Z pohledu koncového uživatele je USB disk velmi užitečné zařízení. Pro IT profesionála může být USB naopak noční můrou. Uživatelé na něj mohou nejen zkopírovat citlivá data, která se následně mohou velmi jednoduše ztratit a bez šifrování či hesla jsou zcela mimo kontrolu. Prostřednictvím USB paměti lze šířit i škodlivé kódy či viry. Rizika spojená s USB disky stoupla zejména s novým fenoménem přenosných aplikací, což jsou programy spustitelné přímo z USB disku. Ty mohou obsahovat zranitelná místa, a malware tak může napadnout pracovní stanici i další místa v podnikové síti. Mimo jiné se prostřednictvím USB disků šíří i aktuální destruktivní červ Win32/Zimuse.

Přenosné aplikace na USB pamětech

Přenosné aplikace umožňují nové využití USB disků. Kromě přenosu dat tak mohou uživatelé přenášet a spouštět i své aplikace prakticky kdekoliv, aniž by bylo potřeba je instalovat. Může se jednat například o kancelářský software, grafické programy, programy pro zabezpečení koncových bodů, šifrování, vzdálený přístup k firemní bráně nebo virtuální privátní síti, virtuální pracovní plochy a samozřejmě hry. Díky USB disku lze na koncových stanicích provozovat i netypické firemní operační systémy, jako například Linux.

Architektura přenosných aplikací

Operační systém Microsoft Windows přenosné aplikace přímo nepodporuje. Standardní aplikace pro Windows jsou úzce svázány s konkrétním počítačem, jelikož značně využívají jeho registr a často ukládají průběžné informace na pevný disk. Navíc mohou Windows k instalaci softwarových aplikací vyžadovat oprávnění administrátora. Přenosné aplikace tato omezení obcházejí několika způsoby:

Alternativní konfigurace a ukládání

Přenosné aplikace jsou schopné místo do registru Windows uložit všechna nastavení do souboru přímo na USB zařízení. Tyto aplikace však vyžadují významnou úpravu kódu. Kromě souboru aplikace je potřeba zkopírovat na USB disk i potřebné komponenty, jako jsou knihovny, COM a ActiveX.

Aplikační virtualizace

Tento postup funguje beze změnykódu aplikace pomocí aplikační vrstvy, která přesměruje volání do registru a systému souborů a zapisuje všechny změny na USB disk. Další komponenty aplikace jsou zahrnuty v aplikační vrstvě, a vše tak obchází obvyklé zápisy do registru a na disk. Přenosné aplikace proto nepotřebují povolení k instalaci a správu.

Rizika zneužití přenosných aplikací

Používání přenosných aplikací z USB zařízení otevírá dveře k mnoha útokům, mezi které patří:

Pod Slurping

Nejjednodušší zneužití USB zařízení pro únik citlivých dat. Pod slurping provede automatické neoprávněné kopírování chráněných nebo citlivých dat na USB disk.

Switchblade

Útok směřující ke krádeži citlivých systémových informací z Windows, jako jsou například hashovaná systémová hesla nebo hesla uložená v Internet Exploreru a Firefoxu. Program spuštěný při připojení USB disku zajistí udělení oprávnění administrátora bez zásahu do systému a bez síťového provozu.

Trojský kůň

Neautorizovaný software, který sám sebe nainstaluje z USB disku na koncové zařízení. Následně může otevřít „zadní vrátka“, aby měl hacker přístup k pracovní stanici a ke zranitelným místům v podnikové síti.

Bootovací USB

Operační systém na USB s administrátorskými nástroji je účinný způsob, jak obejít instalovaný bezpečnostní software na koncovém PC. Bootovací USB disk může být vybaven nástroji NTFS, programy pro reset hesla či jakýmkoliv jiným softwarem. Pokud je vše správně nastavené, stačí vložit disk, zapnout počítač a začít kopírovat data.

Jak zajistit bezpečnost pro USB

Bezpečnostní profesionálové mohou provést následující typy opatření pro zvýšení bezpečnosti práce s USB zařízeními.

Administrace USB prostředí

K ochraně před škodlivými přenosnými aplikacemi může pomoci několik kroků. Většina z nich je užitečná pro virtuální operační systém a aplikace nasazené danou organizací, ale jen malou měrou pomohou pro USB disky s aplikacemi od jiných společností nebo od neautorizovaných osob:

• Virtuální operační systém na USB – aplikace a operační systémy na Live USB musí být aktualizovány a záplatovány stejně jako na jakémkoli jiném operačním systému. Zapněte automatické aktualizace s Microsoft Group Policy, použijte patch management software, jako je Microsoft SMS, a pravidelně jej skenujte antivirovým a anti-spywarovým programem s posledními signaturami.
• Virtualizace aplikací třetích stran – ujistěte se, že aplikace jsou konfigurovány tak, aby neprováděli změny na koncové stanici. Například u VMwaru je třeba nastavit virtualizaci do zabezpečeného prostředí a zakázat čtení a zápis do souborového systému hostitelské stanice. Stejný postup lze použít i pro MojoPac, i když je v současnosti možné, aby si uživatel nastavil duplikování souborů na hostitelský disk.
• Skript pro aktualizace – vytvořte automatický aktualizační proces spouštěný skriptem, který na USB zařízení nakopíruje aktualizované verze přenosných aplikací, jako jsou například na PortableApps.com.

Správa portů

Kontrola portů umožňuje administrátorovi nastavit různá přístupová práva k jednotlivým USB portům na pracovních stanicích. Praktické nasazení vyžaduje centralizované a automaticky prováděné kontroly portů všech pracovních stanic v podniku. Kontrola portů může být velmi specifická a lze povolit pouze USB disk dle identifikace dodavatele (VID, vendor identification) nebo dle produktu (PID, product identification), pouze ke čtení, ke čtení s elektronickým podpisem, plný přístup, pouze šifrovaný přístup či šifrovaný přístup s možností off-line přístupu.

Správa aplikací

Správa aplikací umožňuje administrátorům kontrolu nad tím, jaké aplikace se mohou spouštět přes USB port. Tato kontrola se vztahuje i na přenosné aplikace spuštěné z virtualizovaných prostředí na USB disku. Nemá však vliv na Live USB, které spouští jiný operační systém, a obchází tak OS na pracovní stanici. Stejně jako u kontroly portů vyžaduje praktické nasazení centralizovanou a automaticky prováděnou kontrolu aplikací všech pracovních stanic v podniku. Administrátoři musí nastavit konkrétní aplikaci omezený přístup do sítě a volbu mezi firemní zónou a zónou internetu. Pro kontrolu aktivity aplikací lze udělit „povolenky“ individuálním programům, nebo celým skupinám.

Správa médií

Správa média zahrnuje šifrování jednotlivých souborů, nebo celého USB disku, a to nejlépe skrze centrálně řízenou bezpečnostní politiku. Šifrované USB disky mohou používat pouze oprávněné osoby, což umožňuje bezpečně sdílet data interně a zároveň poskytuje autorizovaným uživatelům transparentní přístup k zašifrovaným datům.
Šifrování na úrovni celého disku uživatelské stanice zabezpečuje všechna data. Díky tomu lze i bootovacím USB diskům zabránit v přístupu ke všem uživatelským datům, v resetování či zjištění systémových hesel nebo ve zjištění hesel z internetových prohlížečů.

USB – přítel, nebo nepřítel?

Paměťová zařízení USB a přenosné aplikace zvyšují produktivitu a pohodlí uživatele, ale také otevírají mnoho bezpečnostních rizik pro každou pracovní stanici s USB porty. Základem pro jejich využití v podnikové praxi by proto mělo být použití komplexního bezpečnostního řešení.

Autor působí jako marketingový manažer ve společnosti Check Point Software Technologies.