مشکلات امنیتی USB ها
حافظههای فلش هم دارای ثابتافزارهایی برای کنترل عملیات پایه از جمله خواندن و نوشتن و یا ذخیره و بازیابی داده بر روی خود هستند. پژوهشهای اخیر در حوزه امنیت اطلاعات نشان میدهد که آسیبپذیری بالقوه و کمتر شناخته شده حافظههای فلش، مربوط به همین ثابتافزارهای آنها است و مدتهاست که این خطر آسیبپذیری موجب شیوع بدافزارهای بسیاری شده است.
نقل و انتقال فایلهای الکترونیکی با استفاده از حافظههای فلش بین کاربران بسیار مرسوم است. با اینکه بیشتر کاربران میدانند که حافظه کوچک جیبی آنها ممکن است حامل انواع بدافزارهای مخرب باشد، به چککردن آنتیویروس و فرمت کردن هر چند وقت یکبار آن بسنده میکنند. اما مشکلات امنیتی ابزارهای جانبی همهگذر یا USB رایانه، فراتر از آن چیزی است که عموما در نظر گرفته میشود. خطر واقعی، فقط آن فایلهای احتمالا آلودهای نیست که کاربر بهوسیله این نوع حافظهها انتقال میدهد، بلکه ریسک بزرگتری در بطن چگونگی عملکرد چنین حافظههایی نهفته است.
ثابتافزار یا سفتافزار (Firmware) در الکترونیک و رایانه، اغلب به برنامههای تقریبا ثابت و نسبتا کوچک و یا ساختمانهای دادهای که درون سختافزار انواع دستگاههای الکترونیکی است، گفته میشود.
حافظههای فلش هم دارای ثابتافزارهایی برای کنترل عملیات پایه از جمله خواندن و نوشتن و یا ذخیره و بازیابی داده بر روی خود هستند. پژوهشهای اخیر در حوزه امنیت اطلاعات نشان میدهد که آسیبپذیری بالقوه و کمتر شناخته شده حافظههای فلش، مربوط به همین ثابتافزارهای آنها است و مدتهاست که این خطر آسیبپذیری موجب شیوع بدافزارهای بسیاری شده است.
کارستن نول و یاکوب لیل، 2 پژوهشگر در حوزه امنیت اطلاعات دیجیتالی، برای اثبات این فرضیه یک بدافزار آزمایشی پیادهسازی کردند که به آن BadUSB اطلاق میشود. این بدافزار به محض اتصال حافظه فلش، به سرعت به رایانه منتقل میشود و تغییراتی در فایلهای موجود در رایانه ایجاد میکند. ضمن اینکه توانایی تغییر مسیر ترافیک اینترنت به مقصد مورد نظر طراحان بدافزار را نیز دارد. در حقیقت هر آنچه که یک مهاجم برای تسخیر یک رایانه نیاز دارد با این رویکرد قابل پیادهسازی است. با توجه به اینکه بدافزار طراحی شده در محل ثابتافزار حافظه فلش جاسازی میشود و کاربران عمومی این حافظهها اغلب بخشهای ذخیرهسازی دادههای خود را مورد بازبینی و یا کنترل از طریق ضد ویروس قرار میدهد، به این ترتیب احتمال دارد که بدافزار تعبیه شده در آن برای مدت طولانی بر روی حافظه فلش باقی مانده و هر رایانهای را که با آن در تماس باشد، آلوده کند. جالب این که در حال حاضر هیچ راهکار آسانی برای رها شدن از چنین تهدیدی وجود ندارد و به طعنه، استفاده از چسب برای پُرکردن اسلات USB را تنها راهحل برای کاربران عادی پیشنهاد دادهاند.
نول که همراه با لیل با ارايه مقالهای در همین خصوص در کنفرانس امنیت «بلک هت» لاس وگاس شرکت خواهد کرد، میگوید «این مشکلات را نمیتوان به سادگی رفع و رجوع کرد. کسانی پیدا شدهاند که اساسا از نوع طراحی USB سواستفاده میکنند.»
بدافزارها روی USB جاخوش میکنند!
این 2 محقق شاید اولین کسانی نیستند که تذکر میدهند ممکن است حافظههای USB بدافزار در خود ذخیره کنند و به رایانههای دیگر انتقال دهند. این طور نبود که این 2 محقق مرکز مشاوره امنیتی SR Labs کدهای بدافزار سفارشی را که نوشته بودند به حافظه USB کپی کنند و کنار بکشند، بلکه ماهها وقت صرف کردند تا ثابتافزاری را که عملیات ارتباطی پایه در ابزار USB را به اجرا درمیآورد، مهندسی معکوس کنند. این ثابتافزار شامل تراشههای کنترلی است که ارتباط ابزارهای USB را با PC برقرار میکند و به کاربران اجازه میدهد فایلها را به آن منتقل کنند و از آن بردارند. یافته اساسی این است که ثابتافزار USB که در شکلهای مختلف در تمام ابزارهای USB موجود است میتواند طوری برنامهریزی شود که کدهای مهاجم را پنهان کند.
نول میگوید: «میتوانید حافظه فلشتان را به مسوولان امنیت IT شرکتتان بدهید. آنها فلش را اسکن و بعضی فایلها را پاک میکنند و به شما پس میدهند و میگویند پاکسازی کردیم. ولی اگر مسوول IT شما مهارت مهندسی معکوس نداشته باشد که بتواند ثابتافزار را پیدا کرده، آن را تجزیه و تحلیل کند، فرایند پاکسازی او فایلهای مورد بحث ما را حتی لمس هم نمیکند.»
مشکل فقط به درایوهای حافظه محدود نمیشود. تمام ابزارهایی که به USB مجهزند، از صفحهکلید و ماوس گرفته تا گوشیهای هوشمند همگی دارای ثابتافزاری هستند که میشود برنامهریزی مجدد کرد. نول و لیل میگویند که علاوه بر حافظههای USB، بدافزارشان را بر روی گوشیهای اندرویدی که به PC متصل بود نیز آزمایش کردهاند. زمانی که دستگاه آلوده به بدافزار BadUSB به کامپیوتر متصل است، انواع و اقسام خرابکاریها میتواند اتفاق بیفتد. به عنوان نمونه بدافزار میتواند نسخه معیوب یا جعلی را با نرمافزار در حال نصب جایگزین کند. حتی میتوان صفحهکلید USB را طوری سفارشیسازی کرد که یکمرتبه دستور خاصی را تایپ کند.
نول میگوید «بدافزار قادر است هر کاری را که شما با صفحه کلید انجام میدهید، یعنی اساسا هر کاری که کامپیوتر میتواند بکند، انجام دهد.»
بدافزار میتواند در سکوت، ترافیک اینترنت را نیز بدزدد، تنظیمات DNS کامپیوتر را تغییر دهد و ترافیک را به هر سروری که بخواهد، منحرف کند. یا اگر کد مربوطه در گوشی تلفن یا هر دستگاه دیگری که به اینترنت متصل است، جاگذاری شود، میتواند مانند یک واسطه عمل کند؛ ارتباطات را به صورت مخفیانه شنود کند و از دستگاه قربانی به هر جای دیگری ارسال کند.
آلودگی از USB به کامپیوتر و برعکس
اغلب ما مدتها پیش یاد گرفته بودیم که فایلهای اجرایی مشکوک بر روی حافظههای فلش را اجرا نکنیم ولی سیستم امنیتی قدیمی USB نمیتواند با این نسخه جدید ویروسیشدن مقابله کند؛ حتی اگر کاربران از احتمال تهاجم آگاه باشند، اطمینان از این که ثابتافزار USBشان آلوده است، تقریبا غیرممکن است. این نوع ابزارها از محدودیتی که با عنوان امضای کد یا code-signing شناخته میشود، بیبهرهاند؛ سازو کاری که وقتی هر کد جدیدی به ابزار اضافه میشود، از صحت امضای رمزگذاری سازنده آن اطمینان حاصل میکند. حتی ثابتافزار USB قابل اطمینانی وجود ندارد که بتوان کدهای موجود را با آن مقایسه کرد.
موضوعی که تحقیق نول و لیل را به چیزی فراتر از یک تهدید تئوریک تبدیل میکند این است که آلودگی مذکور میتواند از کامپیوتر به USB و از USB به کامپیوتر منتقل شود. هر زمانی که حافظه USB به کامپیوتر متصل میشود، ثابتافزار آن میتواند توسط بدافزاری که در PC جاگرفته، مجددا برنامهریزی شود بدون این که صاحب ابزار USB بتواند آن را شناسایی کند. همچنین ابزار USB میتواند در سکوت، کامپیوتر کاربر را آلوده کند.
نول معتقد است «ویروس میتواند از هر دو طرف وارد شود. هیچکس نمیتواند به هیچکس دیگری اعتماد داشته باشد.»
قابلیت BadUSB در خصوص گسترش بدون امکان شناسایی از PC به USB و بالعکس این سوال را پیش میآورد که آیا اساسا استفاده ایمن از ابزار USB ممکن است؟ پرفسور مَت بلیز از اساتید دانشگاه پنسیلوانیا میگوید: «همه ما میدانیم که اگر من امکان دسترسی به پورت USB شما را داشته باشم، میتوانم در کامپیوتر شما خرابکاری کنم. چیزی که الان صحبتش را میکنیم، برعکس این ماجراست، یعنی تهدیدی که در ابزار USB آلوده وجود دارد یکی از مشکلات مهم و عملی است.»
بلیز خاطر نشان میکند که حملههای از نوع USB از موضوعاتی است که آژانس امنیت ملی آمریکا NSA هماکنون در حال بررسی آن است. وی به ابزار جاسوسی موسوم به Cottonmouth اشاره میکند که همین امسال و در جریان افشاگریهای ادوارد اسنودن از آن استفاده شده بود. این ابزار که در محل اتصال USB به صورت پنهانی جاسازی میشود، در اسناد داخلی آژانس امنیت ملی به عنوان یک بدافزار محرمانه برای نصب در دستگاه فرد هدف معرفی شده بود. پرفسور بلیز میگوید: «برای من تعجبی ندارد چیزی که نول و لیل کشف کردهاند همانی باشد که ما در کاتالوگهای آژانس امنیت ملی دیدهایم.»
نول میگوید که او و لیل در حین تحقیقاتشان به یکی از تولیدکنندههای ابزار USB در تایوان که نامی از آن شرکت نبرد، هشدار دادهاند که در محصولات خود مراقب بدافزار BadUSB تحقیقاتی آنها باشند. در چندین ایمیلی که بین محققان و شرکت تایوانی رد و بدل شد، شرکت مذکور امکان هر نوع تهاجم اینچنینی را رد کرد. ولی لیز ناردوزا سخنگوی یک بنگاه غیرانتفاعی که بر استانداردهای مربوط به USB نظارت میکند بر این اعتقاد است که «خریداران باید همیشه مطمئن شوند که توسط یک منبع مطمئن ساخته شده است و ارتباط ابزارشان را تنها با منابع مطمئن برقرار کنند. آدمها همیشه مراقب داراییهای شخصیشان هستند؛ وقتی موضوع تکنولوژی پیش میآید هم باید همین کار را کرد.»
نول موافق است که راهحل کوتاهمدت برای BadUSB تغییر مسیر اساسی در چگونگی استفاده از گجتهای USB نیست. برای این که از خطر تهاجم دور بمانیم، تمام کاری که باید بکنیم این است که دستگاههای USBمان را به کامپیوترهایی که مال خودمان نیستند یا دلیلی برای اطمینان به آنها نداریم، وصل نکنیم. همچنین ابزار USB نامطمئن را به کامپیوتر خودمان متصل نکنیم. البته نول این را هم قبول دارد که در این صورت حافظههای کوچکی که همهمان در جیب داریم، دیگر کاربرد چندانی نخواهند داشت. «اگر این طور فکر کنیم، نمیتوانید بگویید که USB من مطمئن است، چون حافظه آن ویروس ندارد. بلکه تنها زمانی میتوانید مطمئن باشید که هیچ شخص غریبهای به USB شما دست نزده باشد.» از نظر او «به محض این که دستگاه USB شما با یک کامپیوتر غیرقابل اعتماد تماس پیدا کرد، باید آن را آلوده در نظر بگیرید و دور بیندازید و این، با وضعیتی که ما در حال حاضر داریم و از ابزار USB استفاده میکنیم، ناسازگار است.»
این 2 محقق هنوز تصمیم نگرفتهاند که در کنفرانس بلکهت از کدام یک از ابزارهای BadUSBشان صحبت کنند و آیا اصلا چنین کاری خواهند کرد یا خیر. نول میگوید نگران آن است که بدافزارهای ساکن ثابتافزار برای ابزار USB گسترش پیدا کنند. از سوی دیگر، از نظر او لازم است که کاربران از خطرات احتمالی آگاه باشند. ممکن است برخی شرکتها سیاستهای USB خود را عوض کنند؛ به عنوان نمونه تنها از ابزارهای USB یک تولیدکننده خاص استفاده کنند و بر اعمال سازوکار حفاظتی امضای کد در گجتهای شرکت فروشنده پافشاری کنند.
اعمال این مدل جدید امنیتی، در وهله اول نیاز به متقاعد کردن تولیدکنندگان ابزار دارد که تهدید فوق واقعیت دارد. گزینه دیگر این است که ابزارهای USB را چیزی مانند سرنگهای تزریق آمپول در نظر بگیریم و اجازه ندهیم کاربران دیگر از آن استفاده کنند که این راهکار بسیار شکبرانگیز است و با هدف اولیه این نوع ابزار در تضاد است.
نول میگوید: «شاید روزی یادتان بیفتد که زمانی یک ابزار USB متعلق به کسی را که کاملا به او اعتماد ندارید، به کامپیوتر خودتان وصل کرده بودید. این یعنی دیگر نمیتوانید به کامپیوتر خودتان اعتماد داشته باشید. این تهدیدی در لایهای نامريی است. نوعی پارانویای وحشتناک است.»
لطفأ نظرات و پیشنهادات خود را در خصوص بهتر و مفید تر شدن مطالب و محتویات سایت از طریق بخش نظرات اعلام نمایید .