Hlavní navigace

USB firewall vás ochrání před škodlivým zařízením

9. 3. 2017
Doba čtení: 3 minuty

Sdílet

Pokud to myslíte s bezpečností opravdu vážně, měli byste zvážit stavbu nebo nákup USB firewallu. Malé zařízení pracuje mezi počítačem a elektronikou, kterou chcete připojit do USB.

Váš počítač za normálních okolností přijme každé zařízení, které připojíte do USB. V mnoha případech je to v pořádku, protože uživatel chce prostě zapojit a používat. Čím dál častěji se ale hovoří o nových způsobech útoku s využitím hardware. Zatímco proti softwarovým útokům se lze bránit vhodným nastavením systému, nasazením bezpečnostních modulů (LSM) nebo třeba antivirem (na některých platformách), proti zlému hardware se brání jen těžko.

Upravený hardware může zaútočit na chybu v ovladačích nebo se může vydávat za jiné zařízení, než jakým ve skutečnosti je. Nic mu pak nebrání v systému sbírat data, nainstalovat do něj další aplikace nebo se třeba vydávat za síťovou kartu a přesměrovat přes sebe veškerý provoz. Dříve se k podobným účelům používala upravená zařízení s přidanou elektronikou, dnes stačí upravit firmware ve flash disku a vytvořit z něj útočné zařízení.

Vypadá to jako pevný disk, ale uvnitř je flash disk a malý počítač se zlým plánem

Problém je, že takové chování nedokáže zachytit žádná aplikace v systému. Příkazy ze zařízení jsou odchytávány a prováděny přímo ovladačem a operačním systémem a software uvnitř nemá o škodlivé činnosti zvenčí ponětí, pokud neimplementujete například USBGuard.

Vývojář Robert Fisk přišel se zajímavým a univerzálním řešením: USB firewall s názvem USG (G jako Good, místo B jako Bad). Jde o hardware, který připojíte mezi počítač a potenciálně nebezpečné zařízení. Tím dojde k izolaci obou stran, přičemž vložený firewall propouští jen bezpečné příkazy a data.

Schéma použití USG

Uvnitř zařízení jsou dva procesory STM32F4, které jsou zvenčí připojené k USB a mezi sebou jsou propojené pomocí vysokorychlostní sběrnice SPI. První verze USG používá 12Mbits hardware, pokud přes něj připojíte flash disk, budete s ním komunikovat rychlostí okolo 1MB/s. Podle autora je možné vyrobit i vysokorychlostní hardware, ale jeho vývoj bude stát nemalé peníze.

Procesor blíže k počítači pak přijímá jen velmi omezenou sadu USB příkazů, takže případný útok nebude úspěšný. Chráněny jsou obě strany, použitý flash disk nedokáže zaútočit na počítač a stejně tak cizí počítač nedokáže upravit firmware ve vašem flash disku.

Skutečný vzhled USG

USG zvyšuje bezpečnost také tím, že dovoluje připojit vždy jen jedno zařízení. To sice znemožňuje používat nejrůznější USB huby nebo dockovací stanice, ale brání to v použití podvodných zařízení, která v sobě mohou ukrývat více funkcí – třeba klávesnici s integrovaným flash diskem.

Zároveň není možné, aby zařízení za běhu změnilo své označení. To je způsob, jakým se může upravený flash disk na chvíli prohlásit za klávesnici, provést sadu útočných příkazů a zase se vrátit ke své původní funkci. USG takovým metamorfózám brání a připojené zařízení tak nemůže změnit svou funkci, dokud není odpojeno a znovu připojeno napájení.

Kvůli omezené sadě příkazů je také omezený seznam zařízení, která budou za USG fungovat. V tuto chvíli autor uvádí flash disky (mass storage), klávesnice a myši. Další verze firmware by pak mohly přidávat další typy zařízení, pokud to bude potřeba.

Samozřejmě i legitimně vypadající zařízení může provádět nebezpečné akce, proto je možné pro konkrétní přístroje přidávat pravidla omezující jejich činnost. Například klávesnice by neměla být schopná posílat znaky o mnoho rychleji, než je schopen člověk psát. Autor na těchto pokročilých pravidlech zatím pracuje.

UX DAy - tip 2

USB firewall zabalený a připravený

Pokud vás toto zařízení zaujalo, pak vězte, že jde o otevřený hardware s otevřeným firmwarem. Podrobnosti naleznete na GitHubu, kde autor nabízí také možnost objednání USG za přibližně 60 dolarů, tedy asi 1500 Kč.

Zdroje: Gizmodo, GitHub. Za tip děkuji Věroši Kaplanovi.

Byl pro vás článek přínosný?

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.