مقدمه افزایش استفاده از لوازم جانبی متنوع برای کامپیوترها (مانند درایوهای USB، کیبورد و ماوس، دانگل های وای فای، کابل های شارژ و هاب ها) راحتی و انعطاف پذیری زیادی به همراه داشته است. اما همین دستگاه های جانبی در صورت غیرمجاز یا دستکاری شده می توانند به منبعی برای حملات سایبری و نقض امنیت تبدیل شوند. بررسی نگرانی های امنیتی ناشی از لوازم جانبی غیرمجاز ضروری است تا سازمان ها و کاربران خانگی بتوانند ریسک ها را کاهش داده و حفاظت داده ها و زیرساخت ها را تقویت کنند.
انواع تهدیدات ناشی از لوازم جانبی غیرمجاز
- بدافزار از طریق درایوهای USB: درایوهای USB آلوده می توانند فایل های مخرب یا اسکریپت هایی را اجرا کنند که به طور خودکار سیستم را آلوده می کنند. قابلیت هایی مانند Autorun در گذشته این حملات را ساده تر کرده بود.
- حملات بدUSB (BadUSB): دستگاه های USB می توانند فریمور قابل برنامه ریزی داشته باشند؛ مهاجم با تغییر فریمور می تواند دستگاه را طوری جعل کند که به عنوان کیبورد یا ماوس عمل کرده و فرمان هایی را روی سیستم اجرا کند.
- کی لاگرهای سخت افزاری: سخت افزارهایی که بین کیبورد و کامپیوتر قرار می گیرند قادر به ثبت کلیدها هستند و می توانند اطلاعات حساس مانند گذرواژه ها را ضبط و بعداً استخراج کنند.
- دانگل ها و کارت های شبکه دستکاری شده: دانگل های وای فای یا کارت های شبکه که از مبدا نامطمئن تهیه شده اند ممکن است برای ایجاد تونل های مخفی، شنود ترافیک یا ورود پشتی به شبکه به کار روند.
- کابل های شارژ و هاب های آلوده: کابل ها و هاب های با چیپ ست های مخرب می توانند هنگام اتصال به پورت USB یا پورت های دیگر، بدافزار بارگذاری کنند یا به عنوان واسطی برای استخراج اطلاعات عمل نمایند.
- حملات زنجیره تامین و فریمور: بسیاری از لوازم جانبی حاوی فریمور هستند؛ تغییر یا آلوده سازی فریمور در کارخانه یا حین توزیع می تواند باعث نصب پایداری بدافزار شود که ضد تشخیص است.
پیامدهای بالقوه برای سازمان ها و کاربران
- نشت اطلاعات حساس: اسناد داخلی، گذرواژه ها و اطلاعات مشتریان می توانند از طریق کی لاگرها، درایوهای آلوده یا ابزارهای استخراج داده خارج شوند.
- نفوذ و دسترسی غیرمجاز: حملات بدUSB و دانگل های دستکاری شده می توانند دسترسی مستقیم به سیستم ها و شبکه ها فراهم کنند.
- آسیب دیدن اعتبار و هزینه های مالی: نقض داده ها می تواند به جریمه های قانونی، از دست رفتن مشتری و هزینه های بازیابی منجر شود.
- ورود پایداری و دشواری پاک سازی: بدافزارهای فریمور و حملات سخت افزاری ممکن است به راحتی با نرم افزار ضدویروس معمول حذف نگردند.
مکانیزم های مورد استفاده مهاجمان
- جعل دستگاه ها: دستگاه هایی که به ظاهر بی خطر هستند (مثل پاوربانک یا فلش USB) با اضافه شدن سخت افزار یا فریمور مخرب به ابزار حمله تبدیل می شوند.
- اجرای خودکار فرمان ها: استفاده از فریمور به عنوان کیبورد برای ارسال دستورهای کنسول و دانلود بدافزار.
- مخفی سازی در لایه پایین (فریمور): تبدیل بدافزار به بخشی از فریمور که تشخیص و پاک سازی آن دشوار است.
- استفاده از فناوری های بی سیم: دانگل ها و دستگاه های وای فای آلوده می توانند شبکه را شنود یا ترافیک را تغییر مسیر دهند.
راهبردهای کاهش ریسک
- سیاست ها و کنترل های تجهیزات جانبی: تدوین سیاست های واضح مبتنی بر ممنوعیت یا مدیریت تجهیزات جانبی غیرمجاز. اعمال لیست سفید (whitelist) برای دستگاه های مجاز.
- مدیریت پورت و دستگاه (Device Control): استفاده از راه حل های Endpoint Protection که توانایی مسدودسازی یا کنترل پورت های USB و دستگاه های متصل را دارند. تعیین سطح دسترسی بر اساس نوع دستگاه.
- غیرفعال سازی Autorun و اجرای محدود نرم افزاری: جلوگیری از اجرای خودکار فایل ها و اعمال محدودیت برای اجرای اسکریپت ها از حافظه های خارجی.
- رمزنگاری و مدیریت کلیدها: رمزنگاری داده های حساس و استفاده از توکن های سخت افزاری معتبر برای احراز هویت.
- بررسی فیزیکی و مدیریت زنجیره تأمین: خرید از فروشندگان معتبر، بررسی بسته بندی و لیبل های امنیتی، و اعمال فرآیندهای آزمایش سخت افزاری قبل از توزیع در محیط های حساس.
- به روزرسانی و محافظت از فریمور: دنبال کردن به روزرسانی های فریمور از تولیدکنندگان معتبر و اعمال آن ها به موقع.
- نظارت و ثبت لاگ ها: بررسی لاگ های اتصال USB، هشداردهی هنگام اتصال دستگاه های ناشناس و تحلیل رفتارهای مشکوک.
- آموزش کاربران: آموزش کارکنان برای عدم استفاده از تجهیزات ناشناس، شناسایی علائم آلوده بودن دستگاه ها و گزارش سریع موارد مشکوک.
- اقدامات فیزیکی: استفاده از قفل های پورت، محافظ های فیزیکی برای پورت ها و محدودسازی دسترسی فیزیکی به تجهیزات حساس.
اقدامات پاسخ به حادثه و بازیابی
- جداسازی سریع دستگاه های آلوده و گسترش یافته از شبکه به منظور جلوگیری از شیوع بیشتر.
- تحلیل فورنزیک روی دستگاه و فریمور برای شناسایی منشأ حمله و برداشتن گام های اصلاحی.
- بازگرداندن سیستم ها از نسخه های پشتیبان معتبر و بررسی صحت و امنیت پشتیبان ها.
- بازنگری سیاست ها و فرآیندها در صورت نیاز، و اطلاع رسانی به ذی نفعان مطابق قوانین و مقررات.
نتیجه گیری لوازم جانبی غیرمجاز می توانند تهدید قابل توجهی برای امنیت اطلاعات و عملیات سازمان ها باشند. ترکیب حملات نرم افزاری و سخت افزاری، به ویژه آن هایی که در لایه فریمور پنهان می شوند، شناسایی و مقابله را دشوار می سازد. اتخاذ رویکردی چندلایه شامل سیاست گذاری، فناوری های کنترل دستگاه، نظارت فعال، مدیریت زنجیره تأمین و آموزش کاربران ضروری است تا ریسک های مرتبط با تجهیزات جانبی کاهش یابد و محیط کاری ایمن تری فراهم گردد. رعایت اصول پایه امنیت سخت افزار و فرهنگ سازی در استفاده از لوازم جانبی، سرمایه گذاری کم هزینه ای است که می تواند از خسارات بزرگ جلوگیری کند.