиска по внутренней базе данных, а также запретил использовать USB-порты.

Нам неизвестно, какие методы и средства для блокировки USB выбрали IBM и Amazon, но учитывая информацию о том, что в IBM думают о возможности предоставления исключений при блокировке USB порта для отдельных сотрудников, вряд ли это полноценный DLP-продукт.

К сожалению, многие решения, позиционируемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне, или препятствуя старту драйвера устройства. Такая «защита» является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности – и уж точно никак не способна помешать зловреду атаковать компьютер с флешки.

Качественная нейтрализация угроз, связанных с использованием интерфейса USB, достигается посредством гибкого сочетания функций мониторинга и контроля доступа к устройствам, подключаемым через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройство хранения данных, но являющихся потенциальным каналом утечки данных или проникновения зловредов.

В заключении хочу заметить, что наш продукт DeviceLock DLP еще с версии DeviceLock 5.5, опубликованной в далеком 2003 г., обеспечивает полноценный контроль портов USB и FireWire. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через USB-устройства, съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и другие каналы передачи данных. Кроме того, поддержка событийного протоколирования и теневого копирования в DeviceLock DLP обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.