بد یو اس بی (Bad Usb) چیست و چه کاربردی دارد
کاربران کامپیوتر، فلشهای USB را به راحتی با هم رد و بدل میکنند. اگرچه ما میدانیم که این فلشها ممکن است آلوده به بدافزار باشند و به آنتیویروسها و فرمت کردن برای جلوگیری از آلودگی سیستمها اتکا میکنیم، ولی مشکلات امنیتی استفاده از فلشها عمیقتر از چیزی است که فکرش را میکنیم. تنها محتویات فلشها نیست که میتواند به سیستمها آسیب بزند، بلکه مشکل میتواند در ساختار آنها باشد.
هر زمان یک فلش را به کامپیوتر شخص دیگری وصل کنید، بدون آن که متوجه شوید ممکن است Firmware آن تغییر داده شود و به یک بدافزار تبدیل شود. و بالعکس، هر فلشی که به کامپیوتر خود متصل کنید، ممکن است که حاوی بدافزار باشد و در کامپیوتر شما خرابکاریهایی را انجام دهد.
Bad USB چیست؟
Bad USB به نوعی حمله گفته میشود که با استفاده از ضعف سختافزار USB و با استفاده از فلش درایور انجام شده و نفوذ به سیستم هدف صورت میگیرد. به عنوان مثال، فلش یواسبی میتواند دارای یک میکروکنترلر intel 8051 باشد که امکان برنامهریزی و تبدیل شدن به بدافزار را دارد.
Bad USB در حافظه دستگاههای فلش نیست، بلکه این کد در Firmware آنها که عملکردهای اولیه را کنترل میکنند وجود دارد. همچنین، در حال حاضر راه حل سادهای برای جلوگیری از بروز این اتفاق وجود ندارد. شاید بهترین راه عدم استفاده از فلش یا پر کردن پورت USB با چسب دوقلو باشد!!
بدافزارها میتوانند به صورت مخفیانه ترافیک اینترنت را هم بدزدند و با تغییر DNS یک کامپیوتر، ترافیک را به سرور دلخواه منحرف کنند. یا اگر کد بر روی یک گوشی موبایل یا دستگاه دیگری که به اینترنت دسترسی دارد باشد، میتواند به عنوان یک جاسوس، اطلاعاتی از ارتباطات برقرار شده به دست بیاورد.
حمله Bad USB برای اولین بار در یک کنفرانس Black Hat در سال 2014 توسط کرستن نول، ساشا کریسلر و جکوب لل معرفی شد و دو ماه بعد، محققان کدی را که میتواند از این آسیبپذیری بهرهبرداری کند، منتشر کردند. در حال حاضر این کد از طریق سایتهای اشتراک گذاری در دسترس عموم قرار دارد!
چه دستگاههایی پتانسیل تبدیل شدن به Bad USB را دارند؟
در حال حاضر هر دستگاه فلش درایوی را میتوان به Bad USB تبدیل کرد، هکرها میتوانند از طریق ایجاد تغییراتی در میکروکنترلر از آن به عنوان یک HID (Human Interface Device) استفاده کنند. البته ذکر این نکته نیز ضروری است که اگرچه همه فلش درایوها قابلیت تبدیل به Bad USB را دارند، این کد تنها برای میکروکنترلرهای Phison منتشر شده است.
Bad USB به این دلیل خطرناک است که اکثر آنتیویروسها راهی برای دسترسی به Firmware دستگاه متصل شده به پورت USB ندارند و نمیتوانند از کامپیوتر در برابر آن محافظت کنند. هر کامپیوتری که امکان اتصال به پورت USB آن وجود داشته باشد، در برابر Bad USB آسیب پذیر است. این مسئله به خصوص در مورد سیستمهای صنعتی نیز صدق میکند که کدهای مورد نظر هکر حتی طی چند ثانیه اتصال USB به دستگاه نیز وارد میشوند.
راههای پیشگیری از حملات Bad USB
دستگاههای Bad USB با سرعتی عمل میکنند که برای یک کاربران عادی غیر ممکن است که از حضور آن با خبر شوند. اسکریپتهای زیادی در حال حاضر جهت دانلود در اینترنت وجود دارند که حتی به کاربران عادی با کمترین دانش نیز این امکان را میدهد تا از این قابلیت مخرب استفاده کنند. در اینجا به معرفی مواردی می پردازیم که میتوانند به جلوگیری از این حملات کمک کنند.
مجوز اتصال کیبورد
به دلیل نوع حمله، راههای زیادی برای جلوگیری از آن وجود ندارد. برخی شرکتهای سازنده آنتی ویروس در آنتیویروسهای خود قابلیت پیشگیری از حملات Bad USB را ایجاد کردهاند. آنها برای جلوگیری از شناساندن USB به عنوان کیبورد به کامپیوتر از این روش استفاده میکنند. وقتی یک دستگاه USB به کامپیوتر متصل میشود و خود را به عنوان کیبورد معرفی میکند، آنتیویروس با ارسال پیامی از کاربر میخواهد تا به منظور تایید هویت دستگاه، یک کد چند رقمی را بر روی کیبورد وارد کند. در این حالت، آنتیویروس تنها به کیبوردهایی اجازه اتصال میدهد که تایید شده باشند و از اتصال کیبوردهای تایید نشده جلوگیری میکند.
لیست سفید USB
این امکان وجود دارد که تنها به درایورهای خاصی با توجه به GUID آنها امکان نصب داده شود. همچنین میتوان از نصب دستگاههای USB خاصی مثل کیبورد و … جلوگیری کرد.
دستگاههای فایروال USB
برخی از شرکتها فایروالهای سختافزاری USB را تولید میکنند که به عنوان واسطی بین کامپیوتر و دستگاه USB قرار میگیرد و دستورات ارسال شده به کامپیوتر توسط دستگاه متصل شده را محدود میکنند.
استفاده از برنامههای نظارت بر سرعت تایپ
برنامههایی وجود دارند که در پس زمینه سیستم عامل به منظور نظارت بر سرعت تایپ، اجرا میشوند. از آنجایی که دستگاههای Bad USB با سرعتی تایپ میکنند که عملا برای انسان تایپ در این سرعت غیر ممکن است، این برنامهها با شناسایی سرعت تایپ مشکوک، از عملکرد بدافزار جلوگیری میکنند.
ایجاد پسورد برای CMD
از آنجایی که با دسترسی به CMD فعالیتهای مخرب زیادی میتواند صورت بگیرد، بهتر است تا با ایجاد پسورد برای CMD دسترسی به آن محدود شود.
هشیاری کاربر
در نهایت مواردی وجود دارند که در صورت بررسی آنها توسط کاربر، ریسک بروز اینگونه حملات کاسته میشود که در زیر به این موارد اشاره میکنیم:
- آیا کسی به غیر از کاربر کامپیوتر امکان دسترسی به پورت USB کامپیوتر را دارد؟
- آیا کاربر به دستگاه USB که قرار است به کامپیوتر وصل شود اعتماد دارد و میتواند مطمئن باشد که شرکت تولید کننده آن قابل اعتماد است؟
- آیا Firmware دستگاه USB گواهی یا Certificate دارد؟ آیا اطمینانی وجود دارد که در حین یا بعد از تولید Firmware آن تغییر نکرده باشد؟
اگر در هر کدام از موارد بالا جواب خیر است، پس نباید به دستگاه USB اعتماد کرد و حداقل در محیطهای حساسی که امکان انجام عملیات مخرب یا جاسوسی وجود دارد، جانب احتیاط رعایت شود.
سخن پایانی
در حال حاضر هوشیار بودن در مقابل حملات سایبری، مسئلهای حیاتی برای سازمانها و شرکتها است. مهاجمین سایبری هیچ وقت دست از کار نمیکشند و همیشه دنبال روشهای نوآورانه برای دسترسی به اطلاعات و سواستفاده از آنها هستند (که غالبا نیز این روشها را مییابند) و از این اطلاعات برای ایجاد اختلال در این سازمانها و شرکتها استفاده میکنند. آموزش بایدها و نبایدها به کارکنان به منظور حفاظت از دادهها و سیستمها باید به صورت مستمر انجام بگیرد. فهمیدن این مسئله که مهاجمان به چه اطلاعاتی دسترسی پیدا کردهاند، چه زمانی و چگونه به آن دسترسی پیدا کرده اند و این نشر اطلاعات چه تاثیری بر سازمان میتواند داشته باشد ضروری است. داشتن سیستم حفاظتی مناسب، کمک زیادی به کاهش حملات سایبری و از بین رفتن اختلالات در سازمان میکند.
