روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ «حمله‌ی خدمتکار شیطانی[1]» تقریباً می‌توان گفت ابتدایی‌ترین نوع حمله است و البته یکی از ناخوشایندترین‌ها! خدمتکار شیطانی در حقیقت سعی دارد اطلاعات محرمان را سرقت کرده، جاسوس‌افزاری نصب نموده یا به شبکه سازمانی دسترسی ریموت پیدا کند. در ادامه راهکارهایی برای جلوگیری از «حمله‌ی خدمتکار شیطانی» خدمتتان ارائه داده‌ایم. با ما همراه بمانید.

نمونه کلاسیک

دسامبر سال 2007، هیئتی از وزارت بازرگانی دپارتمان آمریکا برای صحبت‌هایی پیرامون استراتژی ضد توطئه به پکن سفر کرد. با این حال لپ‌تاپ دستیار بازرگانی در راه بازگشت به آمریکا حاوی جاسوس‌افزاری شد که نصبش به دسترسی فیزیکی به کامپیوتر نیاز داشت. صاحب لپ‌تاپ اینطور ادعا می‌کرد که لپ‌تاپش تمام مدت و در طول همه‌ی نشست‌ها همراهش بود و موقع صرف شام نیز آن را در جایی امن –اتاق هتل- نگه می‌داشته. به لحاظ تئوریک، یک حرفه‌ای می‌تواند ظرف 3 تا 4 دقیقه دستگاهی را دستکاری کند؛ اما این مهم زمانی میسر می‌شود که کامپیوتر بی مراقبت و بدون هیچ قفلی رها می‌شود (حتی وقت‌هایی که لپ‌تاپ با پی‌سی با پسورد محافظت نمی‌شود). اما حتی اگر اقدامات امنیتی اولیه هم لحاظ شود، باز هم حمله خدمتکار شیطانی شانسی برای موفقیت دارد.

چطور مهاجمین به اطلاعات دسترسی پیدا می‌کنند؟

برای دریافت اطلاعات مهم راه‌های مختلفی وجود دارد. این روش‌ها هر یک به عمر کامپیوتر و نرم‌افزار امنیتی که رویش نصب است بستگی دارد. بعنوان مثال، دستگاه‌های قدیمی‌تر را که از Secure Boot پشتیبانی نمی‌کنند می‌توان از درایوهای خارجی نیز بوت کرد و از این رو آن‌ها در برابر حملات خدمتکار شیطانی بی‌دفاعند. پی‌سی‌های مدرن اما به طور پیش‌فرض به Secure Boot مجهزند. پورت‌های ارتباطی که تبادل سریع داده یا تعامل مستقیم با مموری دستگاه‌ را پشتیبانی می‌کنند می‌توانند حکم سیفون‌هایی را داشته باشند که کارشان تخلیه رازهای شخصی یا سازمانی است. برای مثال Thunderbolt از طریق دسترسی مستقیم به مموری –که دری است برای آغاز حملات خدمتکار شیطانی- به انتقال بسیار سریع داده می‌رسد. بهار گذشته، بیورن رویتنبرگ، متخصص امنیتی روشی را که برای هک هر دستگاه لینوکسی یا ویندوزی (فعال‌شده توسط Thunderbolt) پیدا کرده بود به اشتراک گذاشت. متود رویتنبرگ که نامش Thunderspy است دسترسی فیزیکی به گجت را فرض می‌کند و شامل بازنویسی سفت‌افزار کنترلر می‌شود.

Thunderspy مستلزم این است که مهاجم تراشه Thunderbolt را با نسخه‌ی سفت‌افزار خود برنامه‌نویسی مجدد کند. این سفت‌افزار جدید محافظت درون‌سازه‌ای را غیرفعال کرده و مهاجم سپس نظارت کامل بر دستگاه خواهد داشت. به طوری تئوری، خط‌مشی Kernel Direct Memory Access Protection این آسیب‌پذیری را پچ می‌کند اما هر کسی هم از آن استفاده نمی‌کند (و اصلاً آن‌هایی که نسخه‌های ویندوزی قبل از 10 دارند توان انجام این کار را ندارند). با این حال، شرکت اینتل راهکاری را برای این مشکل معرفی کرد: Thunderbolt 4. یو‌اس‌بیِ قدیمی هم می‌تواند حکم یک کانال حمله را داشته باشد. دستگاهی مینیاتوری –درج‌شده در پورت یو‌اس‌بی- به محض اینکه کاربر کامپیوتر را روشن می‌کند و حمله‌ی BadUSB اجرا می‌شود فعال می‌گردد. اگر اطلاعاتی که دنبالش هستند ارزش خاصی داشته باشد، مجرمان سایبری حتی ممکن است تلاش کنند دستگاه را دزدیده –که کاریست بس دشوار و هزینه‌بردار- و یکی شبیه آن را –که در خود جاسوس‌فزار دارد- جایش بگذارند. صدالبته که این عمل جعل به زودی برملا خواهد شد اما به احتمال قوی نه تا وقتی که قربانی پسورد خود را وارد کند. خوشبختانه، همانطور که گفتیم این اقدام هم هزینه بالایی را می‌طلبد و هم بسیار سخت است.

راهکارهای امنیتی

ساده‌ترین و قابل‌اطمینان‌ترین روش برای جلوگیری در برابر حملات خدمتکار شیطانی این است که دستگاه خود را در جایی نگه دارید که فقط خودتان بتوانید بدان دسترسی داشته باشید. برای مثال نگه داشتن لپ‌تاپ در اتاق هتل توصیه نمی‌شود. اگر کارمندان شما مجبورند سفر کاری داشته باشند و در این سفرها لپ تاپ کاری خود را هم می‌برند برای کاهش میزان خطرات موارد زیر را توصیه می‌کنیم:

•         از لپ‌تاپ‌های موقتی که به سیستم‌های مهم سازمانی یا داده‌ها کاری دسترسی ندارند استفاده کنید و بعد، هارد درایو را فرمت کرده بعد از هر سفر سیستم‌عامل را از نو نصب نمایید.
•         کارمندان را به خاموش کردن لپ‌تاپ‌های کاری خود ملزم کنید؛ لپ‌تاپ‌هایی که نباید حتی برای چند ثانیه هم همینطور به امان خدا رهایشان کرد.
•         هارد درایوهای هر کامپیوتر را که از ساختمان اداره خارج می‌شود رمزگذاری کنید.
•         از راهکارهای امنیتی که ترافیک خروجی مشکوک را مسدود می‌کنند استفاده نمایید.
•         مطمئن شوید راهکار امنیتی شما حملات BadUSB را شناسایی می‌کند (Kaspersky Endpoint Security for Business این کار را انجام می‌دهد).
•         تمامی نرم‌افزارها خصوصاً سیستم‌عامل را مرتباً آپدیت کنید.
•         دسترسی مستقیم به مموری دستگاه از طریق پورت‌های FireWire، Thunderbolt، PCI و PCI Express را روی هر دستگاهی که این اجازه را می‌دهد محدود کنید.

[1] evil-maid attac

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.