Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


31.12.2020

Cykl webinarów

weinnovators.club
30.12.2020

Integracja z Teams

Veeam Backup
30.12.2020

Namierzanie zagrożeń

Flowmon Networks i Fortinet
30.12.2020

Wsparcie dla przedsiębiorstw

VMware Cloud on AWS
29.12.2020

Nowe NAS-y Thunderbolt 3

QNAP QuTS TVS-h1288X i TVS-h1688X
29.12.2020

Modele kompaktowe

VPL-PHZ60 i VPL-PHZ50
28.12.2020

Dedykowane przemysłowi

Seria TJ
28.12.2020

Nowa generacja

Router QHora-301W

Kontrola i zabezpieczenie zewnętrznych nośników

Data publikacji: 29-10-2018 Autor: Grzegorz Adamowicz

W popularnym serialu o hakerach, „Mr. Robot”, w jednym z epizodów bohaterowie rozrzucają przenośne pamięci pendrive pod więzieniem, a ich celem jest włamanie się do wewnętrznej sieci zakładu karnego i uwolnienie pewnego więźnia. Jeden z oficerów znajduje spreparowany nośnik danych i wkłada go do portu USB...


USB to najmniej zabezpieczony interfejs w naszych komputerach. Zwykły napęd może udawać kartę sieciową, klawiaturę, myszkę i każde inne urządzenie, które podłączamy codziennie do swoich komputerów przy użyciu tego portu. Istnieje co najmniej kilka skutecznych sposobów wykorzystania tej słabości systemów. Najbardziej brutalną metodą jest użycie tzw. USB Killera, który tworzy przepięcie w komputerze i uszkadza urządzenie.

Na stronie blackhat.com można m.in. przeczytać o eksperymencie, który przeprowadzono w 2016 r. na terenie USA (obszerny dokument PDF z opisem można znaleźć na tinyurl.com/USBdropp). Podobnie jak w filmowej historii rozrzucono w różnych lokalizacjach blisko 300 pamięci pendrive, z czego 290 (98%) zostało podniesionych, a 135 z nich (45%) podłączono do komputerów, które były podpięte do internetu. W 135 komputerach badający mieli możliwość zainstalowania programu, który byłby w stanie monitorować poczynania użytkowników lub zaszyfrować dane zapisane na dyskach i zażądać okupu. Czy jesteśmy więc skazani na łaskę osób, które mogą wykorzystać słabości USB? W jaki sposób się chronić lub unikać tego typu zagrożeń?

> SZYFROWANIE NAPĘDÓW

Działania zabezpieczające należy zacząć od zaszyfrowania wszystkich używanych w firmie dysków USB. Można to zrobić, np. używając aplikacji BitLocker lub Vera­Crypt. Oba narzędzia pozwalają na szyfrowanie zasobów bezpiecznym 256-bitowym algorytmem AES, a VeraCrypt umożliwia ponadto użycie kilku algorytmów kaskadowo, co dodatkowo podwyższa bezpieczeństwo przechowywania danych na chronionym nośniku.

Inną opcją jest zakupienie nośników z wbudowanym szyfrowaniem sprzętowym. Na rynku dostępne są nawet modele z fizyczną klawiaturą numeryczną lub czytnikiem linii papilarnych. O ile nośniki szyfrowane kodem wprowadzonym przez użytkownika mogą być używane przez wiele osób, o tyle pamięci z czytnikiem linii papilarnych mogą być odblokowane tylko przez jedną osobę.


Na tym etapie powstaje problem z dystrybucją i bezpiecznym przechowywaniem klucza szyfrującego wykorzystywane dyski przenośne. Jeśli nośnik ma być używany przez jedną osobę, nie będzie komplikacji. Z trudniejszą sytuacją mamy do czynienia, gdy z tego samego nośnika chce korzystać wielu użytkowników, np. w dwóch działach, które nie powinny mieć bezpośredniego kontaktu między sobą, czy to sieciowego, czy przez internet. To nietypowa sytuacja, która może się pojawić np. w firmach, które zajmują się analizą szkodliwego oprogramowania, lub organizacjach rządowych wysokiego bezpieczeństwa. W większości firm problem można rozwiązać przy użyciu współdzielonego dysku w sieci lokalnej lub któregoś z serwisów w modelu SaaS typu Google Drive lub Dropbox.

Problem z dystrybucją kluczy lub haseł używanych do szyfrowania dysków da się też obejść, rezygnując z szyfrowania całego dysku na rzecz szyfrowania plików. Dobrze znane programy typu Pretty Good Privacy (PGP) i GNU Privacy Guard (GPG) można z powodzeniem wykorzystać do zabezpieczania plików, używając wielu kluczy publicznych. To z kolei pozwala wielu użytkownikom na dostęp do zawartości w ten sposób zaszyfrowanych plików. Należy również pamiętać o szyfrowaniu nazw plików – jawna nazwa pliku i jego rozszerzenia obniża poziom zabezpieczeń.

Używanie PGP lub GPG nie jest jednak zbyt wygodne. Przykładowo aby zaszyfrować jeden plik przy użyciu GPG i później go odszyfrować, należy w terminalu zastosować poniższe komendy:

 

  • tworzenie pliku do zaszyfrowania:


$ echo "To jest testowy tekst" > test.txt

 

  • szyfrowanie pliku dwoma kluczami publicznymi:


$ gpg --output test.txt.gpg --encrypt --recipient \
grzegorz@mojadomena.to.pl --recipient piotrek@mojadomena.to.pl test.txt
gpg: 5FC822BF6521FF17: There is no assurance this key belongs to the named user
sub rsa4096/5FE822BF6521FF17 2018-08-11 Piotrek <piotrek@mojadomena.to.pl>
Primary key fingerprint: 7D2E AE1C F37B 13E2 069D 6956 105B D0E7 3949 9BDB
Subkey fingerprint: 424F 5068 A5DA D089 BD5A B891 5FC8 22BF 6521 FF17
It is NOT certain that the key belongs to the person named
in the user ID. If you *really* know what you are doing,
you may answer the next question with yes.
Use this key anyway? (y/N) y

[...]

Doświadczony inżynier systemów. Specjalizuje się w automatyzacji procesów i monitoringu aplikacji rozproszonych. Propagator ruchu open source. Organizator wydarzeń związanych z IT. Freelancer. W wolnych chwilach twórca fantastyki i fantastyki naukowej.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"