Авторские статьи Оружие инсайдера: ядовитый USB.

Инсайд – пожалуй, самое ущербное явление в корпоративной среде. Как в прямом, так и переносном смысле. Грамотно продуманная техническая сторона защиты периметра корпоративной инфраструктуры еще не гарантирует полной безопасности циркулирующей в ней информации. В данном случае работает всем известный принцип: защищенность системы в целом определяется степенью защищенности ее самого слабого звена. Самым слабым звеном является человеческий фактор. Персонал, через который проходит определенный объем информации, может ее «выносить» за пределы защитного периметра.

Человек, сам того не осознавая, может оказаться инсайдером. Например, в результате социального инженеринга или по-русски говоря: развода.

Нам такие личности не интересны, благо с ними в большинстве случаев справляется внутренний устав компании, регламентирующий порядок работы с информацией каждого служащего. Гораздо опаснее инсайдеры, специально подготовленные и имеющие определенную цель.

Что и говорить про обычных пользователей, которые каждый день рискуют попасть (и попадают) под колпак троянов. Причем тут инсайд? При том, что каждый может использовать оружие «засланного казачка» в своих целях, а в пользовательской среде сделать это гораздо эффективнее, нежели в корпоративной.

Для начала, рекомендую ознакомиться со статьей Андрея Комарова «Глазами инсайдера», в которой автор классифицирует основные технические инструменты промышленных «шпионов» и рассматривает условия, при которых можно благополучно «слить» нужную информацию.

Политика разрешения на подключение USB-устройств может сыграть на руку злоумышленнику. Если даже во многих организациях не задумываются над этими вопросами, то что твориться у обычных пользователей… Любой flash-накопитель, плеер и т.п. usb-девайс, имея в наличии специальное ПО, может собрать необходимую информацию с целевого ПК так, что у администратора не появится подозрений.

Созданием такого программного обеспечения для usb-девайсов мы и займемся. Естественно в интересах эксперимента. Неадекваты, воспринимающие материал как руководство к действию, идут косить изюм.


Определяем характеристики оружия.

Любой usb-flash накопитель имеет контроллер – микросхему, которая выполняет роль шлюза между микросхемой памяти и интерфейсом USB компьютера.

Определить тип контроллера, не разламывая корпус флешки, поможет утилита ChipGenius (http://flashboot.ru/index.php?name=Files&op=view_file&lid=131).

Из списка USB-контроллеров выбираем нашу флешку и в области «The details of selected device:» смотрим подробную информацию. Нам необходимо поле «Chip Vendor», которое содержит название производителя микросхемы; поле «Chip Part-Number» показывает версию прошивки. Этой информации достаточно для перепрошивки девайса.

В моем случае (Kingston DataTraveler 4GB):

Chip Vendor: phison
Chip Part-Number: UP8~UP10.



Модернизируем спусковой механизм.

Некоторое время назад на прилавках магазинов можно было наблюдать USB-flash память, поддерживающую технологию U3. Ничего принципиально нового такие флешки не содержали, за исключением специального ПО, которое позволяло запускать программное обеспечение, содержащееся в памяти накопителя в режиме автозагрузки.

Главная особенность - специальный раздел (по типу CD-ROM), который был доступен только для чтения и который, собственно, содержал портируемые (portable) версии программ.

В настоящее время эти девайсы на прилавках отсутствуют, т. к. содержали специфичную «багу», которая позволяла перезаписать автозагружаемую область и запускать любое ПО или .bat-файл. В ряде случаев это может привести к плачевным последствиям и поставить крест на конфиденциальной информации.

Условие текущей задачи: на входе – обычная usb-flash; на выходе – usb-flash с поддержкой U3.

Идем на сайт flashboot.ru и находим нужный пак для нашего контроллера. Производитель: Phison. А вот с версией пришлось поэкспериментировать, потому что прошивка содержит свои особенности для уникального девайса.

Требуется создание на флешке специального CD-ROM раздела, чтобы она стала поддерживать U3 или (по научному) работать в 21 режиме (Mode 21).

Запускаем находящуюся в паке перепрошивки утилиту ParamEdt-F1-v1.0.20.2.exe и сразу открываем вкладку «F1-1» и устанавливаем все, как на скриншоте (см. полную версию статьи: http://www.defec.ru/node/10)

Напомню, что нам нужен Mode 21.

Переходим к вкладке «F1-2» и в поле CD-ROM выбираем образ CD, который будет автозагрузочным. Это может быть любая LiveCD или PE-версия Windows. Однако отметьте для себя, что в будущем мы будем использовать специально подготовленный .iso-образ, созданием которого займемся в следующем разделе. Далее переходим к вкладке «Controller», где в области IC Type (Тип контроллера) выбираем пункт Previous vision (Возможно старый), а в области Used MP Tools выбираем пункт Last Version. Сохраняем все настройки в файл boot.ini, нажав на кнопку «Save As».

Запускаем F1_90_v196_00.exe и выбираем созданный boot.ini. Нажимаем «Start» и наблюдаем за процессом тестирования и записи образа. Процесс закончится, когда окно будет окрашено в зеленый цвет (светодиод накопителя при этом будет мерцать).

В результате всех манипуляций мы получаем флешку с двумя разделами: CD-ROM и накопитель стандартного типа.


Заряжаем.

Дальнейший материал основан на статье и разработках Вадима Даньшина ([email protected]), которые он привел в июньском (126) номере ][ («Троян в мозгах Flash»).

Вкратце скажу, что от Kingston выпущен патч для U3-флешек, который представляет собой незащищенный RAR-архив, что позволяет изменять его содержимое по своему желанию. Именно это и сделал Вадим Даньшин, модифицировав файл автозапуска защищенного диска таким образом, что он направлял выполнение кода сначала на специальный обработчик, а уже затем на файлы LaunchU3-обработчика.

Результатом его исследований стала подборка файлов, которая должна присутствовать на защищенном разделе флешки. Скачать архив, содержащий эти файлы можно здесь: www.defec.ru/sites/default/files/System.rar.

Прежде, чем записать эти файлы (используя методы, описанные в предыдущем разделе) в защищенную часть, перекинем их в .iso –образ. Как это сделать, я думаю, рассказывать не имеет смысла.

Перейдем к содержимому рабочей части – именно ей (а точнее скриптам) передается управление с защищенного хранилища. Основу рабочей области можно найти в архиве.

Я немного облегчил систему, убрав ненужный функционал (например, воспроизведение музыки) и удалив не имеющие отношение к системе файлы. Содержимое рабочей части каждый может «заточить» под свои нужды (естественно, не забываем про копирайты), благо в данном случае не придется при любом изменении перепрошивать девайс.


Выстрел!

Нет сомнений, что эта система работает и делает то, что, собственно, и требовалось доказать. Кому-то она покажется новым видом троянской лошади, а для кого-то станет рабочей лошадкой.

Важно другое: пока администраторы не оставят свою наивность - данные как сливали, так и будут сливать. А этот концепт – всего лишь решение данной теоремы.

Исходные коды рассмотренной системы

(с) c0n Difesa (defec.ru)

 

1/ Не ново

2/

Что тогда статья делает в НАШИ? или это копирайт под исходники?

А Админы тут причем? кто сказал что Админы наивны? у меня вот на пример финансирование нулевое, проплату пары мышек жду по 3 месяца.

 

сейчас уже настолько сами граберы модернезируют, что статья очень быстро становиться не актуальной + ко всему помимо флешки необходимо быть знакомым с таким понятием как "СИ" и знать как применяются данные навыки.
зачастую проделав вышеописанные действия, доступ к компьютеру инсайдер не получает, из-за непродуманного предлога.

 

Идея материала стара, как сам USB. Здесь, как в случае и с другими портами (COM, LPT) все просто: "воткнуть - слить". Совершенствуются лишь методы.

Копирайт исключительно авторский, статья написана для античата.

На первый вопрос, могу только посоветовать перечитать материал еще раз. Разве не в обязанности админов входит создание политик безопасности? Политики подключения девайсов - это подмножества общих правил обеспечения безопасности.

"И вы еще спрашиваете, причем тут мышки" (с) реклама

 

а с политиками как правило все нормально, но есть ситуации когда они просто напросто не применимы к какой либо рабочей станции (у меня таких 6! по требованию начальства они не включены в домен и не имеют каких либо ограничений - неправильно но хозяин барин)

Тут не в мышах смысл а в финансировании, ИТ система требует вложения средств но наши предприниматели/Госники этого не понимают.

P.S. Чтобы настраивать политики, нужно как минимум чтобы было где их настраивать, а если на серв под домен зажали денег то я махал на бегатню по 300+ рабочих станций - мне столько не платят

 

Очевидно, что действия администратора не произвольны и имеют подоплеку вышестоящих должностных лиц. Но смысл статьи от этого не меняется - брешь в обороне не закрыта и может быть проэксплуатирована, как заметил morty10, при определенных обстоятельствах (имеется ввиду получение доступа к порту USB, а дальше дело техники).

Полностью согласен. Деньги всегда были хорошим стимулом и администрирование не является исключением. Другое дело - сколько готова потратить организация за убытки, возникшие в случае утечки конфиденциальных данных, или же все таки потратить деньги на организацию средств управления ИБ.

 

POS_troi +100, у меня тажа ситуация на работе, только еще хуже, денег не дают вообще, только если физически что то полетело, у меня 1 комп, онже сервак, он-же рабочий, к ниму же подключаю железо для проверки(на обеде, после работы), весь софт пиратский, про отключение флешек даже речи не идет, так как "они нужны для работы", пароли на систему ни у кого не стоят, так как запоминать их не тру, общий уровень персонала далеко не дотягивает хотябы до простого пользователя. Так что если начальство настроено на максимальную экономию по части безопасности, нихрена тут уже не сделаешь (((

 

блин вот ни как не доганю как нужно сождавать образ! нужно system.rar закинуть в исошник? или содержимое этого архива? т.е. две папки закинуть в образ?

 

блин... затупил.... сори за оф топ разобрался...

 

Cthulchu, а ты работаешь сисадмином?

 

Cthulchu, вот не могу понять, зачем лочить USB ? Тогда уж и инет отключать полнсотью, инсайдер намигать же может и без USB, что угодно и куда угодно.

А вот геммороя с работой на компе без USB - дофига.

 

Дата публикации: 24.07.2009, 16:12.

Здесь каждый решает сам для себя. Факт – метод работает, а значит, имеет полное право на существование.

То есть, из Ваших слов, все администраторы, у которых зарплата <= 500$ - ненормальные? Или, воможно, Вы имели ввиду выполнение двух условий: если админ адекват «И» зарплата > 500$ ?
ИМХО, любой администратор, который себя считает таковым, должен уделять внимание безопасности доверенных ему объектов (будь-то сеть или рабочая станция). Однако, все прекрасно понимают, что за копеечную зарплату это делать «неинтересно».

Но прошу не отходить от сути: данный материал не рассматривает, что делать админу, если у него маленькая заработная плата или он неадекват.

… значит стоит задуматься над своими способностями или/и сменить место работы.

Спасибо за критику.

P.S. Qwazar правильно заметил: остальные порты никто не отменял. Блокировка доступа к портам - решение, что называется "в лоб" и редко применимо даже к критически важным объектам.

 

Угу,у нас электрики за такую зарплату не пойдут работать,а приходится людям с дипломами ес и прочими выходить работать.*Нормальный* админ получает не менее 1500 баксов,ибо с такой суммы и начинается нормальная работа =),которую и можно стимулировать ).Как ты жить то на них собрался?Потому как плевали,так и будут плевать на безопасность,пока зарплата не устроит)

 

блин... стока много букоф написали... решение данной проблемы как и проблемы распространения вирусов через USB простое! Не нужно отключать USB достаточно поотключать автовоспроизведение USB и CD дисков и никаких проблем!

 

Более того: в случае защиты от действий данной системы достаточно отключить автозагрузку с CD, т.к. с ее помощью происходит передача управления с защищенного раздела (коим выступает раздел типа CD) системе, находящейся в рабочей области.

 

статья взята из ][акер за начало лета,и немного переделана.
статья конечно кому-то пригодится, но как уже говорил Cthulchu, это будет целиком вина админа
если тот не защитит компьютер и сеть.

 

Статья основана на материале, опубликованном в ][akep’е, и использует систему, разработанную автором. Однако говорить, что статья «взята» из журнала – необоснованно. Во-первых, смысл статьи охватывает другой спектр проблем. Во-вторых, сам Вадим Даньшин (автор статьи в ][), предложил в рамках «домашнего задания» разобраться с деталями перепрошивки, которые здесь описаны.

Вина админа будет в том, что статья кому-то пригодится? А если без шуток: не всегда виноват администратор, но и те, кто его «стимулируют».

P.S.

Это косвенная уязвимость, которая является скорее следствием из прямой уязвимости: неправильная политика подключения устройств (USB-устройств в частности). Будем смотреть действительности в глаза, а не подниматься до уровня начальства и "чмырить" его за плохую зарплату.