ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

نکاتی مهم درباره آسیب‌پذیری USBها

| جمعه, ۲ آبان ۱۳۹۳، ۰۵:۲۹ ب.ظ | ۰ نظر

کمال باستانی - نقل و انتقال فایل‌های الکترونیکی با استفاده از حافظه‌های فلش بین کاربران بسیار مرسوم است. با این‌که بیشتر کاربران می‌دانند که حافظه کوچک جیبی آنها ممکن است حامل انواع بدافزارهای مخرب باشد، به چک‌کردن آنتی‌ویروس و فرمت کردن هر چند وقت یکبار آن بسنده می‌کنند. اما مشکلات امنیتی ابزارهای جانبی همه‌گذر یا USB رایانه، فراتر از آن چیزی است که عموما در نظر گرفته می‌شود. خطر واقعی، فقط آن فایل‌های احتمالا آلوده‌ای نیست که کاربر به‌وسیله این نوع حافظه‌ها انتقال می‌دهد، بلکه ریسک بزرگتری در بطن چگونگی عملکرد چنین حافظه‌هایی نهفته است.

ثابت‌افزار یا سفت‌افزار (Firmware) در الکترونیک و رایانه، اغلب به برنامه‌های تقریبا ثابت و نسبتا کوچک و یا ساختمان‌های داده‌ای که درون سخت‌افزار انواع دستگاه‌های الکترونیکی است، گفته می‌شود.

حافظه‌های فلش هم دارای ثابت‌افزارهایی برای کنترل عملیات پایه از جمله خواندن و نوشتن و یا ذخیره و بازیابی داده بر روی خود هستند. پژوهش‌های اخیر در حوزه امنیت اطلاعات نشان می‌دهد که آسیب‌پذیری بالقوه و کمتر شناخته شده حافظه‌های فلش، مربوط به همین ثابت‌افزارهای آنها است و مدت‌هاست که این خطر آسیب‌پذیری موجب شیوع بدافزارهای بسیاری شده است.

کارستن نول و یاکوب لیل، 2 پژوهشگر در حوزه امنیت اطلاعات دیجیتالی، برای اثبات این فرضیه یک بدافزار آزمایشی پیاده‌سازی کردند که به آن BadUSB اطلاق می‌شود. این بدافزار به محض اتصال حافظه فلش، به سرعت به رایانه منتقل می‌شود و تغییراتی در فایل‌های موجود در رایانه ایجاد می‌کند. ضمن این‌که توانایی تغییر مسیر ترافیک اینترنت به مقصد مورد نظر طراحان بدافزار را نیز دارد. در حقیقت هر آنچه که یک مهاجم برای تسخیر یک رایانه نیاز دارد با این رویکرد قابل پیاده‌سازی است. با توجه به این‌که بدافزار طراحی شده در محل ثابت‌افزار حافظه فلش جاسازی می‌شود و کاربران عمومی این حافظه‌ها اغلب بخش‌های ذخیره‌سازی داده‌های خود را مورد بازبینی و یا کنترل از طریق ضد ویروس قرار می‌دهد، به این ترتیب احتمال دارد که بدافزار تعبیه شده در آن برای مدت طولانی بر روی حافظه فلش باقی مانده و هر رایانه‌ای را که با آن در تماس باشد، آلوده کند. جالب این که در حال حاضر هیچ راهکار آسانی برای رها شدن از چنین تهدیدی وجود ندارد و به طعنه، استفاده از چسب برای پُرکردن اسلات USB را تنها راه‌حل برای کاربران عادی پیشنهاد داده‌اند.

نول که همراه با لیل با ارایه مقاله‌ای در همین خصوص در کنفرانس امنیت «بلک هت» لاس وگاس شرکت خواهد کرد، می‌گوید «این مشکلات را نمی‌توان به سادگی رفع و رجوع کرد. کسانی پیدا شده‌اند که اساسا از نوع طراحی USB سو‌استفاده می‌کنند.»

بدافزارها روی USB جاخوش می‌کنند!

این 2 محقق شاید اولین کسانی نیستند که تذکر می‌دهند ممکن است حافظه‌های USB بدافزار در خود ذخیره کنند و به رایانه‌های دیگر انتقال دهند. این طور نبود که این 2 محقق مرکز مشاوره امنیتی SR Labs کدهای بدافزار سفارشی را که نوشته بودند به حافظه‌ USB کپی کنند و کنار بکشند، بلکه ماه‌ها وقت صرف کردند تا ثابت‌افزاری را که عملیات ارتباطی پایه در ابزار USB را به اجرا درمی‌آورد، مهندسی معکوس کنند. این ثابت‌افزار شامل تراشه‌های کنترلی است که ارتباط ابزارهای USB را با PC برقرار می‌کند و به کاربران اجازه می‌دهد فایل‌ها را به آن منتقل کنند و از آن بردارند. یافته‌ اساسی این است که ثابت‌افزار USB که در شکل‌های مختلف در تمام ابزارهای USB موجود است می‌تواند طوری برنامه‌ریزی شود که کدهای مهاجم را پنهان کند.

نول می‌گوید: «می‌توانید حافظه فلش‌تان را به مسوولان امنیت IT شرکت‌تان بدهید. آنها فلش را اسکن و بعضی فایل‌ها را پاک می‌کنند و به شما پس می‌دهند و می‌گویند پاک‌سازی کردیم. ولی اگر مسوول IT شما مهارت‌ مهندسی معکوس نداشته باشد که بتواند ثابت‌افزار را پیدا کرده، آن را تجزیه و تحلیل کند، فرایند پاک‌سازی او فایل‌های مورد بحث ما را حتی لمس هم نمی‌کند.»

مشکل فقط به درایوهای حافظه محدود نمی‌شود. تمام ابزارهایی که به USB مجهزند، از صفحه‌کلید و ماوس گرفته تا گوشی‌های هوشمند همگی دارای ثابت‌افزاری هستند که می‌شود برنامه‌ریزی مجدد کرد. ‌نول و لیل می‌گویند که علاوه بر حافظه‌های USB، بدافزارشان را بر روی گوشی‌های اندرویدی که به PC متصل بود نیز آزمایش کرده‌اند. زمانی که دستگاه آلوده به بدافزار BadUSB به کامپیوتر متصل است، انواع و اقسام خرابکاری‌ها می‌تواند اتفاق بیفتد. به عنوان نمونه بدافزار می‌تواند نسخه‌ معیوب یا جعلی را با نرم‌افزار در حال نصب جایگزین کند. حتی می‌توان صفحه‌کلید USB را طوری سفارشی‌سازی کرد که یک‌مرتبه دستور خاصی را تایپ کند.

نول می‌گوید «بدافزار قادر است هر کاری را که شما با صفحه کلید انجام می‌دهید، یعنی اساسا هر کاری که کامپیوتر می‌تواند بکند، انجام دهد.»
بدافزار می‌تواند در سکوت، ترافیک اینترنت را نیز بدزدد، تنظیمات DNS کامپیوتر را تغییر دهد و ترافیک را به هر سروری که بخواهد، منحرف کند. یا اگر کد مربوطه در گوشی تلفن یا هر دستگاه دیگری که به اینترنت متصل است، جاگذاری شود، می‌تواند مانند یک واسطه عمل کند؛ ارتباطات را به صورت مخفیانه شنود کند و از دستگاه قربانی به هر جای دیگری ارسال کند.

آلودگی از USB به کامپیوتر و برعکس

اغلب ما مدت‌ها پیش یاد گرفته بودیم که فایل‌های اجرایی مشکوک بر روی حافظه‌های فلش را اجرا نکنیم ولی سیستم امنیتی قدیمی USB نمی‌تواند با این نسخه‌ جدید ویروسی‌شدن مقابله کند؛ حتی اگر کاربران از احتمال تهاجم آگاه باشند، اطمینان از این که ثابت‌افزار USBشان آلوده است، تقریبا غیرممکن است. این نوع ابزارها از محدودیتی که با عنوان امضای کد یا code-signing شناخته می‌شود، بی‌بهره‌اند؛ سازو کاری که وقتی هر کد جدیدی به ابزار اضافه می‌شود، از صحت امضای رمزگذاری سازنده‌ آن اطمینان حاصل می‌کند. حتی ثابت‌افزار USB قابل اطمینانی وجود ندارد که بتوان کدهای موجود را با آن مقایسه کرد.

موضوعی که تحقیق نول و لیل را به چیزی فراتر از یک تهدید تئوریک تبدیل می‌کند این است که آلودگی مذکور می‌تواند از کامپیوتر به USB و از USB به کامپیوتر منتقل شود. هر زمانی که حافظه‌ USB به کامپیوتر متصل می‌شود، ثابت‌افزار آن می‌تواند توسط بدافزاری که در PC جاگرفته، مجددا برنامه‌ریزی شود بدون این که صاحب ابزار USB بتواند آن را شناسایی کند. همچنین ابزار USB می‌تواند در سکوت، کامپیوتر کاربر را آلوده کند.

نول معتقد است «ویروس می‌تواند از هر دو طرف وارد شود. هیچ‌کس نمی‌تواند به هیچ‌کس دیگری اعتماد داشته باشد.»

قابلیت BadUSB در خصوص گسترش بدون امکان شناسایی از PC به USB و بالعکس این سوال را پیش می‌آورد که آیا اساسا استفاده‌ ایمن از ابزار USB ممکن است؟ پرفسور مَت بلیز از اساتید دانشگاه پنسیلوانیا می‌گوید: «همه ما می‌دانیم که اگر من امکان دسترسی به پورت USB شما را داشته باشم، می‌توانم در کامپیوتر شما خرابکاری کنم. چیزی که الان صحبتش را می‌کنیم، برعکس این ماجراست، یعنی تهدیدی که در ابزار USB آلوده وجود دارد یکی از مشکلات مهم و عملی است.»

بلیز خاطر نشان می‌کند که حمله‌های از نوع USB از موضوعاتی است که آژانس امنیت ملی آمریکا NSA هم‌اکنون در حال بررسی آن است. وی به ابزار جاسوسی موسوم به Cottonmouth اشاره می‌کند که همین امسال و در جریان افشاگری‌های ادوارد اسنودن از آن استفاده شده بود. این ابزار که در محل اتصال USB به صورت پنهانی جاسازی می‌شود، در اسناد داخلی آژانس امنیت ملی به عنوان یک بدافزار محرمانه برای نصب در دستگاه فرد هدف معرفی شده بود. پرفسور بلیز می‌گوید: «برای من تعجبی ندارد چیزی که نول و لیل کشف کرده‌اند همانی باشد که ما در کاتالوگ‌های آژانس امنیت ملی دیده‌ایم.»

نول می‌گوید که او و لیل در حین تحقیقات‌شان به یکی از تولیدکننده‌‌های ابزار USB در تایوان که نامی از آن شرکت نبرد، هشدار داده‌اند که در محصولات خود مراقب بدافزار BadUSB تحقیقاتی آنها باشند. در چندین ایمیلی که بین محققان و شرکت تایوانی رد و بدل شد، شرکت مذکور امکان هر نوع تهاجم این‌چنینی را رد کرد. ولی لیز ناردوزا سخنگوی یک بنگاه غیرانتفاعی که بر استانداردهای مربوط به USB نظارت می‌کند بر این اعتقاد است که «خریداران باید همیشه مطمئن شوند که توسط یک منبع مطمئن ساخته شده است و ارتباط ابزارشان را تنها با منابع مطمئن برقرار کنند. آدم‌ها همیشه مراقب دارایی‌های شخصی‌شان هستند؛ وقتی موضوع تکنولوژی پیش می‌آید هم باید همین کار را کرد.»

نول موافق است که راه‌حل کوتاه‌مدت برای BadUSB تغییر مسیر اساسی در چگونگی استفاده از گجت‌های USB نیست. برای این که از خطر تهاجم دور بمانیم، تمام کاری که باید بکنیم این است که دستگاه‌های USBمان را به کامپیوترهایی که مال خودمان نیستند یا دلیلی برای اطمینان به آنها نداریم، وصل نکنیم. همچنین ابزار USB نامطمئن را به کامپیوتر خودمان متصل نکنیم. البته نول این را هم قبول دارد که در این صورت حافظه‌های کوچکی که همه‌مان در جیب داریم، ‌دیگر کاربرد چندانی نخواهند داشت. «اگر این طور فکر کنیم، نمی‌توانید بگویید که USB من مطمئن است، چون حافظه‌ آن ویروس ندارد. بلکه تنها زمانی می‌توانید مطمئن باشید که هیچ شخص غریبه‌ای به USB شما دست نزده باشد.» از نظر او «به محض این که دستگاه USB شما با یک کامپیوتر غیرقابل اعتماد تماس پیدا کرد، باید آن را آلوده در نظر بگیرید و دور بیندازید و این، با وضعیتی که ما در حال حاضر داریم و از ابزار USB استفاده می‌کنیم، ناسازگار است.»

این 2 محقق هنوز تصمیم نگرفته‌اند که در کنفرانس بلک‌‌هت از کدام یک از ابزارهای BadUSB‌شان صحبت کنند و آیا اصلا چنین کاری خواهند کرد یا خیر. نول می‌گوید نگران آن است که بدافزارهای ساکن ثابت‌افزار برای ابزار USB گسترش پیدا کنند. از سوی دیگر، از نظر او لازم است که کاربران از خطرات احتمالی آگاه باشند. ممکن است برخی شرکت‌ها سیاست‌های USB‌ خود را عوض کنند؛ به عنوان نمونه تنها از ابزارهای USB یک تولیدکننده خاص استفاده کنند و بر اعمال سازوکار حفاظتی امضای کد در گجت‌های شرکت فروشنده پافشاری کنند.

اعمال این مدل جدید امنیتی، در وهله‌ اول نیاز به متقاعد کردن تولیدکنندگان ابزار دارد که تهدید فوق واقعیت دارد. گزینه‌ دیگر این است که ابزارهای USB را چیزی مانند سرنگ‌های تزریق آمپول در نظر بگیریم و اجازه ندهیم کاربران دیگر از آن استفاده کنند که این راهکار بسیار شک‌برانگیز است و با هدف اولیه‌ این نوع ابزار در تضاد است.

نول می‌گوید: «شاید روزی یادتان بیفتد که زمانی یک ابزار USB متعلق به کسی را که کاملا به او اعتماد ندارید، به کامپیوتر خودتان وصل کرده بودید. این یعنی دیگر نمی‌توانید به کامپیوتر خودتان اعتماد داشته باشید. این تهدیدی در لایه‌ای نامریی است. نوعی پارانویای وحشتناک است.»(منبع:عصرارتباط)

  • ۹۳/۰۸/۰۲

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">