فناوری اطلاعات

دستگاه‌های USB، حربه‌هایی برای حمله

لوکا بونگیورنی از شرکت نرم‌افزاری بنتلی سیستم در طول سخنرانی‌اش در #TheSAS2019، دستگاه‌های یو‌اس‌بی را اصلی‌ترین منابعِ بدافزارها برای سیستم‌های نظارتی صنعتی خواند. بیشتر افرادی که به نحوی با امنیت سر و کار دارند داستان‌ قدیمیِ افتادن تصادفیِ فلش‌داریوها در پارکینگ به گوششان رسیده است- داستان امنیتی‌ محبوب تأثیرگذاری که مدام تعریف می‌شود.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ داستان -واقعی- دیگر در مورد فلش‌داریوهای یو‌اس‌بی، داستان کارمند یک شرکت صنعتی بود که می‌خواست فیلم لالالند را ببیند و برای همین تایم ناهار، شروع کرد به دانلود این فیلم روی فلش‌داریو. و اینطور شد که سیستم مبتنی بر معیار شبکه شکاف هوا[1] این نیروگاه هسته‌ای آلوده شد- داستانی کاملاً آشنا از آلودگی زیرساختی حیاتی. اما افراد اصولاً فراموش می‌کنند دستگاه‌های یو‌اس‌بی تنها به فلش‌درایوها محدود نمی‌شوند. دستگاه‌های رابط انسان (HIDs) همچون کیبورد و موس، کابل‌های شارژ اسمارت‌فون و حتی چیزهایی از قبیل گوی پلاسما و ماگ‌های حرارتی می‌توانند جوری دستکاری شوند تا سیستم‌های نظارتی صنعتی را مورد هدف قرار دهند.
تاریخچه‌ای کوتاه از  USBهایی که به عنوان حربه‌ای برای حمله به کار رفتند
با وجود فراموشکاری افراد، اخبار یو‌اس‌بی‌هایی که به عنوان حربه‌ از آن‌ها استفاده می‌شود چندان هم تازه نیست. اولین باری که چنین دستگاه‌هایی نوشته شدند به سال 2010 برمی‌گردد. این دستگاه‌ها در واقع مبتنی بر صفحه‌ی کوچک قابل‌برنامه‌ریزی به نام تینسی (Teensy) و مجهز به کانکتور یو‌اس‌بی بودند که می‌توانستند همچون  HIDها عمل کنند. آن‌ها در حقیقت ضربات روی دکمه‌های کیبود را به پی‌سی ارسال می‌کردند. هکرها متوجه شدند که از این دیوایس‌ها می‌شود برای تست نفوذ استفاده کرد. از همین رو موفق به ساخت نسخه‌ی برنامه‌نویسی‌شده‌ای شدند که کاربران جدیدی می‌ساخت؛ برنامه‌هایی را بک‌ُدر اضافه می‌کرد اجرا  و بدافزار را یا با کپی آن و یا دانلودش از وبسایتی خاص تزریق می‌کرد. اولین نسخه از این تینسیِ دستکاری‌شده PHUKD. Kautilya, نام داشت که با صفحات محبوب Arduino (که بعداً تولید شد) سازگاری داشت. بعد سر و کله‌ی Rubberducky پیدا شد- شاید بشود آن را بهترین ابزار یو‌اس‌بی شبیه‌سازی ضربات کیبورد قلمداد کرد. ابزار قدرتمندتری موسوم به  Bash Bunny نیز در سری حملاتی که به دستگاه‌های خودپرداز مورد استفاده قرار گرفت.
شخصی که PHUKD را اختراع کرده بود به سرعت ایده‌ی موسِ تروجان‌زده به ذهنش خطور کرد (با یک صفحه‌ی تست نفوذ، جاسازی‌شده داخلش). بنابراین علاوه بر اینکه کارایی معمول یک موس را داشت همچنین می‌توانست هر کاری را PHUKD قادر بود نیز انجام دهد. از دیدگاه مهندسی اجتماعی، استفاده از HID واقعی به منظور نفوذ به سیستم‌ها شاید حتی ساده‌تر از به کارگیری خود یو‌اس‌بی‌ها (دقیقاً به همان مقصود) باشد؛ زیرا حتی افرادی که به حد کافی دانش دارند که نخواهند یک درایو ناشناخته را به دستگاه پی‌سی خود نزنند معمولاً هیچ نگرانی در مورد کیبورد یا موس ندارند.
تولید نسل دوم دستگاه‌های مجهز به یو‌اس‌بی به عنوان حربه‌های حمله در طول سال‌های 2014-2015 کلید خورد و شامل دستگاه‌های بدنام مبتنی بر BadUSB می‌شد.  گفته می‌شود TURNIPSCHOOL و Cottonmouth توسط آژانس امنیت ملی آمریکا (NSA) ساخته شد و همچنین جالب است بدانید: این دستگاه‌ها آنقدر کوچک بودند که می‌توانستند داخل کابل یو‌اس‌بی جا شوند و برای انتقال اطلاعات آلوده مورد استفاده قرار گیرند. تنها یک کابل ساده- کسی حتی فکرش هم نمی‌کند، نه؟
دستگاه‌های یو‌اس‌بی در شرایط مدرن
نسل سوم ابزارهای تست نفوذ یو‌اس‌بی موج مدرنی به راه انداخت. یکی از آن‌ها WHID Injector نام دارد که اساساً Rubberducky است با کمی تغییرات (به اضافه‌ی کانکشن وای‌فای). از آنجایی که به اتصال وای‌فای مجهز است دیگر نیازی نیست ابتدا (برای وظایفی که باید انجام دهد) برنامه‌نویسی شود. فردِ هکر می‌تواند این ابزار را از راه دور تحت نظارت قرار دهد که همین سطح جدیدی از انعطاف‌پذیری را به همراه می‌آورده و همچنین سازگاری با چندین سیستم‌عامل مختلف را ممکن می‌سازد. ابزار نسل سوم دیگر P4wnP1 نام دارد که بر پایه‌ی Raspberry Pi است و به Bash Bunny شباهت دار (هر چند کارکردش بیشتر است: اتصال بی‌سیم).
و البته هر دوی WHID Injector و Bash Bunny به حد کافی کوچک هستند که بتوان آن‌ها را در کیبورد یا موس جاسازی کرد. در ویدیوی زیر، لپ‌تاپی را خواهید دید که نه به یو‌اس‌بی وصل است، نه به اترنت و نه به وای‌فای؛ اما کیبورد تروجان‌زده در ضمیمه‌ی خود دارد که به مهاجم ریموت اجازه می‌دهد تا فرمان‌ها را انجام داده و اپ‌ها را اجرا کند.  
دستگاه‌های کوچک یو‌اس‌بی مانند همین دو تایی که در بالا اشاره کردیم حتی می توانند طوری برنامه‌نویسی شوند که شبیه به مدل خاصی از یک HID باشند و از این طریق سیاست‌های امنیتیِ شرکت‌هایی را که تنها موس و کیبورد فروشندگان خاص را قبول می‌کنند دور بزنند. ابزارهایی همچون WHID Injector همچنین می‌توانند به میکروفون هم مجهز باشند تا بدین‌وسیله نظارت صوتی داشته باشند و جاسوسی افراد را بکنند. بدتر اینکه، چنین دستگاهی برای خرابکاری و دستکاری کل شبکه کافیست؛ مگر آنکه شبکه به طرز صحیحی جداسازی شده باشد.
راهکارهای جلوگیری
موس‌ها و کیبوردهای تروجان‌زده و نیز کابل‌های مخصوص جاسوسی یا مخرب، تهدیدهای جدی‌ای هستند و می‌توانند حتی برای دستکاری سیستم‌های مبتنی بر معیار شبکه شکاف هوا نیز مورد استفاده قرار گیرند. این روزها، ابزارهایی که برای چنین حملاتی استفاده می‌شوند را می‌توان با قیمت‌هایی بسیار پایین خریداری کرد و با کمترین سواد و دانش آن‌ها را برنامه‌نویسی نمود. بنابراین هیچگاه نباید چنین تهدیدهایی را دست‌کم گرفت.
برای محافظت از زیرساخت‌های حیاتی در برابر چنین تهدیدهایی باید از رویکردی چندلایه‌ای استفاده کرد:
ابتدا از امنیت فیزیکی مطمئن شوید تا پرسنلی که صلاحیت ندارد نتواند دستگاه‌های یو‌اس‌بی متفرقه به سیستم‌های نظارتی صنعتی بزند. همچنین پورت‌های یو‌اس‌بی بلااستفاده را (روی چنین سیستم‌هایی) مسدود کرده و نگذارید HIDهایی که از قبل وصلند برداشته شوند.
به کارمندان خود آموزش دهید تا به تمامی انواع تهدیدها از جمله دستگاه‌هایی که به عنوان حربه مورد استفاده قرار می‌گیرند واقف باشند (که دیگر ماجرای فیلم لالالند که برایتان تعریف کردیم دوباره پیش نیاید).
شبکه‌ را به طور صحیحی جداسازی کنید و دسترسی به حقوق را مدیریت نمایید تا مهاجمین نتوانند به سیستم‌ها (که برای کنترل زیرساخت‌های حیاتی مورد استفاده قرار می‌گیرند) دسترسی پیدا کنند.
همه‌ی سیستم‌های داخل شرکت یا سازمان را با راه‌حل‌های امنیتی محافظت کنید. این راه‌حل‌ها قادرند هر نوع تهدیدی را شناسایی کنند. فناوری Kaspersky Endpoint Security به هیچ HID اختیار نخواهد داد مگر آنکه کاربر با استفاده از HID که از قبل مجوز دریافت کرده، کدی را وارد کند.

​​