Ethredix Ethredix
EN

Ztracený nebo nastražený? Našli jste USB? Nechte ho ležet — skryté nebezpečí USB dropping útoků

Najít flashku na lavičce nebo v obchodě vyvolává přirozený impuls — vrátit ji majiteli, rychle nakouknout, co na ní je, či si ji nechat. Bohužel právě tento instinkt útočníci často zneužívají. V tomto článku popisuji nejčastější techniky, skutečná rizika a jednoduchá pravidla, která vás ochrání.

Autor: Tomáš Doba čtení: ~5 minut
Ilustrace: nalezené USB na lavičce
⚠️
Jedno jednoduché pravidlo

Nalezli jste USB? Nezapojujte ho. Pokud opravdu chcete obsah ověřit, dělejte to pouze na izolovaném stroji bez přístupu k citlivým datům nebo k internetu.

Proč to funguje

Když něco najdeme, většina z nás chce pomoct nebo alespoň zjistit, komu to patří. Útočník to ví, a proto nechává „ztracené“ USB tam, kde ho najde co nejvíce lidí. Stačí jediný impuls — někdo zapojí flashku a škoda je hotová.

Hrozby se za léta posunuly: dříve to bylo především AutoRun a automatické spouštění programů, dnes útočníci používají i sofistikovanější techniky, které obejdou běžné ochrany.

Krátce o AutoRunu

AutoRun byl původně vyvinut v roce 1995 pro Windows 95 pro zjednodušení instalace softwaru z CD/DVD. S příchodem USB disků se tato funkce rozšířila i na ně. Od roku 2009 s aktualizací pro Windows XP a ve výchozím nastavení od Windows 7 je AutoRun pro USB média blokován. Pokud máte AutoRun povolený, teoreticky se může stát cokoli — od spuštění malwaru, šifrování vašich souborů ransomwarem, instalace backdooru pro vzdálený přístup, až po krádež citlivých dat. Dnes je tato funkce ve výchozím nastavení blokována, takže pokud jste AutoRun ručně nepovolili, jste proti tomuto typu útoku v bezpečí.

HID útoky — zařízení, která „píšou“ za vás

Některá falešná USB se navenek tváří jako obyčejná flashka, ale operační systém je identifikuje jako klávesnici. Hlavní riziko je, že takové zařízení může ihned zadávat příkazy — například otevírat terminál a spouštět stahování malwaru nebo měnit systémová nastavení.

Prakticky to znamená, že software na vašem počítači nemusí mít žádnou chybu — útočník jen „přepisuje“ příkazy jako člověk na klávesnici.

HID zařízení

Zdroj: m.media-amazon.com

Vypadá jako USB, ale chová se uvnitř jinak.

Tip: pokud po připojení zařízení začne „psát“ samo od sebe nebo bez varování žádá heslo, ihned ho odpojte.

USB Killer — fyzická destrukce a hardwarová ochrana

Existuje i jiná, méně známá hrozba: zařízení, které místo krádeže dat cílí na poškození hardwaru. Takzvaný USB Killer vyšle do portu vysoké napětí (až 240 V) a může tím zničit USB řadič nebo dokonce celou základní desku. Proti tomuto útoku pomůže jedině hardwarová ochrana — běžný antivir tady nepomůže.

Typy hardwarové ochrany

  • USB kondomy:
    Fungují na principu fyzického přerušení datových linek v USB kabelu. Uvnitř mají pouze propojené napájecí vodiče (+5V a GND), zatímco datové vodiče (D+ a D-) jsou úplně odstraněny. Zařízení se tak může pouze nabíjet, ale nemůže komunikovat s počítačem. Tím chrání před HID útoky a datovými útoky, ale NECHRÁNÍ před USB Killer útoky s vysokým napětím.
  • Opto-izolátory:
    Používají světelné diody a fototranzistory k přenosu dat bez elektrického spojení. Datový signál se převede na světlo, které projde přes izolační bariéru a na druhé straně se zpět převede na elektrický signál. Tím vzniká galvanické oddělení, které blokuje přenos vysokého napětí.
  • Pojistkové moduly:
    Obsahují rychlé pojistky nebo polyfuse, které při detekci nadproudu nebo přepětí okamžitě přeruší obvod. Některé pokročilejší verze mají také varistory nebo TVS diody, které absorbují přepěťové špičky a chrání tak citlivé komponenty.

Životnost a použitelnost

Kvalitní hardwarové ochrany vydrží roky běžného používání. Opto-izolátory mají technickou životnost kolem 100 000 hodin provozu, USB kondomy téměř neomezenou – neobsahují totiž aktivní součástky. Pojistkové moduly chrání, dokud se nepřepálí, poté je nutná výměna.

Přesto si řekněme narovinu – kdo z vás některé z těchto zařízení opravdu používá? I když existují různé formy obrany, většinu z nich lze v praxi obejít. Nejlepší ochranou proto zůstává opatrnost uživatele.

Další rizika

  • Ransomware nebo trojan, který se spustí po připojení.
  • Infekce firmwaru zařízení — trvalejší kompromis.
  • Získání citlivých dat, pokud testujete na stroji s přístupem k souborům.

Co dělat prakticky

Jak jsme zmínili na začátku, nejlepší a nejbezpečnější postup je USB disk vůbec neřešit a nechat ho tam, kde je. Pokud jste ho již sebrali a máte ho u sebe, nejbezpečnější je ho vyhodit do odpadu. V případě, že máte tu možnost, můžete USB odevzdat na IT oddělení ve vaší práci nebo ve škole — tam by měli vědět, jak se takovými zařízeními bezpečně zabývat.

Pokud se přesto rozhodnete podívat se na obsah USB na vlastní oči, připojujte jej výhradně do počítače, který není připojen k internetu, nemáte na něm žádné osobní údaje ani data, a je to počítač, jehož ztráta nebo zničení by pro vás nepředstavovalo problém.

Dostupná technická ochrana

  • USB „kondomy“: blokují datové linky a dovolí pouze nabíjení.
  • Opto-izolátory nebo specializované adaptéry: izolují signál a mohou zabránit vysokému napětí.
  • Pro firmy: Device Control a EDR nástroje k blokování neautorizovaných zařízení.

Krátké příklady z praxe

Stuxnet (2009)

Stuxnet byl jedním z prvních známých příkladů, kdy se USB stalo přímou cestou pro útok na izolovanou infrastrukturu. Malware byl nalezen v íránských průmyslových systémech a infikoval řídicí jednotky SCADA ve výrobních závodech. Útočníci využili infikované flash disky, které přenášeli mezi počítači pracovníci údržby – bez připojení k internetu. Stuxnet poté upravoval chod centrifug v jaderném zařízení Natanz a způsobil jejich fyzické poškození. Tento případ ukázal, že i „offline“ systémy nejsou bezpečné, pokud někdo přenáší data fyzicky.

Organizační incidenty

Ve firmách a institucích se opakovaně staly incidenty, kdy nalezená nebo ztracená flashka způsobila vážné problémy. Například v roce 2017 zaměstnanec londýnského letiště Heathrow našel USB disk s více než 2,5 GB citlivých bezpečnostních dat, včetně map kamerového systému a detailů o přístupu k terminálům. Podobně se ve zdravotnických zařízeních objevily případy, kdy připojení neznámého USB disku vedlo k šíření ransomwaru a výpadkům systémů. Tyto situace vedly k přijetí přísnějších interních směrnic – například úplnému zákazu používání osobních USB médií a nasazení softwaru pro kontrolu připojených zařízení.

Závěrem

USB dropping je jednoduchý, ale účinný způsob, jak zapojit lidskou zvědavost do bezpečnostního dění. Pokud zkombinujeme zdravý rozum s několika rozumnými technickými opatřeními, dokážeme riziko výrazně snížit. Nejvýkonnější ochranou však zůstává obezřetné chování každého z nás.

Slovník pojmů

USB dropping

Kybernetický útok, kdy útočník záměrně nechává nakonfigurovaná USB zařízení na veřejných místech, aby využil lidské zvědavosti a ochoty pomoci.

HID útoky

Technika, kdy se USB zařízení tváří jako lidské rozhraní (klávesnice/myš) a může okamžitě zadávat příkazy do počítače.

USB Killer

Speciálně upravené USB zařízení, které vyšle do portu vysoké napětí s cílem fyzicky zničit hardware.

USB kondomy

Adaptéry, které fyzicky blokují datové linky a umožňují pouze napájení, čímž zabraňují datovým útokům.

Opto-izolátory

Zařízení používající světlo k přenosu dat přes izolační bariéru, čímž vytváří galvanické oddělení.

Pojistkové moduly

Hardwarové komponenty obsahující pojistky nebo polyfuse, které chrání před přepětím a nadproudy.

AutoRun

Funkce Windows, která automaticky spouští programy z vyměnitelných médií. Od Windows 7 blokována pro USB.

Ransomware

Škodlivý software, který šifruje data oběti a požaduje výkupné za jejich obnovení.

Trojan

Škodlivý program, který se tváří jako legitimní software, ale ve skutečnosti plní skryté škodlivé funkce.

Firmware

Nízkourovňový software zabudovaný přímo do hardwaru zařízení.