Новое исследование, проведенное компанией Honeywell, показало, что съемные USB-носители «внезапно» представляют угрозу, описываемую как «значительную и преднамеренную», для защиты промышленных сетей управления технологическими процессами.
В отчете сообщается, что на 44% проанализированных USB-накопителей был выявлен и заблокирован по крайней мере один файл, угрожавший безопасности. Четверть (26%) из обнаруженных файлов была способна нанести серьезный ущерб, в результате которых операторы могли потерять возможность видеть ход выполнения операций или управлять им. Среди обнаруженных угроз были такие как TRITON, Mirai, разные формы червя Stuxnet. Сравнительный анализ также ��оказал, что традиционные средства защиты от вредоносных программ не смогли обнаружить до 11% выявленных угроз.
Учитывая, что задаче защиты и ограничения доступа к корпоративным сетям традиционно уделяется большее внимание, чем контролю устройств, уязвимость организаций от съемных носителей USB становится еще более очевидной.
А внимания уделяют частенько слишком мало. Так, одной из нашумевших тем, сопутствовавших президентским выборам 2016 г. в США, был взлом почтового сервера Демократической партии (DNC) с хищением переписки огромного объема. Как утверждали демократы и чиновники, взлом был произведен из Румынии, и в деле участвовали российские хакеры или спецслужбы, и сделано это было ради попытки вмешаться в выборы – а все остальные версии не что иное, как «теория заговора».
Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике. Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 года с сервера DNC было загружено 1976 мегабайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 МБ/с. При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не позволял передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 года были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 МБ/с соответственно. Пиковые скорости с более высокими скоростями регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 мегабайт в секунду. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.
В то же время, скорость в 23 МБ/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Кроме того, эксперты полагают, что объем похищенных данных слишком велик для передачи через Интернет. Все это позволяет сделать вывод, что хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на в��ешний USB накопитель.
Не столь давно было опубликовано другое одно весьма интересное исследование, выполненное австралийскими специалистами из University of Adelaide. Они протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что более 90 процентов из них передают информацию на внешнее устройство USB, не являющееся прямым адресатом при передаче данных. «Считалось, что, поскольку информация передается только по прямому пути между USB-устройством и компьютером, она защищена от потенциально скомпрометированных устройств», — сказал Yuval Yarom, «Но наши исследования показали, что если вредоносные устройства, подключены к соседним портам на одном и том же внешнем или внутреннем USB-хабе, эта конфиденциальная информация может быть захвачена вредоносным устройством». Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных. В качестве теста для подтверждения гипотезы исследователи использовали модифицированное недорогое устройство с подключаемым USB-разъемом для считывания каждого нажатия клавиши с соседнего USB-интерфейса клавиатуры, после чего перехваченные данные были отправлены через Bluetooth на другой компьютер.
Как исследование австралийского университета, так и анализ утечки почтовой переписки с сервера DNC прямо говорят о том, что тенденция последних лет забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, категорически ошибочна и даже вредна. Да, сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации, а значит, их использование для хищения конфиденциальной информации все еще актуально, и более того – намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту. Более того, возможность атаки вредоносного ПО со съемного USB-накопителя также следует иметь в виду как потенциальную угрозу.
До некоторых организаций, много лет игнорировавших угрозу USB, проблема все же доходит. Как говорится, лучше позже, чем никогда. Так, весной 2018 г. комп��ния IBM запретила своим сотрудникам использовать съемные устройства хранения данных. В директивной рассылке для сотрудников Global CIO Shamla Naidoo сообщил, что компания «расширяет практику запрета передачи данных на все съемные портативные устройства хранения данных (USB, SD-карта, флэш-накопитель)». В качестве аргумента был приведен возможный финансовый и репутационный ущерб от утери или некорректного использования съемных устройств хранения. Подход был выбран радикальный – просто запретить USB. При этом разработчикам было рекомендовано использовать собственный облачный сервис синхронизации и обмена для хранения и передачи данных.
Другой монстр мировой экономики, онлайн-ритейлер Amazon.com, во имя борьбы с мошенничеством сотрудников, сливающих внутреннюю информацию независимым продавцам, пошел на увольнение подозреваемых сотрудников в США и Индии за то, что они якобы неправомерно получили доступ к инсайдерским данным. Чтобы избежать мошенничества и утечек, Amazon ограничил для сотрудников технической поддержки возможности поиска по внутренней базе данных, а также запретил использовать USB-порты.
Нам неизвестно, какие методы и средства для блокировки USB выбрали IBM и Amazon, но учитывая информацию о том, что в IBM думают о возможности предоставления исключений при блокировке USB порта для отдельных сотрудников, вряд ли это полноценный DLP-продукт.
К сожалению, многие решения, позиционируемые как DLP, до сих пор работают с ��нтерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне, или препятствуя старту драйвера устройства. Такая «защита» является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности – и уж точно никак не способна помешать зловреду атаковать компьютер с флешки.
Качественная нейтрализация угроз, связанных с использованием интерфейса USB, достигается посредством гибкого сочетания функций мониторинга и контроля доступа к устройствам, подключаемым через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройство хранения данных, но являющихся потенциальным каналом утечки данных или проникновения зловредов.
В заключении хочу заметить, что наш продукт DeviceLock DLP еще с версии DeviceLock 5.5, опубликованной в далеком 2003 г., обеспечивает полноценный контроль портов USB и FireWire. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через USB-устройства, съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и другие каналы передачи данных. Кроме того, поддержка событийного протоколирования и теневого копирования в DeviceLock DLP обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.
