Jak uniknąć tzw. ataku złej pokojówki

Zabezpiecz swój komputer firmowy przed niepowołanym dostępem fizycznym.

Atak złej pokojówki (ang. evil-made attack) to najbardziej prymitywny rodzaj ataku, który jest również jest najbardziej nieprzyjemny. Polega on na próbie wykorzystania urządzenia pozostającego bez nadzoru w taki sposób, aby wykraść z niego tajne informacje, zainstalować na nim oprogramowanie szpiegowskie lub narzędzia dostępu zdalnego w celu uzyskania dostępu do sieci firmowej. Podpowiadamy, jak zabezpieczyć się przed takimi intruzami.

Klasyczny przykład

W grudniu 2007 roku delegacja Departamentu Handlu Stanów Zjednoczonych wybrała się do Pekinu celem ustalenia wspólnej strategii przeciwdziałania piractwu. Po powrocie do Stanów Zjednoczonych okazało się, że laptop sekretarza handlu zawierał program szpiegowski, którego instalacja wymagała uzyskania fizycznego dostępu do komputera. Właściciel laptopa twierdził, że podczas negocjacji miał urządzenie cały czas ze sobą, a zostawił go w swoim pokoju hotelowym — w sejfie — tylko na czas spożywania posiłku na dole.

Teoretycznie urządzenie można zhakować w ciągu 3 do 4 minut, jednak komputer musi być wtedy bez nadzoru i odblokowany (lub bez włączonej chroniony hasłem). Zastosowanie chociażby podstawowych zasad bezpieczeństwa nie gwarantuje jednak, że tego rodzaju atak się nie uda.

W jaki sposób atakujący uzyskują dostęp do informacji

Istnieje wiele sposobów na zdobycie informacji krytycznych. Wszystko zależy od tego, ile komputer ma lat, a także czy jest na nim zainstalowany program zabezpieczający. Na przykład starsze maszyny, które nie obsługują opcji Bezpiecznego rozruchu, można uruchomić z dysków zewnętrznych, dlatego są podatne na opisywany atak. W nowoczesnych komputerach opcja Bezpiecznego rozruchu jest włączona domyślnie.

Tajemnice prywatne lub firmowe mogą udostępniać porty komunikacyjne, które obsługują  szybką wymianę danych lub bezpośrednią interakcję z pamięcią urządzenia. Na przykład Thunderbolt osiąga dużą prędkość transmisji danych poprzez bezpośredni dostęp do pamięci — co umożliwia realizację ataku złej pokojówki.

Wiosną ubiegłego roku ekspert w dziedzinie bezpieczeństwa komputerowego Björ­n Ruytenberg poinformował o zidentyfikowaniu sposobu, który pozwala zhakować każde urządzenie z systemem Widnows lub Linux, na którym włączony jest Thunderbolt, nawet zablokowane i połączone przez nieznane urządzenia, poprzez wyłączone porty zewnętrzne. Metoda Ruytenberga, nazwana Thunderspy, zakłada uzyskanie fizycznego dostępu do gadżetu i ponowne napisanie oprogramowania układowego sterownika.

Thunderspy wymaga od intruza przeprogramowania czipu Thunderbolta na swoją wersję oprogramowania układowego. Wyłącza ona ochronę wbudowaną, a atakujący zdobywa pełną kontrolę nad urządzeniem.

Teoretycznie polityka Ochrony dostępu do pamięci bezpośredniej jądra załatała tę lukę, ale nie każdy zastosował tę poprawkę (opcja ta jest niedostępna w wersjach systemu wcześniejszych niż Windows 10). Jednak Intel poinformował o rozwiązaniu tego problemu: ma nim być Thunderbolt 4.

Stary dobry USB również może stać się kanałem realizacji ataku. Do portu USB można włożyć miniaturowe urządzenie, które aktywuje się, gdy użytkownik włączy komputer — i przeprowadzi atak typu BadUSB.

Jeśli szukane informacje są szczególnie cenne, cyberprzestępcy mogą nawet podjąć się trudnego i kosztownego zadania kradzieży urządzenia i zastąpienia go podobnym, które już zawiera oprogramowanie szpiegowskie. Oczywiście oszustwo wyjdzie na jaw, ale najprawdopodobniej dopiero po tym, jak ofiara wprowadzi swoje hasła. Na szczęście, jak już wspomnieliśmy, jest to zarówno trudne, jak i kosztowne.

Jak zminimalizować ryzyko

Najłatwiejszy i najbardziej niezawodny sposób ochrony przed tzw. „atakami złej pokojówki” jest przechowywanie urządzenia tam, gdzie tylko Ty możesz mieć do niego dostęp. Nie pozostawiaj go na przykład w pokoju hotelowym. Jeśli pracownicy muszą zabrać w delegację z laptopy firmowe, zmniejsz ryzyko dzięki kilku prostym zasadom:

  • Zorganizuj laptopy tymczasowe, które nie będą miały dostępu do krytycznych systemów firmowych ani danych związanych z pracą, a po każdej podróży firmowej formatuj ich dysk twardy i zainstaluj ponownie system operacyjny.
  • Wymagaj od pracowników, aby wyłączali laptopy, gdy nie pracują i muszą je pozostawić bez nadzoru.
  • Szyfruj dysk twardy na każdym komputerze, który opuszcza siedzibę firmy.
  • Używaj rozwiązań zabezpieczających, które potrafią blokować podejrzany ruch wychodzący.
  • Upewnij się, że Twoje rozwiązanie zabezpieczające wykrywa ataki BadUSB (potrafi to na przykład Kaspersky Endpoint Security for Business).
  • Nie zwlekaj z aktualizacją wszystkich programów, zwłaszcza systemu operacyjnego.
  • Ogranicz dostęp bezpośredni do pamięci urządzenia poprzez porty FireWire, Thunderbolt, PCI i PCI Express na każdym urządzeniu, które to umożliwia.
Porady