USB-minnet var en utmärkt metod att transportera massor av data mellan två datorer, tills säkerhetsproblemen började. Idag vågar knappt någon ansvarskännande datoranvändare ta emot en USB-pinne. På IT-medvetna företag har man en policy om att inte ta in USB-pinnar. Tråkigt, för en så bra uppfinning. Men det kan vara en ljusning på gång.
Det här är sagan om en liten apparat som blev för framgångsrik för sitt eget bästa.
USB-minnet började med några ynka megabyte, så lite minne som ingen ens skulle fundera på idag. Numera rymmer USB-pinnarna uppåt 256 gigabyte, vilket är nog för att flytta allt data för ett mindre företag, eller slarva bort en hel hög militära hemligheter i en taxi eller på en restaurang. Och det är inte ens dyrt. Säkerhetsläget i Sverige är hårt och hårdnar allt mer. Tredje makt är ute efter våra industrihemligheter, militära hemligheter, organisationsscheman, kontaktlistor och politiska hemligheter, allt i syfte att kunna använda dem mot samhället.
Cyberskurkarna har inte varit sena att utnyttja denna universalpinne för sina brott. Det finns massor med metoder att locka omedvetna datoranvändare att antingen installera oönskade spionprogram, eller ha sönder sin dator med en stor smäll.
Först måste USB-minnena distribueras till inte ont anande datoranvändare. Det finns ett otal metoder. Olika företag ger bort dem på företagsfester, event och pressmöten. Minnena finns i olika intressanta skepnader, som kreditkort, racerbilar eller modellflygplan. Alla verkar spännande och kan innehålla helt legitim programvara som gör vad den ska göra, och så någon liten dold rutin som kanske inte ens distributören varit medveten om, eftersom den planterats in av tillverkaren i något stort östland.
Ett annat sätt som varit populärt är att kasta ut smittade minnespinnar på exempelvis parkeringsplatser eller framför ingången till ett företag man vill invadera. Intet ont anande medarbetare hittar pinnarna och provar dem för att se om de innehåller något intressant. Och det brukar de göra…
Programmen på minnespinnarna kan antingen vara smittade spel, eller smittade nyttoprogram som faktiskt gör det de påstås göra, men samtidigt installerar trojaner eller börjar kryptera användarens hårddisk för satt sedan kräva lösensumma i bitcoin, börjar spinna företagets urancentrifuger upp och ned tills de går sönder, eller börjar skicka serverns innehåll till någon okänd adress på Internet.
Köper du färgglada USB-saker på marknaden i Hongkong får du faktiskt skylla dig själv. Det är mycket lätt att dölja en spionfunktion inuti ett kontaktdon. Bild: Victorgrigas, CC BY-SA.
Nästa typ av infektion är sk keyloggers som inte syns på en gång. De lägger sig resident i datorns minne och börjar spela in allt som skrivs på tangentbordet, för att sedan skicka det ”någonstans”. Det spelar det ingen roll hur krypterad din överföring till banken är, hur noga du skyddar ditt lösenord, kreditkortsnummer eller ditt personnummer. Du kanske aldrig ens hade tänkt skicka den där komprometterande artikeln över Internet? I samma stund du skriver tecknen på tangentbordet är det röjt och ivägskickat.
En annan möjlighet är att maskera USB-enheten som något annat, exempelvis ett USB-tangentbord, ett Human Interface Device, varefter enheten själv börjar mata ut tangenttryckningar till datorn och ställer till elände.
Ytterligare en kader sabotörer är högspänningspinnarna. USB-dongeln innehåller ett par stora kondensatorer (fyrkanterna på bilden) som laddas upp till 200 volt från en inbyggd spänningsomvandlare, vilken spänning sedan laddas ur över dataledningarna. Det bränner sönder mottagarkretsarna i datorn och eventuellt något mera. Kul, för att… En tillverkare hävdar att dödarpinnen är godkänd av FCC för provning av datorers störkänslighet. Det finns adaptrar till USB-C så man kan döda mobiltelefoner också. Det mesta kan dödas, faktiskt, inte bara datorer och telefoner, utan även elektroniska bilar, nätverksutrustning, underhållningssystem på flyget, USB-ladduttag osv.
Anledningen till att detta fungerar är, som vanligt, allas absoluta ointresse för IT-säkerhet.
Leve USB-pinnen i ny skepnad
Principen för att flytta data i en liten handhållen enhet som tål att tappas i backen är bra, men den måste kunna säkras mot intrång. Bara den organisation som utfärdar enheten ska kunna komma åt innehållet och känna till kryptonycklarna. Dessutom skadar det inte om den faktiskt tål lite tuffare tag än vanliga USB-pinnar.
In kommer Datakey från ATEK Access Technologies i USA. Nexus Industrial Memory är distributör i Europa.
En 55 tons stridsvagn kan utan vidare mangla sönder en bil, men Nexus minnespinne klarar utan svårighet att bli överkörd.
Så här ser ett vanligt USB-minne och ett SD-kort ut efter att ha körts över av ett tolvtons pansarfordon.
Efter att stridsvagnen passerat Datakey har pinnen blivit lite smutsig, men det går att skölja av med vatten. Se hela filmen på: https://www.youtube.com/watch?v=q0LUfXxiiII
Användbart?
Kul, kan man tycka, men är den användbar? Frågan är fel ställd. Den är absolut nödvändig för att hålla uppe säkerheten i det moderna IT-hotade samhället. 20.000 databärande enheter, som USB-pinnar, telefoner, surfplattor och bärbara datorer slarvas bort i London på ett år, med exempelvis drottning Elizabeths dagsprogram på (mumma för terrorister).
Att pinnen har inkompatibel kontakt minskar kretsen av tänkbara användare. Det är just vad som är meningen. Själva idén är att den inte är standard. Det går givetvis att skaffa en adapter, men den har inte alla. Det hjälper ändå inte om man inte har kryptonyckeln.
Pinnen verkar tåla vad som helst, utöver stridsvagnar. Den kan till exempel användas som krypterad startnyckel till stridsfordon och dessutom lagra driftdata som fienden inte kan komma åt. Den kan vändas åt valfritt håll i kontakten. Modellen utformad som en nyckel som måste vridas om säkerställer att den inte ramlar ur kontakten. Den klarar drift mellan –30 och +85 grader. Den tål vibrationerna i en arbetsmaskin i gruvindustrin, kan frysas in i is, kan doppas i olja och gegga och steriliseras för medicinskt bruk eftersom den kan lagras i upp till +100 graders temperatur. Livslängden för lagrat data är garanterad till 10 år.
Hej svenska staten. Du vet, IT-säkerhet. En jättebra grej. Skaffa en fungerande IT-säkerhetspolicy!
Läs mer
Atek Datakey: http://datakey.com/
Nexus Industrial Memory: https://www.nexusindustrialmemory.com/
Sunets IT-handbok är öppen och fri. Den finns för att du ska sno den. Men det kan bli tufft, för den är ganska hård: https://www.sunet.se/blogg/sunets-handbok-i-informations-och-it-sakerhet/
Utlagda, falska USB-pinnar: https://sverigesradio.se/sida/artikel.aspx?programid=104&artikel=6652964
Intervju med Combitech: https://www.svd.se/sa-luras-anstallda-av-foretagsspioner