W 2016 badacze z Uniwersytetu Illinois zostawili 297 nieoznaczonych pen drive’ów na terenie kampusu uniwersyteckiego, żeby przekonać się, co z tego wyniknie. 98% podrzuconych urządzeń zostało zabranych przez personel i studentów, z czego co najmniej połowę podłączono do komputerów.
Co więcej: przeglądano ich zawartość bez żadnych dodatkowych zabezpieczeń – tj. w taki sposób, że była ona w stanie po uruchomieniu połączyć się z serwerem i poinformować o swoim uruchomieniu – a więc równie dobrze możliwe były np. kradzież albo zaszyfrowanie zawartości komputera. Wyniki tego eksperymentu dobrze pokazują typową skuteczność takiego ataku.
Mimo to atak polegający na podrzuceniu spreparowanego nośnika jest dość trudny do przeprowadzenia – przy założeniu, że ma to być „prawdziwy” atak (gdzie realny cel działań nigdy nie wypłynie, a sprawca nigdy nie zostanie zidentyfikowany), a nie badanie naukowe, w którym większość kwestii związanych z tzw. OPSEC można po prostu zignorować.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.
Dlaczego jest to dużo trudniejsze, niż się wydaje?
Możliwe komplikacje i problemy związane z tym atakiem to przede wszystkim:
- brak możliwości aktualizacji wgranego oprogramowania już po jego podrzuceniu – dlatego też w przypadku wybrania tego sposobu, niezbędne staje się zastosowanie infekcji wieloetapowej, z użyciem tzw. droppera (czyli programu pośredniego, którego jedyną rolą jest ściągnięcie i uruchomienie kolejnego programu)
- koszt nośników (zwłaszcza jeśli nie mają to być same tanie pen drive’y lub płyty, ale np. całe „zagubione” nesesery z twardym dyskiem i innymi rzeczami należącymi do „menedżera” – co jeszcze bardziej zwiększa skuteczność, ale zarazem koszty)
- czasochłonność i koszty związane z preparowaniem nośników na większą skalę w bezpieczny sposób, tak aby uniknąć pozostawiania śladów biologicznych
- ryzyko pozostawienia śladów biologicznych na podrzucanym urządzeniu lub w jego okolicach (nie tylko odcisków palców, ale również np. pojedynczych włosów, resztek śliny czy innych śladów DNA – czy choćby odcisków butów)
- ryzyko pozostawienia na urządzeniu śladów cyfrowych identyfikujących komputer, na którym go przygotowywano
- ryzyko pozostawienia na samym komputerze śladów cyfrowych identyfikujących konkretny nośnik
- ryzyko zostania nagranym na jawną lub ukrytą kamerę monitoringu wizyjnego – nie tylko w trakcie samego podkładania, ale również przed i po, np. w drodze (koszty przeglądu i ręcznej korelacji nagrań z różnych monitoringów są na tyle niskie, że zdarza się, że są w ten sposób identyfikowani nawet sprawcy drobnych przestępstw, typu ucieczka ze stacji benzynowej bez płacenia – można więc założyć, że w przypadku ataku powodującego wielomilionowe straty, możliwości korelacji nagrań i innych poszlak okażą się jeszcze większe)
- ryzyko zostania zapamiętanym i rozpoznanym przez ochronę, kasjerów, szatniarzy itp.
- problem z anonimowym wejściem np. na wydarzenia zamknięte
Jakie ślady cyfrowe są zostawiane i jak temu skutecznie przeciwdziałać?
Ślady na komputerze
Już samo podłączenie do komputera dowolnego urządzenia USB zostawia po sobie szereg trudnych do usunięcia śladów – np. w systemie Windows wszystkie urządzenia USB (nie tylko klasy USB Storage, ale też wszystkie inne: kamerki video, myszki i klawiatury, telefony itd.) są zapamiętywane w rejestrze (m.in. w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR). Zapamiętywane są m.in.:
- identyfikatory sprzętowe VID i PID urządzenia
- producent i nazwa modelu
- numer seryjny
- identyfikator rozpoznanego systemu plików (prowadzący do innego miejsca w rejestrze)
- numer portu USB
- daty pierwszego i ostatniego podłączenia, oraz ostatniego odłączenia
Z kolei w systemach Linux, Mac OS i podobnych, informacje o podłączanych urządzeniach USB są zapisywane w tzw. syslogu (albo journalu systemd), czyli w systemowym mechanizmie logowania zdarzeń. Usunięcie takich logów jest już dużo łatwiejsze, ale nadal mogą pozostać kopie tych danych na powierzchni dysku, w kopiach zapasowych itp. Dodatkowo w systemie Ubuntu (i jego klonach), gdzie wykryte systemy plików są automatycznie montowane, może pozostać utworzony i nieusunięty katalog /media/etykieta (gdzie „etykieta” to albo label zamontowanej partycji, albo jej UUID, jeśli label jest pusty).
Ślady na nośniku
Wiele śladów zostawianych jest również na samym nośniku:
- w systemie Windows, jeśli na nośniku jest system plików NTFS i próbowano usuwać pliki z użyciem Kosza, tworzony jest katalog w stylu d:\$Recycle.Bin\S-1-5-21-123456789-123456789-123456789-1003\, gdzie ten długi ciąg cyfr jest unikalnym identyfikatorem użytkownika (SID) systemu Windows, generowanym podczas tworzenia użytkownika
- użytkownika lokalnego lub co gorsza domenowego – w tym ostatnim przypadku można taki SID skojarzyć z konkretnym użytkownikiem nawet nie posiadając komputera, do którego nośnik był podłączany
- systemy plików HFS+ i APFS już od momentu utworzenia posiadają bardzo dużo metadanych związanych z konkretnym komputerem i konkretną instalacją systemu Mac OS, na których zostały utworzone – zawsze, niezależnie od okoliczności
- płyty CD-R i DVD-R wypalane na nagrywarkach zawierają informacje o sprzęcie (głównie o samej nagrywarce i jej możliwościach) i konfiguracji systemu operacyjnego – zależne od konkretnego sterownika nagrywarki, generalnie jednak na podstawie informacji z nagranych płyt możliwe jest co najmniej zawężenie grona potencjalnych komputerów-autorów
Przeciwdziałanie: czy maszyna wirtualna wystarczy?
Najtańszym sposobem przeciwdziałania zostawianiu śladów jest użycie programu do wirtualizacji (np. VirtualBox), wpierającego opcję tzw. USB passthrough, czyli możliwość podłączania fizycznych urządzeń USB do maszyny wirtualnej, zamiast do systemu hosta. W takim wypadku ślady są oczywiście dalej pozostawiane, tyle że wskazują na maszynę wirtualną, której można się pozbyć, wymienić na inną, odtworzyć starszą wersję z kopii zapasowej itd.
Użycie maszyny wirtualnej niesie jednak za sobą ryzyka komplikacji, nad którymi możemy nie zapanować:
- przypadkowa awaria (lub np. omyłkowe wyłączenie) VirtualBoxa powoduje przepięcie wszystkich urządzeń USB skojarzonych z daną maszyną wirtualną do systemu hosta
- skojarzenie urządzenia z maszyną wirtualną odbywa się albo przez ręczne podanie identyfikatorów VID i PID, albo przez podłączenie urządzenia do komputera i wyklikanie go na liście rozpoznanych urządzeń – w przypadku podania błędnego VID/PID, urządzenie zostanie podłączone do systemu hosta, wyklikanie z listy również jest równoważne z tymczasowym przypisaniem do systemu hosta
Dlatego też znacznie bezpieczniejszym sposobem jest zakup osobnego fizycznego komputera, który będzie używany tylko do celu preparowania nośników.
Jak przeciwdziałać zostaniu zapamiętanym?
Odnośnie dwóch ostatnich punktów z powyższej listy komplikacji i problemów, przed właściwym atakiem warto wykonać rekonesans sposobu działania ochrony i innych zabezpieczeń. Przykładowo jeśli przygotowujesz atak na firmę, w której menedżerowie są w wieku (umownie) 50+, wówczas lepszym miejscem do podłożenia nośnika będzie teatr lub filharmonia, niż kino.
Oczywiście w miejscach tego typu ochrona sprawdza na wejściu bilety – jeśli jednak przyjrzysz się bliżej, zauważysz że ochrona zazwyczaj kończy pracę jakiś czas po rozpoczęciu seansu i pojawia się ponownie jakiś czas przed jego końcem (aby obsłużyć kolejnych gości). Natomiast w samym środku seansu najczęściej wejścia pozostają niechronione – nawet jeśli forma tego seansu przewiduje przerwy na toaletę/papierosa. Daje to okazję, aby w odpowiednim momencie przyjść z zewnątrz, wmieszać się w tłum wracający z papierosa, podłożyć coś w kilku miejscach (np. w toalecie prawie na pewno nie ma żadnych kamer), po czym wyjść na kolejnego papierosa.
Mimo tego warto zrobić wcześniejszy rekonesans – w dzisiejszych czasach kamery są coraz mniejsze i tańsze, a więc jest ich coraz więcej. Zaś dobrze wyszkolona ochrona potrafi wychwycić osoby rozglądające się w poszukiwaniu kamer, lub zachowujące się w inny nietypowy sposób (np. kręcące się nerwowo). Ważne więc, abyś w momencie realizacji ataku miał już przemyślane konkretne miejsca do podłożenia nośników, oraz umiał wpasować się w typowe zachowanie gości.
A jak bezpiecznie wykonać taki rekonesans?
- przede wszystkim wykonać go wcześniej – i nie dzień wcześniej, ale np. 2 miesiące wcześniej (z drugiej strony nie za długo, aby się nie okazało, że od czasu rekonesansu zdążyło się wiele zmienić) – patrz artykuł o planowaniu w perspektywie taktycznej
- przychodząc jako normalny gość, najlepiej z partnerką, a jeśli to możliwe, z małymi dziećmi – dają one swoim zachowaniem świetny pretekst do chodzenia w różne nietypowe miejsca, włącznie z dostępnymi tylko dla personelu
- w miarę możliwości płacąc za bilet gotówką w kasie – tak aby dostać bilet na okaziciela, nie zawierający nazwiska i nie wymagający pokazywania dokumentów (bilety kupowane w formie PDF do samodzielnego wydruku prawie zawsze wiążą się z weryfikacją tożsamości)
Wybrać próbę wejścia z zewnątrz podczas przerwy, czy po prostu kupić bilet?
Oba te podejścia wiążą się z innymi ryzykami. Jeśli już ktoś ustali, podczas którego spektaklu doszło do podrzucenia nośnika (albo chociaż, którego dnia), wówczas kolejnym działaniem będzie przyjrzenie się liście uczestników. Dlatego przede wszystkim nie powinieneś kupować biletu imiennego przez Internet.
Zdaj sobie też sprawę, że prawie na pewno kasa jest objęta monitoringiem wizualnym – na wypadek pospolitych przestępstw typu próba napadu, kradzieży itp. Dlatego kupując bilet, zostaniesz nagrany. Zwróć jednak uwagę na sposób sprzedaży biletów: jeśli seanse i miejsca są ewidencjonowane w komputerze, wówczas prawdopodobnie zapisywana jest też data i czas zakupu konkretnego biletu – a więc będzie można połączyć konkretny seans i miejsce z momentem zakupu biletu i wizerunkiem Twojej twarzy. W takich przypadkach lepszym pomysłem jest próba wejścia z zewnątrz podczas przerwy.
Natomiast w wielu teatrach i innych mniej komercyjnych instytucjach (kina studyjne itp.) nadal bilety sprzedawane są z jednego „bloczka”, a seanse i miejsca zaznaczane są ręcznie na kartkach. W takich przypadkach ryzykujesz jedynie bycie zapamiętanym przez sprzedającego – kluczowe jest więc, aby się specjalnie nie wyróżniać. I oczywiście płacić wyłącznie gotówką.
Korzystanie z pomocy innych osób
Dobrym pomysłem jest też wysłanie po zakup biletów partnerki – kobiety są dużo rzadziej kojarzone z jakąkolwiek „niewłaściwą” działalnością – w takim wypadku jednak dochodzi aspekt jej wtajemniczenia: czy chcesz, aby wiedziała, jaki jest realny cel zakupu tych biletów? Patrz zasada 11. Jeśli nie, pamiętaj o wymyśleniu dobrego powodu, dla którego ma ona pamiętać o zapłaceniu w kasie gotówką.
W przypadku korzystania z szatni (np. w teatrach) również lepiej jest skorzystać z pomocy partnerki, która odda dwie lub więcej kurtek na jeden „numerek” – robi tak większość typowych gości, dzięki czemu ryzyko bycia zapamiętanym przez obsługę szatni mocno maleje w porównaniu z sytuacją, gdy mężczyzna oddaje tylko swoją kurtkę.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.