خطر یو اس بی درایوها
دانلود مقاله
بخشی از ترجمه فارسی مقاله:آزمایش ما: مرور کلیبرای اطمینان یابی از اینکه کاربران درایوهایی که روی زمین پیدا می کنند به ابزار متصل می کنند، آزموایشسطح کلان انجام دادیم که در آن حدود ۳۰۰ فلش درایو در محوطه دانشگاه ایلینویس در فضای اربانا-چمپینانداختیم. در این هجوم، فایل های مورد انتظار را در درایو با فایل های اچ.تی.ام.ال جایگزین نمودیم که حاویتصویر نهادینه در سرور مرکزی بود که به ما اجازه می داد پیگیری کنیم که درایو به کجا متصل شده است. پیبردیم که کاربران تا ۹۸ درصد درایوها را برداشتند و ۴۵ درصد درایوها به رایانه متصل شدند.به علاوه حمله بسیار آنی بود به طوری که اولین درایو یافت شده ظرف شش دقیقه پس از زمان انداختن بهابزار متصل گردید. مغایر با عقیده عمومی، ظاهر درایو این احتمال را افزایش نداد که فرد آن را به رایانه خودمتصل سازد. در عوض، کاربران همه انواع درایو ها را به ابزار متصل نمودند مگر اینکه روش تعیین محل صاحب آنوجود نداشت که نشان می داد بسیاری از شرکت کنندگان انگیزه از خود گذشتگی داشتند. به هر حال، هرچند برخی کاربران ابتدا درایو را با انگیزه از خود گذشتگی متصل نمودند، حدود نیمی از انها تحت تثیر کنجکاویواقع شده و ابتدا فیل های فریبنده را از جمله عکس های مسافرت، را باز کردند قبل از اینکه سعی کنندصاحب درایو را بیابیند. برای درک بهتر انگیزه کاربران، این انتخاب را برای کاربران پیشنهاد دادیم که نظرسنجیکوتاهی را کامل کنند هنگامی که درایو را متصل نمودند. اکثر انها بیان داشتند که درایو را متصل نمودند تاصاحب آن را بیابند یا اینکه از سر کنجکاوی بوده است هر چند عده کمی اقرار نمودند که برنامه ریزی کرده بودندکه درایو را نزد خود نگه دارند.
دانشجویان و کارکنان که درایو را متصل کرده بودند، چندان سواد رایانه ای نداشتند و تفاوت عمده ای با همنظیران خود نداشتند. هنگامی که تحریک شدند، ۶۸ درصد از شرکت کنندگان بیان نمودند که آنها هنگام اتصالدرایو هیچ گونه احتیاطی به خرج ندادند. از افرادی که این کار را کردند، ۱۶ درصد درایو را با نرم افزار انتی ویروسخود اسکن کردند و ۸ درصد معتقد بودند که سیستم عامل یا نرم افزار امنیت از آنها محافظت خواهد نمود. درپایان، چند نفر از شرکت کنندگان که احتیاط کردند این کار را به طور ناکارامد انجام دادند و اکثر آنها به هیج وجهاحتیاط نکردند.
ما از هیئت بازبینی موسسه ای دانشگاه ایلینیوس تاییدیه را دریافت نموده و صحه گذاشتیم و با سهامدارانعمده (واحدهای فناوری اطلاعات، قانونی و ایمنی عمومی) ضمن طراحی آزمایش رو به رو شدیم. ما به طورخودکار هر نوع کد را روی سیستم شرکت کنندگان اجرا نکردیم و فقط توانستیم داده ها را جمع آوری کنیم اگرشرکت کنندگان روی فایل های فلش درایو دو بار کلیک می کردند. از شرکت کنندگان اطلاعاتی کسب گردید وفرصت کشیدن درایو را به آنها دادیم.آیا درایوهای یو.اس.بی هنوز تهدید آفرین اند؟بسیاری از ویندوزهای مایکروسافت دیگر به طور خودکار کدهای دلخواه را اجرا نمی کنند، هنگامی که درایویو.اس.بی متصل می گردد که بسیاری از حملات سنتی مبتنی بر یو.اس.بی را از بین می برد. به هر حال،اتصال یو .اس.بی درایو هنوز خطر عمده ای به بار می آورد. سه گروه جامع حملات موثر یو.اس.بی وجود دارد:مهندسی اجتماعی، کلاه برداری و تخریب اطلاعات.
ساده ترین نوع حمله مهندسی اجتماعی بوده که در ان درایو هر نوع کد اتصالی را اجرا نمی کند اما در عوضکاربر نهایی را فریب می دهد که فایل درایو یو .اس.بی را باز کند. فایل های روی درایو می توانند حاوی اسبتروجان یا محتوی اچ.تی.ام.ال بوده که تلاش دارند به اسناد محرمانه دست یابند. ساده ترین نوع حمله از جانبدرایورها به دو دلیل اتفاق می افتد: مهاجم می تواند از درایو های خریداری شده از فروشگاه استفاده کند وحمله متکی بر یافتن آسیب پذیری های سیستم عامل نباشد. به هر حال، اعتبار آنها نیز در حد مینیمم بوده وبسیار به چشم می آیند چون متکی بر کاربر نهایی اند که فایل ها را باز کند بدون اینکه شک و تردیدی داشتهباشد. متاسفانه همانطور که در زیر توصیف می کنیم، بسیاری از کاربران فایل ها را در درایو بدون هر نوع عکسالعمل باز می کنند.
حمله پیچیده تر نوع متفاوتی از ابزار یو.اس.بی به نام فلش درایو طراحی می کند. در حالی که درایو یو.اس.بینمی توانند به طور خودکار کد را اجرا کنند، ابزارهای رابط انسانی یو.اس.بی از جمله صفحه کلید و مووس نیازبه تایید و صحه گذاری کاربر ندارند. این بدان معناست که اگر ابزار یو.اس.بی خود را به عنوان صفحه کلیدشناسایی کند، آن می تواند بلافاصله ضربات کلیدی مخربی القا کند که دستگاه را به مخاطره می افکند. اینحمله دشوارتر از حمله مهندسی اجتماعی ساده پیاده سازی می شود چون نیاز به پیکربندی ابزار سطح پایینبرای جوله نمایی ابزار رابط انسان دارد تا به طور فیزیکی ابزار را به عنوان درایو یو.اس.بی درست کند و نوساناتسیستم عامل را کنترل کند.
به هر حال این مسئله به طور قابل ملاحظه با دسترسی اخیر خرده کنترل گرهای مبتنی بر آردونیو راحت ترشده است که توسعه سطح پایین را میسر می گردانند. شکل ۱ خرده کنترل گر طراحی شده تینزی را نشانمی دهد که پوسته وارون در ویندوز و سیستم عامل مک دارند و دستورات باش یا پاورشل مورد نیاز را در پسزمینه «تایپ می کند». ابزارهای خارج از قفسه این نوع همچنین در دسترس هستند، هر چند آنها به طورعمده هزینه آنها بیش از درایوهای یو.اس.بی خریداری شده در فروشگاه است. هنوز شدت این روش بیشتر ازحمله مهندسی اجتماعی است اما می تواند به راحتی از سوی هکر حرفه ای انجام گردد.
پیچیده ترین نوع حمله یو.اس.بی موردی است که در آن ابزار یو.اس.بی آسیب پذیری معروف در سیستم عاملمیزبان یا سخت افزار را هدف قرار می دهد. این هجوم های «سرسخت» به دشوار قابل تشخیص بوده و اغلبنیاز به اجراء وقت گیر دارند که آنها را در اکثر محیط ها قابل استفاده می گرداند. به هر حال، اگر مهاجم بتواندبه هجوم سرسخت دست یابد، محافظت دربرابر این هجوم به طور باورنکردنی دشوار است. خط مشی هایسیستم عامل را می توان از کار انداخت و محافظت کمی وجود دارد که مدیران می توانند فراتر از اختلال دربخش های یو.اس.بی در پیش گیرند.
هر یک از سه هجوم دارای معایب و مزایای خود اند. اجرای حملات مهندسی اجتماعی جزئی بوده اما متکی برکنجاوی کاربر اند. از طرفی دیگر، حملات شدید، به دشوار قابل تشخیص بوده اما محافظت عمده در برابر آنهاتقریبا غیر ممکن است. ابزارهای کلاهبرداری رابط انسان به مخاطره منطقی دست می یابند؛ آنها را می توان بامواد در دسترس راحت درست کرد و نیاز به تعامل کاربر ندارند پس از اینکه ابزار متصل گردید. |
| بخشی از مقاله انگلیسی:
Our Experiment: An Overview To measure whether users will connect drives they find on the ground, we conducted a large-scale experiment in which we dropped nearly 300 flash drives around the University of Illinois at Urbana-Champaign campus.2 In the a ack, we replaced expected files on the drive with HTML files that contained an embedded image hosted on a central server, allowing us to track when the drive was connected without automatically executing any code. We found that users picked up 98 percent of the drives, and 45 percent of the drives were connected to a computer. Furthermore, the a ack was expeditious, with the first drive being connected within six minutes from when it was dropped. Contrary to popular belief, the appearance of a drive didn’t increase the likelihood that someone would connect it to their computer. Instead, users connected all types of drives unless there were other means of locating the owner— indicating that many participants were altruistically motivated. However, although users initially connected the drive with altruistic intentions, nearly half were overcome with curiosity, first opening intriguing files—such as vacation photos—before trying to find the drive’s owner. To better understand users’ motivations, we offered participants the option to complete a short survey when they connected the drive. Most stated that they connected the drive to locate its owner or out of curiosity, although a handful also admitted that they had planned to keep the drive. The students and staff who connected the drives weren’t computer illiterate and weren’t significantly different from their peers. When prompted, 68 percent of the participants stated that they took no precautions when connecting the drive. For those who did, 16 percent scanned the drive with their antivirus software and 8 percent believed that their OS or security software would protect them. In the end, all but a handful of the participants who took precautions did so ineffectively, and the majority took no precautions at all. We submitted and received approval from the University of Illinois Institutional Review Board and met with key stakeholders (IT, legal, and public safety departments) while developing the experiment. We didn’t automatically execute any code on participants’ systems, and we were only able to collect data if participants double-clicked files on the flash drives. Participants were debriefed and provided with an opportunity to withdraw. Are USB Drives Still a Threat? Microsoft Windows no longer automatically executes arbitrary code when a USB drive is connected,3 which defeats many traditional USB-based attacks.4,5 However, connecting a USB drive still poses significant risk. There are three broad categories of effective USB attacks: social engineering, spoofing, and zero-day. The simplest type of attack is social engineering, in which the drive doesn’t execute any code on connection but instead tricks the end user into opening a file on the USB drive. The files on the drive can contain a Trojan horse or can simply be HTML content that attempts to phish for credentials. These are the easiest type of attack drives to create for two reasons: an attacker can use store-bought drives, and the attack doesn’t rely on finding OS vulnerabilities. However, they’re also the least reliable and most conspicuous because they rely on the end user to open files without becoming suspicious. Unfortunately, as we describe below, many users will open the files on a drive without any prompting. A more complex attack disguises a different type of USB device as a flash drive. While USB drives can no longer automatically execute code, USB human interface devices (HIDs)—such as keyboards and mice—don’t require user confirmation. This means that if a USB device identifies itself as a keyboard, it can immediately inject malicious keystrokes that compromise the machine. This attack is more difficult to deploy than a simple social engineering one, because it requires configuring a low-level device to emulate an HID, physically disguising the device as a USB drive, and handling OS variations. However, this has been made considerably easier by the recent availability of Arduino-based microcontrollers that facilitate low-level development. Figure 1 shows a disguised Teensy microcontroller that will open a reverse shell in Windows and Mac OS by “typing” out the requisite BASH or PowerShell commands in the background. Off-the-shelf devices of this type are also available, although they cost significantly more than store-bought USB drives. The bar is still higher than a social engineering attack but can be accomplished easily by a determined hacker.6 The most complex type of USB-based attack is one in which the USB device exploits a known vulnerability in the host OS or hardware. Such “zero-day” attacks are difficult to find and expensive to purchase, and frequently require time-consuming implementation, which makes them unlikely to be used in most settings. However, if an attacker can acquire a zero-day, such an attack is incredibly difficult to protect against: OS policies can be bypassed, and there’s little protection that administrators can take beyond disabling USB ports altogether. Each of the three attacks has its set of advantages and disadvantages. Social engineering attacks are trivial to implement but rely on user curiosity. On the other extreme, zero-day attacks are difficult to acquire but nearly impossible to centrally protect against. HID spoofing devices achieve a reasonable compromise: they can be built using readily available materials and don’t require user interaction after the device has been plugged in. |
