Безопасность компьютерных систем остаётся одной из главных забот как для домашних пользователей, так и для корпоративных сетей. Одним из наиболее тревожных направлений векторов атаки является использование USB-устройств.
Ярким примером такого рода атак является PoisonTap, созданный исследователем безопасности Сэми Камкаром. Этот крошечный, но мощный инструмент способен взломать даже заблокированные компьютеры, открывая двери для масштабных угроз безопасности.
Что такое PoisonTap?
PoisonTap — это устройство, созданное на базе Raspberry Pi Zero стоимостью всего $5. Оно использует Node.js для запуска серии эксплойтов, которые позволяют атаковать компьютер через его USB-порт. В отличие от многих других атак, PoisonTap работает даже на заблокированных компьютерах, что делает его особенно опасным для пользователей, полагающихся на пароли для защиты своих устройств. Это устройство способно проникать в систему, используя ряд хитроумных техник, которые заставляют операционную систему воспринимать его как легитимное сетевое устройство.
Как работает PoisonTap?
После подключения к USB-порту компьютера PoisonTap представляет себя Ethernet-адаптером и начинает перехватывать DHCP-запросы от операционной системы. Девайс убеждает компьютер, что всё IPv4-пространство адресов является частью локальной сети PoisonTap.
В результате трафик, который отправляется с компьютера на любой IP-адрес, проходит через PoisonTap, что позволяет устройству перехватывать данные и изменять их по своему усмотрению. Это включает в себя возможность перехвата HTTP-куки и сессий для миллионов популярных сайтов, таких как Google, Facebook и других.
Угрозы, создаваемые PoisonTap
- Перехват интернет-трафика. После захвата всего интернет-трафика, PoisonTap может перехватывать куки и сессии для миллионов веб-сайтов, включая популярные ресурсы, такие как Google, Facebook и другие. Всё это может использоваться для доступа к учётным записям жертвы даже на защищенных веб-сайтах. Например, даже если используется HTTPS, но не включен флаг «Secure», куки могут быть перехвачены и использованы атакующим.
- Кэширование вредоносного кода. PoisonTap может внедрять вредоносный HTML и JavaScript в локальный кэш браузера, создавая долговременные веб-бэкдоры. Эти бэкдоры позволяют атакующему продолжать атаку даже после отключения устройства. Вредоносные iframes, загружаемые в браузере жертвы, остаются в кэше и могут активироваться при повторном посещении жертвой тех же веб-страниц. Это позволяет злоумышленнику выполнять дополнительные атаки в будущем, даже если PoisonTap уже отключен.
- Удаленный доступ к маршрутизатору. Устройство может также открыть доступ к маршрутизатору жертвы, используя технику DNS-ребайдинга. Это позволяет атакующему изменять настройки маршрутизатора и перехватывать нешифрованный трафик локальной сети. Данная особенность делает возможным управление маршрутизатором жертвы удаленно, что открывает ещё больше возможностей для атак и шпионажа за сетью.
Как защититься от PoisonTap?
Защита от таких атак требует комплексного подхода:
- Отключение USB-портов. Один из самых радикальных, но эффективных способов защиты — физическое отключение USB-портов при помощи тонкой настройки BIOS. Это исключает возможность подключения любых неизвестных устройств. Также существуют специальные заглушки для USB-портов, которые физически блокируют доступ к ним.
- Использование HTTPS. Все веб-сайты должны использовать HTTPS вместе с HSTS (HTTP Strict Transport Security) для предотвращения атак на уровне куки и сессий. Это помогает защитить данные пользователей от перехвата, так как HTTPS шифрует трафик между пользователем и сервером.
- Закрытие браузеров. Важно закрывать все веб-браузеры, когда компьютер не используется, и регулярно очищать кэш. Это снизит вероятность того, что куки и сессионные данные будут перехвачены и использованы злоумышленниками. Даже если браузер просто запущен в фоне, он может быть уязвим к атакам.
- Шифрование диска. Для пользователей Mac рекомендуется включение FileVault 2 для полного шифрования диска. Это затруднит доступ к данным при перезапуске компьютера. Пользователям Windows можно использовать аналогичные решения, такие как BitLocker.
- Физическая безопасность. Не оставляйте свои компьютеры без присмотра, особенно в общественных местах. Даже кратковременное отсутствие может дать злоумышленнику достаточно времени для установки PoisonTap и проведения атаки.
Заключение
PoisonTap — это яркий пример того, как относительно простое и дешёвое устройство может представлять серьезную угрозу безопасности. Понимание работы таких инструментов и принятие соответствующих мер безопасности помогут защитить ваши данные от потенциальных атак. Учитывая, что атака возможна даже на заблокированных компьютерах, необходимо быть особенно внимательными к физическому доступу к вашим устройствам и применять комплексные меры защиты для предотвращения подобных угроз.
