Top menu

Атака PoisonTap – Есть решение получше, чем заклеивать USB порты!

Последняя разработка Сэми Камка (Samy Kamkar) – устройство для взлома “PoisonTap” вызвала много шума в Интернете среди специалистов по информационной безопасности во всем мире. Если Вы не слышали про Cэми, он хакер, получивший широкую известность в узких кругах благодаря созданию и запуску в сеть самого быстрораспространяющегося вируса, червя “Samy”, атаковавшего социальную сеть MySpace в 2005 г.

Когда Сэми обозначил свой интерес к поиску способов взлома компьютеров, это вызвало беспокойство специалистов, отвечающих за информационную безопасность.

Устройство PoisonTap использует крошечный пятидолларовый USB-компьютер Raspberry Pi с запущенным на нем программным обеспечением с открытым исходным кодом, позволяющим злоумышленнику получить доступ к любому компьютеру, даже заблокированному или защищенному паролем.

После подключения устройства к USB-порту целевого компьютера примерно через минуту программа-зловред находит cookies браузера и внедряет вредоносный код. Установка вредоносного ПО – это обычная цель большинства атак, но благодаря использованию cookies PoisonTap получает возможность обойти многие средства безопасности и антивирусы.

Это довольно изобретательное решение. Если вы хотите узнать о нем больше, Сэми полностью раскрывает его детали на своем сайте: samy.pl/poisontap/

Там же приведен ряд советов, как обеспечить защиту от такого рода атаки – от запечатывания USB-портов компьютера цементным раствором или клеем, до следования не очень обнадеживающим и непрактичным советам от Microsoft «Не оставляйте ваши лэптопы и компьютеры без присмотра».

Однако, есть более удачное решение – программный продукт DeviceLock DLP и немного здравого смысла.

Базовый компонент комплекса DeviceLock DLP, разрабатываемый и непрерывно совершенствуемый уже более 20 лет, обеспечивает контроль устройств и портов, предоставляя организациям возможность блокировать доступ любых неавторизованных USB-устройств к корпоративным компьютерам.

При использовании DeviceLock в соответствии с принципом наименьших привилегий, никакое устройство, не внесенное в Белый список, не сможет подключиться к контролируемому DeviceLock компьютеру. Устройство PoisonTap не станет исключением и тоже будет блокировано.

DeviceLock предоставляет возможность использовать при запрете доступа к порту USB только USB-устройства, авторизованные (внесенные в Белый список) по их серийному номеру. Кроме того, можно задать политики доступа таким образом, чтобы предотвратить запуск и исполняемых файлов со съемного накопителя, ограничить доступ по времени суток и дням недели, предоставить доступ «только для чтения».

Благодаря возможности разграничения доступа для авторизованных устройств, которые могут быть использованы на компьютерах, в сочетании с контролем по типу файлов, DeviceLock позволяет гарантировать защиту рабочих станций сотрудников от намеренного или злоумышленного проникновения вредоносного ПО со USB-устройств, а также предотвратить несанкционированную запись корпоративных данных на съемные накопители.

Проще говоря, за счет развертывания DeviceLock на корпоративных компьютерах и использованию в политиках доступа принципа наименьших привилегий, угроза PoisonTap если не устраняется, то хотя бы минимизируется. Вы сможете использовать клей для строительных работ!