BadUSB. Угроза, от которой нет эффективной защиты.

В прошлой главе мы рассказали о вирусах, которые распространяются через внешние носители информации, но это были еще цветочки по сравнению с угрозой, о которой мы поговорим в этой главе.

Многие из вас раньше слышали рекомендацию не вставлять чужие флешки в свой компьютер, так как это опасно, были даже такие параноики, которые, казалось, охотнее проглотят флешку, чем вставят ее в свой компьютер. Потом это убеждение сменилось требованием проверять USB-флешку антивирусом или запускать файлы в песочнице сегодня многие и вовсе без опасения вставляют любую флешку в свой компьютер или ноутбук. И напрасно...

BadUSB – метод атаки, включающий перепрошивку USB-устройства так, чтобы оно воспринималось компьютером как иное устройство. Например, USB-флешку компьютер будет видеть как клавиатуру или внешнюю сетевую карту, тем самым BadUSB сможет исполнять на компьютере заложенный в нее вредоносный код. 

Корень проблемы в микроконтроллере, установленном в каждом USB-устройстве, он и сообщает компьютеру, что за устройство подключено и как с ним работать. Но многие USB-устройства не защищены от перепрошивки, тем самым можно без проблем «превратить» USB-флешку во внешний Wi-Fi адаптер или камеру.

Пользователю не составит труда визуально отличить внешний жесткий диск от внешней клавиатуры, но как это сделать компьютеру? Глаз у компьютера нет...

И от этой уязвимости не спасает ни антивирус, ни какие-либо иные решения. Антивирусы просто не способны дать адекватную оценку действиям внешнего носителя. Например, USB-флешка с BadUSB представляется сетевой картой и путем смены DNS перенаправляет ваши данные на ресурсы злоумышленников, где они перехватываются. Как антивирусу отличить такую USB-флешку от обычной сетевой карты?

BadUSB – инструмент адресной атаки, так как из-за различий микроконтроллеров невозможно разработать универсальное решение для перепрошивки. Однако злоумышленники могут перепрошить USB-флешку, внешний жесткий диск, клавиатуру, мышку, веб-камеру, устройство на базе Android для адресной атаки, и если раньше этот способ был доступен отдельным гикам и спецслужбам, то сегодня это доступно любому специалисту, в то время как частные компьютеры все так же беззащитны перед данной угрозой.