Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

Yritysmaailman merkittävimpiin päivittäisten kyberuhkien joukkoon lukeutuvien USB-tikkujen vaarat ovat moninaiset. Nämä helppokäyttöiset ja pienikokoiset tallennusvälineet ovat jo ainakin 15 vuoden ajan olleet varkaille ja muille pahantahtoisille tahoille yksinkertainen keino levittää viruksia ja haittaohjelmia sekä ohittaa turvallisten ja turvattomien verkkojen väliset suojaukset.

USB-muistia ulkoisesti muistuttava aparaatti saattaakin olla valeasussa oleva näppäimistö, joka tietokoneeseen kytkettynä alkaa välittömästi suorittamaan pahantahtoisia komentosarjoja. Verkkoadapteriksi esittäytyvä tikku voi muokata koneen nimipalveluasetuksia ja näin mahdollistaa verkkoliikenteen seuraamisen ja manipuloinnin. Onpa sitä askarreltu myös muistitikun kokoinen laite, joka syöttää liitinporttiin negatiivisen jännitepiikin ja aiheuttaa tietokoneelle fyysistä vahinkoa.

Uhka on tiedostettu

Valveutuneet käyttäjät tietävät ja tuntevat näiden laitteiden riskit ja usein tuntemattomat sekä käytöstä poistetut tikut onkin ohjeistettu toimitettavaksi yrityksen IT-osastolle tarkempaa analyysiä ja turvallista käytöstä poistoa varten. Vaan millaisin keinoin asiansa osaava IT voi näitä ”pakollisia pahoja” sitten tutkia? Vastaus ongelmaan on USB-sanitaattori.

CIRCLean

CIRCLean on itsenäinen Raspberry PI -tietokoneelle rakennettu avoimen lähdekoodin ohjelma, joka siirtää tiedostot tuntemattomilta USB-tikuilta luotetuille tikuille. Tiedostoihin lisätään .DANGEROUS -pääte, mikäli niissä todetaan jotain epäilyttävää. Suoritetut testit moitteettomasti läpäisevät tiedostot kopioidaan sellaisenaan luotetulle tikulle. CIRCLean ei tarvitse verkkoyhteyttä toimiakseen eikä näyttökään ole välttämätön. CIRCLean:ssa ei ole käytönaikaisia asetuksia, joita käyttäjä voisi muuttaa eikä järjestelmään voi kirjautua näppäimistöllä.

Saatavana on valmis asennusimage, jonka voi esim. dd:lla tai vastaavalla työkalulla siirtää suoraan muistikortille tai vaihtoehtoisesti CIRCLeanin voi koota kasaan Github:sta löytyvistä lähdekoodeista.

Sanitaatioprosessi

  • luotettu muistitikku laitetaan kuvassa oikealla ylhäällä olevaan porttiin ja tuntematon tikku sen alapuolella olevaan portttin
  • kuvan malli on 4-porttinen Raspberry PI 3 B+ ja CIRCLeanin kotisivuilla olevissa kuvissa on 2-porttinen malli – oikeat portit selviävät kokeilemalla
  • tämän jälkeen laitteeseen kytketään virta, jonka jälkeen sanitaatio tapahtuu ilman käyttäjän interaktiota
  • Raspberry PI:een voi myös kytkeä kuulokkeet tai kaiuttimen, jolloin sanitaatioprosessin aikana voi kuunnella suloisia MIDI-sointuja
  • halutessaan ulkoiselta näytöltä voi seurata testien edistymistä
  • kun musiikki lakkaa soimasta ja/tai laitteen ledit vilkkumasta, on sanitaatio suoritettu ja sisällön tutkiminen luotetulta tikulta voidaan aloittaa

Esimerkkilistaus CIRCLean:n tuottamista tiedostoista.

logs-kansiosta löytyvästä lokista löytyy yksityiskohtaista tietoa suoritetuista testeistä ja niiden tuloksista.

Käytön helppoudesta ja riskeistä

USB-sanitaatio pelastaa tilanteissa, joissa halutaan selvittää tuntemattomien muistitikkujen sisältö. CIRCLean suoriutuu tehtävästään muutamissa minuuteissa, mikäli analysoitavia tiedostoja on muutama ja sisältö esimerkiksi tunnettuja toimistoformaatteja. Tämän vuoksi se sopii käytettäväksi myös asiakaspalvelutilanteissa.

Pahimmassa tapauksessa vieras USB-laite rikkoo Raspberry Pi:n, joka ei ole rahallisesti kovinkaan merkittävä asia verrattuna esimerkiksi kannettavan tietokoneen hajoamiseen. Yrityksen työasemat ja muut verkkoon kytketyt laitteet säästyvät pahimmassakin tapauksessa vahingoilta.

https://www.circl.lu/projects/CIRCLean/

Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.