USB: Flexibilní, ale rizikové

Odborníci na počítačovou bezpečnost v poslední době poukazují na často přehlíženou skrytou díru v moderních PC. ...


Odborníci na počítačovou bezpečnost v poslední době poukazují na často
přehlíženou skrytou díru v moderních PC. Jde o dobře známé a velmi rozšířené i
oblíbené rozhraní USB. S odpovídajícím know-how totiž může vetřelec touto
cestou obejít ochranné funkce operačního systému a získat kontrolu nad
počítačem.
Většina uživatelů se už naučila na první pohled nenápadné počítačové rozhraní
označované jako Universal Serial Bus (USB) ve své běžné pracovní i domácí praxi
denně s oblibou používat. Jeho prostřednictvím lze k počítači připojovat
bezpočet externích zařízení, jako jsou tiskárny, modemy, skenery, čtečky
čipových karet, synchronizační kolébky pro PDA atd., a to bez přehnaně velkých
nákladů.
USB dovoluje za běžného provozu takové zařízení odpojit a připojit jiné. V
minulosti byl uvedený proces v tomto směru obtížnější, a navíc bylo při startu
počítače předem pevně dáno, ke kterému rozhraní musí být připojena která
komponenta či periferie.
Avšak tato flexibilita skrývá i jedno nebezpečí: Zatímco mnohé podniky chrání
svoji IT infrastrukturu před nepovolenými přístupy nasazováním desktopových
počítačů bez disketových mechanik či vychytralými systémy zaheslování, malé USB
rozhraní zůstává často nepovšimnuto. Takové bezpečnostní riziko by ovšem nemělo
být přehlíženo zvláště v období, kdy jsou výrobci externích přídavných zařízení
uváděny na trh stále nové a nové hardwarové produkty v podobě zásuvných
polovodičových (flash) pamětí (označovaných různými názvy, obecně "USB stick"),
externích USB harddisků, CD-RW/DVD-RW jednotek, síťových přípojek i dalších
rozličných přístrojů.
Vzhledem k tomu, že v současné době bývá téměř v každém PC vestavěno hned
několik portů v podstatně rychlejší verzi USB 2.0, umožňuje rozhraní
zkopírování dat z disku během několika sekund.
Vzhledem k tomu docházejí odborníci k závěru, že pro provoz takových PC při
zachování přípustné míry zabezpečení dat je nezbytné použít dodatečné ochranné
prostředky. USB totiž vetřelcům nabízí hned několik možností zneužití.

Nebezpečný start
Ohrožení nastává už při startu počítače, neboť se objevuje stále více PC, která
je možné nastartovat nejen s operačním systémem na pevném disku, ale také se
systémem připojeným přes USB. Jestliže k tomu dojde, může získat nevítaný host
možnost čtení i zápisu na lokálním pevném disku, který je v rámci
alternativního operačního systému většinou bez nějakých zvláštních aktivit
připojen. Operační systém na USB médiu přitom ignoruje omezení přístupu k
lokálním datům, která jsou nastavena u primárního operačního systému. Vetřelec,
jenž se přihlásí tímto způsobem, tak může například zjistit osobní data
uživatele, k nimž běžně nemá přístupové oprávnění.
Díky flexibilitě USB je zlodějům dat pro jejich kopírování k dispozici bezpočet
zařízení: Počínaje různými typy kapesních USB pamětí s kapacitou od 16 MB po 1
GB přes CD/DVD vypalovačky sahá jejich paleta až k pevným diskům s úložným
prostorem pohybujícím se v řádu trojmístných hodnot. Patří mezi ně dokonce i
čtečky karet pro paměti digitálních fotoaparátů. Stejně tak je možné pro
nedovolené kopírování dat zneužít digitální fotoaparát, jenž disponuje
rozhraním USB pro připojení k PC.
Bezpečnostní specialisté varují kromě toho i před přístroji, které umožňují
vytvořit přes USB rozhraní síťové spojení. Ještě o něco bezelstnější může být
varianta, kdy je počítač zapojen přes Ethernet do běžné sítě pomocí USB
adaptéru. Dramatické následky má nepozorované nasazení USB adaptéru pro WLAN
(tj. bezdrátovou LAN). Takto mohou být přenášena nejen osobní data na jiné PC,
ale je rovněž možné z jiného počítače vstoupit do operačního systému a PC pak
na dálku ovládat.

Na úrovni BIOSu
Na obranu proti těmto rizikům je vhodné učinit různá opatření, přičemž účinná
ochrana by měla pokrývat už samotný bootovací proces. Díky neustále rostoucí
kapacitě USB pamětí dnes není problém na ně umístit ani komplexní operační
systémy, jako například Windows XP, nebo dokonce serverový operační systém, a
nastartovat s jejich pomocí jiný počítač.
Aby se tomu zamezilo, měli by správci IT věnovat velkou pozornost konfiguraci
BIOSu každého PC. Zde je totiž určeno, zda bude možné nabootovat operační
systém z USB zařízení. V této souvislosti je třeba si všimnout jedné
zvláštnosti: Malé USB paměti mohou napodobit téměř každé ukládací médium, jako
třeba disketu, pevný disk nebo CD-ROM. Proto by mělo být při nastavení BIOSu
respektováno, že jména zařízení jako usb-hdd, usb-cdrom, usb-fdd, usb-zip a
podobně budou označena jako nepřípustná pro nabootování. Jestliže nemůže být
spolehlivě zamezeno případnému bootování z externích USB zařízení, doporučují
odborníci šifrovat obsah lokálního pevného disku. Tímto způsobem bude alespoň
znemožněn nechráněný přístup na lokální harddisk prostřednictvím alternativního
operačního systému.

Pravidla použití
Dalším aspektem této problematiky je otázka, zda smí uživatel vůbec používat
paměťová média či periferie připojované přes USB. Přístup k USB portu je
obvykle určován na úrovni operačního systému. Pro efektivní kontrolu ukládacích
zařízení by měl systém disponovat mechanismy, které dovolují stanovit práva ke
čtení a zápisu jednotlivě pro každého uživatele. Kromě toho musí být s
externími paměťovými USB zařízeními zacházeno podle běžných pravidel ochrany
dat pro přenosná média. Je tedy třeba dodržovat stejná opatření, jako pro
někdejší mobilní nosiče dat (pásky, diskety atd.), a nezapomínat na šifrování
dat i bezpečné přechovávání médií.
Přes USB mohou být mimoto připojovány také různé typy síťových adaptérů. Aby se
zabránilo vytvoření nežádoucích komunikačních spojení, je třeba nakonfigurovat
operační systém tak, že bude hlídat a řídit připojování takových zařízení.
Síťový USB adaptér by mělo být možné připojit pouze tehdy, jestliže uživatel
disponuje odpovídajícími právy pro vytvoření spojení pomocí takového přístroje.
Dále se při použití USB adaptérů doporučuje sáhnout po běžných mechanismech pro
správu sítě, jako jsou například kontrolní seznamy MAC, nebo využít při
transportu citlivých dat VPN tunel.
Podle použitého operačního systému může být administrátor případně konfrontován
i s problémem, že softwarová platforma neposkytuje vůbec žádné nástroje ke
správě oprávnění týkajících se připojení USB zařízení.

Přístup ze třetí strany
Nouzovým řešením by v takové situaci bylo smazání odpovídajících záznamů v
systémové konfiguraci nebo odstranění příslušných ovladačů, čímž lze zabránit
přístupu k USB portu. To však nicméně nemusí být vhodné řešení, pokud například
jediné PC sdílí více uživatelů a jen jeden z nich je odkázán na nějaké USB
zařízení. V takových případech si lze pomoci jedině tak, že sáhnete po
produktech třetích stran, které umožní zavedení přístupových omezení ve formě
kontrolních přístupových seznamů ACL (Access Control List) také na hardwarové
úrovni. U operačních systémů, které USB zařízení zobrazují na souborový systém,
tak mohou správci systému regulovat přístupy na taková média na základě
oprávnění pro čtení i zápis do souborů a pomocí ACL specificky pro jednotlivé
uživatele.
K dispozici jsou i specializované nástroje, které zabraňují nedovolenému
exportu dat přes externí velkokapacitní USB paměti (příkladem může být
Safeguard Advanced Security PnP Management firmy Utimaco Software). S jejich
pomocí může administrátor také centrálně definovat, kteří uživatelé nebo
uživatelské skupiny smějí používat která zařízení, a registrovat povolená
zařízení prostřednictvím vzdáleného přístupu na pracoviště uživatele.
Experti spatřují obecně v používání flashových pamětí jako jsou kupříkladu
Memory Stick, SD Card nebo USB paměti i přes jejich nesporné výhody potenciální
bezpečnostní riziko. S pomocí takových médií je možné nejen přenášet citlivá
data ven z firmy, ale také propašovat škodlivý kód viry či trojské koně do
firemní sítě. Administrátoři musejí najít vhodný způsob obrany proti takovým
rizikům, jinak budou mít jen stěží možnost kontroly toku dat na přenosných
pamětech to vyplývá z loňského varování firmy Secureware, která je dodavatelem
bezpečnostních řešení.

Kvalitní politika
Louis Oley, šéf Securewave, označil jako subjekt zodpovědný za tuto
bezpečnostní mezeru společnost Microsoft. Ta totiž měla do Windows integrovat
mechanismy, s jejichž pomocí by bylo možné například kontrolovat, která data na
tato média mohou být přenesena a která ne. Graham Titterington, vedoucí
analytik společnosti Ovum, odhaduje, že nejvíce ohroženy jsou především malé
firmy. Především díky velkým paměťovým kapacitám je možné na malá média umístit
často i kompletní databázi zákazníků. Také společnost Securewave nabízí v
posledních verzích svého bezpečnostního řešení SecureExe nástroje, s nimiž je
možné zabránit kopírování dat na výměnná datová média. Titterington je nicméně
toho názoru, že se problém dá řešit také kontrolou bezpečnostních politik v
podniku. "Je možné regulovat přístup k jednotlivým souborům a to nemá nic
společného s USB portem." Není totiž příliš bezpečné pouze zabránit kopírování
a přitom umožnit uživatelům otevírat a následně i tisknout dokumenty, k nimž by
neměli mít přístup.

Výhody a potenciál USB paměti
I když kapesní USB paměti představují z hlediska ochrany dat určité riziko, při
běžné práci mohou být velmi praktické pro výměnu dat, případně třeba i pro
nouzovou aktivaci operačního systému. Ačkoliv jsou sotva větší než obyčejný
zapalovač, dovolují uživateli uložit až 1 GB dat, a ta pak vzít kamkoliv s
sebou. Přitom jsou spolehlivější a z hlediska materiálu stabilnější než
například CD-R média nebo diskety. Prakticky jedině neopatrná manipulace může
způsobit omezení jejich životnosti (nebezpečný je elektrostatický náboj), neboť
pro používanou flash paměť garantují výrobci, jako je například Intel, až 100
tisíc zápisových cyklů na každou paměťovou buňku.
Na USB pamětech je fascinující zejména jednoduchá obsluha. Obzvláště ve
spolupráci s novějšími operačními systémy, jako jsou Windows 2000 nebo XP nebo
i aktuální linuxová jádra, je možné je používat bez nutnosti instalace
dodatečných ovladačů. Přitom lze u USB pamětí provádět formátování i nahrávání
dat stejně jako u běžných datových nosičů. Jestliže počítač podporuje bootování
z USB, je možné na toto médium pro případ nutnosti umístit i operační systém.
Pro "odlehčenou" linuxovou distribuci by měla stačit paměť o velikosti 64 MB a
ty jsou dnes už často rozdávány i jako reklamní dárky. V případě větších
kapacit pamětí založených na starší verzi USB 1.1 může práci s nimi
znepříjemnit skutečnost, že tento standard dovoluje maximální přenosovou
rychlost okolo 12 Mb/s. Zde se tedy doporučuje použít USB 2.0, které dosahuje
rychlosti zápisu až kolem 480 Mb/s.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.