USB все еще «лучший выбор» для хищения информации

Одной из главных тем, сопутствовавших президентским выбора 2016 г. в США, был взлом почтового сервера Демократической партии США (DNC) с хищением переписки огромного объема. Как утверждают демократы и чиновники, взлом был произведен из Румынии, и в деле участвовали российские хакеры или спецслужбы, и сделано это было ради попытки вмешаться в выборы – а все остальные версии не что иное, как «теория заговора». Однако, эксперты и аналитики с многолетним опытом теперь приводят аргументы, опровергающие официальную версию ключевых событий в прошлом году. Как заявляет издание The Nation в своей статье «A New Report Raises Big Questions About Last Year’s DNC Hack», никакого удаленного взлома серверов ни россиянами, ни кем бы то ни было – попросту не было. Банальная утечка через флешку или другой USB-накопитель и ничего более, а приведенные ранее «доказательства» взлома являются сфабрикованными.

Альтернативное исследование технической подоплеки скандала проводилось независимыми группами квалифицированных экспертов с опытом работы в разведке, судебной экспертизе и форензике, а результаты и доводы были опубликованы на независимых ресурсах consortiumnews.com и www.disobedientmedia.com.

Выводы экспертов были построены на оценке объема предположительно взломанного материала и скорости передачи данных. Анализ метаданных показал, что вечером 5 июля 2016 года с сервера DNC было загружено 1976 мегабайт данных. Операция заняла 87 секунд, что означает скорость передачи данных 22,7 МБ/с. При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не передавать данные с такой скоростью, да еще и посредством трансатлантической передачи в Румынию. Самые высокие средние скорости ISP в первом полугодии 2016 года были достигнуты провайдерами Xfinity и Cox Communications и составляли в среднем 15,6 и 14,7 МБ/с соответственно. Более высокие пиковые скорости регистрировались с перерывами, но до сих пор не достигли требуемых 22,7 мегабайт в секунду. Это означает, что требуемая для внешнего взлома скорость все еще недостижима, что опровергает теорию взлома почтового сервера снаружи.

В то же время, скорость в 23 МБ/с является типичной скоростью передачи при использовании флэш-накопителя стандарта USB 2! Все это позволяет сделать вывод, хищение данных с почтового сервера DNC было произведено лицом, имевшим физический доступ к серверу, посредством переноса данных на внешний USB-накопитель.

Однако, довольно политики. Не так давно в издании The Business Standard  было опубликовано еще одно весьма интересное исследование, выполненное австралийскими специалистами из University of Adelaide. Они протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что более 90 процентов из них передают информацию на внешнее устройство USB, не являющееся прямым адресатом при передаче данных. «Считалось, что, поскольку информация передается только по прямому пути между USB-устройством и компьютером, она защищена от потенциально скомпрометированных устройств», - сказал Yuval Yarom, «Но наши исследования показали, что если вредоносные устройства, подключены к соседним портам на одном и том же внешнем или внутреннем USB-хабе, эта конфиденциальная информация может быть захвачена вредоносным устройством». Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных. В качестве теста для подтверждения гипотезы исследователи использовали модифицированное недорогое устройство с подключаемым USB-разъемом для считывания каждого нажатия клавиши с соседнего USB-интерфейса клавиатуры, после чего перехваченные данные были отправлены через Bluetooth на другой компьютер.

Как исследование австралийского университета, так и анализ утечки почтовой переписки с сервера DNC прямо говорят о том, что тенденция последних лет забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, категорически ошибочна и даже вредна. Да, сегодня в ходу мессенджеры и облачные хранилища, но старый добрый интерфейс USB и примитивная флешка на пару гигабайт по-прежнему доступны каждому потенциальному злоумышленнику в любой организации, а значит, их использование для хищения конфиденциальной информации все еще актуально, и более того – намного проще и эффективнее, чем атака через внешний периметр или слив данных через облака и почту.

А что же происходит в нашей российской действительности? Даже беглый анализ маркетинговых материалов, листовок и сайтов большинства российских разработчиков, прямо или косвенно позиционирующих себя в сегменте DLP, показывает, что фокус в развитии решений, по идее своей предназначенных для защиты информации от несанкционированной утечки, делается на чем угодно, - но не на предотвращении утечки, а на мониторинге и использовании психологической «защиты» вместо технических мер. При этом, как ни удивительно, контроль порта USB, по-прежнему являющегося «лучшим выбором» для случайной или предумышленной утечки, реализован на откровенно слабом уровне.

Многие решения, продаваемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне, или препятствуя старту драйвера устройства. Такая «защита» является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности. Для пользователя отключение такого контроля – задача на несколько секунд, не требующая особой квалификации. Про «контроль» устройств через снятие снимков экрана, что порой выдается за функцию защиты от утечек, не стоит и говорить…

Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи – предотвратить утечку данных техническим способом. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации, исходящих от обычных пользователей и доступным на большинстве компьютеров. Нейтрализация достигается посредством гибкого сочетания функций мониторинга и контроля доступа ко всем потенциальным каналам утечки информации, и в том числе обязательно – для устройств, подключаемых через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройство хранения данных, но теоретически (и практически, как показывает эксперимент австралийских исследователей) являющихся каналом утечки данных.