Jak się obronić?

Roger Grimes (specjalista od spraw bezpieczeństwa a zarazem publicysta Infoworlda) swój pierwszy wirus USB opracował przed siedmiu laty, gdy pracował dla firmy Foundstone. Zorientował się, że może używać ukrytych plików desktop.ini do wprowadzenia dowolnej wykonywalnej zawartości. Dzięki temu pomijano blokujące mechanizmy obronne typu autorun i autoplay. Odkrył również, że może to robić używając klucza USB.

Infekcje za pośrednictwem USB wtedy nadal stanowiły poważne zagrożenie, choć nowe domyślne ustawienia Microsoft dotyczące mechanizmów autouruchamiania i autoodtwarzania sprawiły, że ryzyko zmniejszyło się.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Z jakimi zagrożeniami borykał się Android w 2023 roku?

Specjaliści ds. bezpieczeństwa IT muszą zrozumieć, że zagrożenie dla komputera może stanowić niemal każde urządzenie podłączone do niego. Hardware to hardware - instrukcje zakodowane w nim oraz jego firmware mają pierwszeństwo przed oprogramowaniem. Gdy mówimy o granicach zaufania w zakresie bezpieczeństwa komputera, zawsze należy pamiętać, żeby omawiać granice sprzętu, umieć je wyznaczać oraz bronić ich. Natomiast jeśli napastnik potrafi przekonać ofiarę do podłączenia jakiegoś rodzaju sprzętu czy sam go podłączy, wtedy wszystkie ambitne założenia dotyczące ochrony legną w gruzach. "Jeśli mogę podłączyć coś do portu USB (i nie musi to być pen-drive), DMA, FireWire - prawdopodobnie uda mi się przeprowadzić szkodliwe działania" - przestrzega Grimes.

A co z naszymi (bezpiecznymi, zaszyfrowanymi) danymi jeśli napastnik ma fizyczny dostęp do sprzętu? Przed dwoma laty dostawcy rozwiązań do szyfrowania dysków zostali ponownie zaalarmowani, że ich oprogramowanie może być obchodzone przez zamrażanie pamięci RAM i analizę zapisanych w nich danych na innym komputerze (polecamy film poniżej). Inny badacz dowiódł, że jest w stanie pobierać klucze szyfrowania przechowywane głęboko w specjalizowanych układach zgodnych ze specyfikacją TPM (Trusted Platform Module).

Aby podjąć skuteczny atak, fizyczny dostęp do komputera ofiary wcale nie jest konieczny. Z powodzeniem działa przecież sporo "programów antywirusowych" oraz złośliwych linków e-mailowych - infekujących dziesiątki milionów użytkowników.

Grimes podaje kilka zaleceń jak uchronić się przed atakami typu podobnymi do tego przeprowadzonego przez NetraGard. Przede wszystkim należy uświadomić użytkownikom końcowym, że wszystko, co jest podłączane do ich komputerów może uruchomić złośliwy kod. A darmowy pendrive USB otrzymany na wystawie czy konferencji? Nie należy go podłączać do sieci, ani też otrzymanej myszy, klawiatury czy cokolwiek innego, jeśli istnieje zwiększone ryzyko fizycznego ataku.

Można wyłączyć niepotrzebne porty w BIOS-ie lub na poziomie systemu operacyjnego. Wyłączenie w BIOSie jest lepsze - chroni przed atakami już przy starcie systemu. Niestety, nie można w ten sposób wyłączyć wszystkich portów - bez ochrony na poziomie systemu (smart security itp.) się nie obejdziemy.

"Zanim nie zostaną odkryte lepsze rozwiązania, będziemy musieli żyć z odrobiną ryzyka ze strony fizycznych zagrożeń" - konkluduje Grimes, i dodaje: "Dobre zabezpieczenie komputera polega na właściwej ocenie aktualnych zagrożeń oraz wiedzy, na których z nich się skoncentrować".