Устройства c USB-разъемом – флешки, мышь, клавиатура – могут использоваться для взлома компьютера, утверждают специалисты по безопасности из SR Labs. И дело вовсе не в том, что на флеш-носителе будет записано вредоносное ПО. Новый потенциальный класс атак, против которого бесполезны существующие средства защиты, обнаружили Карстен Нол и Якоб Лелл из берлинской SR Labs, сообщает Iksmedia.
Проблема здесь более глубокая, связанная с самим принципом работы USB-устройств, рассказали эксперты. Имеющиеся в них контроллеры – микросхемы, управляющие их работой, – могут быть перепрограммированы, а вредоносный код скрыт, после чего он будет заражать компьютеры, к которым подключат эти устройства, поясняют исследователи. Речь идет о любых мобильных и настольных операционных системах. Что существенно, на самих микросхемах исходно не предусмотрены никакие средства защиты кода. «Вы не сможете определить, откуда взялся вирус, – говорит Нол. – Это почти магический трюк».
Исследователи из SR Labs провели опыты с такими атаками, записав собственный вредоносный код (они назвали его BadUSB) на USB-микросхемы для флешек и смартфонов. Будучи подключено к компьютеру, перепрограммированное USB-устройство может эмулировать клавиатуру, выполнять команды от имени пользователя, например, удалять файлы или устанавливать программы. Записанный на нем вредоносный код может, в свою очередь, заражать другие устройства, которые будут подключены к тому же компьютеру. Наконец, он способен изменить настройки DNS компьютера, перенаправляя на внешний сервер поступающий на него трафик.
Исследователи собираются сделать доклад о новой угрозе, представив доказательства фундаментального нарушения безопасности USB, на предстоящей конференции Black Hat в Лас-Вегасе (их презентация будет называться «Bad USB – On Accessories that Turn Evil»).
По словам Нола, он бы не удивился, узнав, что разведывательные организации, к примеру National Security Agency, уже выяснили, как организовать такие атаки. Год назад, пишет Reuters, Нол представил на Black Hat результаты изучения методов удаленного взлома SIM-карт мобильных телефонов. А в декабре из данных, обнародованных Эдвардом Сноуденом, выяснилось, что разведка использовала для слежки сходную технику.
Эффективной защиты против USB-атак пока нет, считают в SR Labs. Такие средства защиты, как антивирусы, сканируют только ПО, записанное в памяти компьютера, и не имеют доступа к прошивке, управляющей работой USB-устройств. Межсетевых экранов, блокирующих определенный класс устройств, пока не существует. Очистить зараженную систему также будет очень непросто.
В исследовании Нола и Лелла есть один момент, полагают эксперты, который заставляет прислушаться к их выводам, не считая их просто рассуждениями теоретиков. Дело в том, что заражение может быть направлено в обе стороны: как от USB к компьютеру, так и обратно. Каждый раз, когда устройство включается в USB-порт компьютера, фирменное ПО на нем может быть переписано вредоносным кодом, находящимся на ПК, и владельцу устройства будет непросто это детектировать. Точно так же любое USB-устройство сможет заразить любой компьютер. «Это работает в обе стороны, – говорит Нол. – Доверять нельзя никому».