Безопасность Корпоративной Информации
 

Новое – хорошо забытое старое: USB все еще «лучший выбор» для хищения информации.

Одной из главных тем, сопутствовавших президентским выбора 2016 г. в США, был взлом почтового сервера Демократической партии США (DNC) с хищением переписки огромного объема. Как утверждают демократы и чиновники, взлом был произведен из Румынии, и в деле участвовали российские хакеры или спецслужбы, и сделано это было ради попытки вмешаться в выборы – а все остальные версии не что иное, как «теория заговора». Однако, эксперты и аналитики с многолетним опытом теперь приводят аргументы, опровергающие официальную версию ключевых событий в прошлом году. Как заявляет издание The Nation в своей статье «A New Report Raises Big Questions About Last Year’s DNC Hack», никакого удаленного взлома серверов ни россиянами, ни кем бы то ни было – попросту не было. Банальная утечка через флешку или другой USB-накопитель и ничего более, а приведенные ранее «доказательства» взлома являются сфабрикованными.

Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике, а результаты и доводы были опубликованы на независимых ресурсах consortiumnews.com и www.disobedientmedia.com. Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 года с сервера DNC было загружено 1976 мегабайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 МБ/с. При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 года были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 МБ/с соответственно. Пиковые скорости с более высокими скоростями регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 мегабайт в секунду. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.

В то же время, скорость в 23 МБ/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Кроме того, эксперты полагают, что объем похищенных данных слишком велик для передачи через Интернет. Все это позволяет сделать вывод, хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на внешний USB накопитель.

Однако, довольно политики. Не так давно в издании The Business Standard было опубликовано еще одно весьма интересное исследование, выполненное австралийскими специалистами из University of Adelaide. Они протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что более 90 процентов из них передают информацию на внешнее устройство USB, не являющееся прямым адресатом при передаче данных. «Считалось, что, поскольку информация передается только по прямому пути между USB-устройством и компьютером, она защищена от потенциально скомпрометированных устройств», - сказал Yuval Yarom, «Но наши исследования показали, что если вредоносные устройства, подключены к соседним портам на одном и том же внешнем или внутреннем USB-хабе, эта конфиденциальная информация может быть захвачена вредоносным устройством». Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных. В качестве теста для подтверждения гипотезы исследователи использовали модифицированное недорогое устройство с подключаемым USB-разъемом для считывания каждого нажатия клавиши с соседнего USB-интерфейса клавиатуры, после чего перехваченные данные были отправлены через Bluetooth на другой компьютер.

Как исследование австралийского университета, так и анализ утечки почтовой переписки с сервера DNC прямо говорят о том, что тенденция последних лет забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, категорически ошибочна и даже вредна. Да, сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации, а значит, их использование для хищения конфиденциальной информации все еще актуально, и более того – намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту.

А что же происходит в нашей российской действительности? Даже беглый анализ маркетинговых материалов, листовок и сайтов большинства российских разработчиков, прямо или косвенно позиционирующих себя в сегменте DLP, показывает, что фокус в развитии решений, по идее своей предназначенных для защиты информации от несанкционированной утечки, делается на чем угодно, - но не на предотвращении утечки, а на мониторинге и использовании психологической «защиты» вместо технических мер. При этом, как ни удивительно, контроль порта USB, по-прежнему являющегося «лучшим выбором» для случайной или предумышленной утечки, реализован на откровенно слабом уровне.

Ровно 14 лет назад, в августе 2003 г., на рынке средств ИБ был представлен программный продукт DeviceLock 5.5, быстро набравший популярность во всем мире. До этого с 1995 г., когда появилась первая бесплатная версия DeviceLock, решением уже контролировались CD-ROM'ы, дисководы, COM и LPT-порты. В этой версии добавился контроль портов USB и FireWire. На тот момент это было значительным шагом вперед и в развитии продукта, и в мировой практике контроля периферийных устройств, поскольку именно в этой версии продукта появился драйвер уровня ядра ОС. Версия DeviceLock 6, получившая еще больше возможностей контроля устройств, портов и интерфейсов, стала во всем мире стандартом де-факто в сегменте решений Endpoint Data Port Control, и до сих пор благодаря своей надежности, простоте и качеству эксплуатируется во ряде организаций, несмотря на огромный скачок вперед в развитии продукта с тех времен.

Многие решения, продаваемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне, или препятствуя старту драйвера устройства. Такая «защита» является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности. Для пользователя отключение такого контроля – задача на несколько секунд, не требующая особой квалификации. Про «контроль» устройств через снятие снимков экрана, что порой выдается за функцию защиты от утечек, не стоит и говорить…

Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи – предотвратить утечку данных техническим способом. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации, исходящих от обычных пользователей и доступным на большинстве компьютеров. Нейтрализация достигается посредством гибкого сочетания функций мониторинга и контроля доступа ко всем потенциальным каналам утечки информации, и в том числе обязательно – для устройств, подключаемых через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройство хранения данных, но теоретически (и практически, как показывает эксперимент австралийских исследователей) являющихся каналом утечки данных.

Среди представленных на мировом рынке одним из лучших и единственным российским решением класса Endpoint DLP, обладающим полным функционалом, является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и т.д. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.