ARinteg.ru
  • Москва
  • Санкт-Петербург
  • Екатеринбург
  • Ереван
  • +7 (495) 221 21 41
  • +7 (812) 407 34 71
  • +7 (343) 247 83 68
  • +374 (60) 28 00 03
facebook home mail site-map

По секрету всему свету: USB-устройства уязвимы

28.08.2017

Злоумышленник может перехватывать информацию, которой обменивается USB-устройство с компьютером или смартфоном

Волк в овечьей шкуре

USB-устройства удобны для обмена данными. Пользователи считают, что данные поступают напрямую с такого устройства в компьютер / смартфон (или в обратном направлении) и поводов для беспокойства нет. Однако исследователи из Школы информатики Университета Аделаиды (Австралия), обнародовавшие в августе 2017 г. свой доклад, уверены в обратном.

Они изучили работу 50 компьютеров и различных USB-устройств и выяснили, что 90% из них уязвимы. Уязвимости ведут к утечкам данных и могут использоваться злоумышленником для перехвата конфиденциальной информации — паролей, PIN-кодов, номеров платежных карт и т.д.

Что роднит водопровод и USB-устройство

Доктор Ювал Яром, вошедший в число авторов доклада, поясняет методику возможных действий злоумышленника. «Электронные сигналы так же подвержены утечке, как и вода из трубы», — говорит исследователь.

Но вода сочится из трубы, если та поражена ржавчиной, например. А что выступает в роли ржавчины в нашем случае? Электромагнитные наводки, специально генерируемые злоумышленником. Они, как рыбацкие сети, захватывают сигналы и усиливают их.

Студенты доктора Ярома встроили в USB-коннектор дешёвый чип — «закладку». Она создавала те самые наводки, с их помощью перехватывала данные с соседних устройств, подключенных к USB-портам, и по Bluetooth отправляла их на другой компьютер. Ничто не мешает внедрить закладку в иное USB-устройство («флешку», накопитель на жестких дисках, клавиатуру, мышь и т.п.) и дополнить каналы доставки, скажем, SMS-извещением.

Лучше быть умным, чем жадным

Итак, с техникой всё ясно. Осталось выяснить, как устройство с закладкой проникает в «ближний круг» пользователя. Здесь уже вступает в действие социальная инженерия.

В принципе, угрозами или подкупом можно заставить пронести и подключить устройство с закладкой сотрудника фирмы-конкурента. Но всё может быть гораздо проще и дешевле.

Доктор Яром провел ещё одно исследование и выяснил, что в 75% случаев люди поднимают валяющиеся на полу или земле бесхозные «флешки» и начинают активно их использовать. В самом деле — не пропадать же добру! А то, что находка может быть с неприятным сюрпризом, никто в расчет не принимает.

Вот и сложились все части мозаики. Закладка в USB-устройстве, перехватывающая информацию с других устройств и отправляющая ее злоумышленнику. Бережливый пользователь, подобравший и подключивший ничейную «флешку» с закладкой. И его коллеги или родные, не ведающие, что у данных на их USB-устройствах появился еще один заинтересованный «читатель».

Что делать?

В идеале — убедиться, что используемые устройства абсолютно безопасны. Но это долго, сложно и, по большому счёту, мало что даёт.

Во-первых, в качестве «канала утечки» может выступать Ваш коллега, завербованный или принуждаемый к противоправному сотрудничеству разведкой фирмы-конкурента. А для доставки интересующей разведку информации она может быть быстро скачана на USB-устройство, которое, в свою очередь, незаметно выносится в кармане или сумке.

Во-вторых, номенклатура и число USB-устройств таковы, что создать из них доверенную среду в компании нереально. Вы уверены в безопасности своих устройств, но где такие же гарантии для устройств, подключённых к соседнему компьютеру? Радиус действия наводок, генерируемых закладкой, невелик, но вполне может охватить средних размеров помещение.

Лучший способ сэкономить свои силы, средства и время — обратиться к профессионалам. Специалисты компании ARinteg:

· проведут комплексный аудит информационной безопасности;

· разработаю политику информационной безопасности;

· внедрят и настроят средства защиты конфиденциальных данных от утечки и контроля доступа к устройствам и портам




Возврат к списку

ARinteg.ru
© Все права защищены 2003-2017 г.
ООО "АРинтег"
Политика обработки персональных данных
qrcode
pci
abiss
НП "АБИСС"
facebook