Сцена, знакомая почти каждому. Коллега протягивает флешку: «Скинь презентацию» или «Распечатай, пожалуйста». Приятель просит перекинуть фильм. Кто-то находит накопитель на парковке и думает: «Посмотрю, чья». Движение привычное, почти рефлекторное: вставил, открыл, готово.
В этом рефлексе живёт одна из самых недооценённых угроз цифровой безопасности. Не потому что каждая флешка несёт в себе катастрофу. А потому что вы никогда не знаете, какая именно несёт.
Как компьютер воспринимает флешку
Чтобы понять угрозу, нужно понять механику. Когда вы вставляете USB-накопитель, операционная система не просто «видит файлы». Она устанавливает контакт с устройством, читает его идентификаторы, загружает драйверы и выполняет целый ряд автоматических операций — часть из которых происходит раньше, чем вы успеваете что-либо нажать.
Это принципиально важно. Атака на компьютер через USB может начаться не в момент, когда вы открываете файл. Она может начаться в момент физического подключения устройства. Некоторые классы атак эксплуатируют именно этот промежуток.
Операционные системы десятилетиями совершенствовали защиту от вредоносных файлов. Но USB-интерфейс по своей природе предполагает доверие к подключаемому устройству. Это архитектурная особенность, а не недоработка конкретного производителя. И именно её используют те, кто создаёт инструменты для атак через съёмные носители.
BadUSB: когда флешка притворяется клавиатурой
В 2014 году исследователи безопасности Карстен Нол и Якоб Лелл показали атаку, которая переписала представления о том, насколько можно доверять USB-устройствам. Они назвали её BadUSB.
Суть в следующем. Прошивка большинства USB-контроллеров перепрограммируема. Это значит, что обычная флешка может быть перепрошита таким образом, что при подключении к компьютеру она представится не накопителем, а, например, клавиатурой. Или сетевым адаптером. Или сразу несколькими устройствами одновременно.
Компьютер доверяет клавиатуре. Клавиатура вводит команды. Эти команды выполняются с правами пользователя, а при определённых условиях и с правами администратора. За несколько секунд после подключения «флешка-клавиатура» успевает открыть командную строку, скачать вредоносный код из интернета и запустить его. Всё это происходит быстрее, чем вы успеваете заметить мигание индикатора.
Антивирус при этом может молчать. Он проверяет файлы, а не команды, поступающие от «клавиатуры». Это две разные плоскости защиты, и BadUSB работает в той, где антивирус традиционно слеп.
После публикации 2014 года код атаки был выложен в открытый доступ. С тех пор инструменты типа USB Rubber Ducky превратились в стандартное оборудование специалистов по тестированию безопасности. Но и не только их.
Классические вирусы: старая угроза, живущая до сих пор
BadUSB — это изощрённая атака. Но существует и более простая угроза, которая никуда не исчезла, несмотря на то что о ней говорят реже.
Обычный вредоносный файл на флешке. Авторан, троян, шифровальщик. Это работало в 2005 году и работает сейчас, просто методы стали хитрее. Раньше файлы маскировались под документы с двойным расширением: «отчёт.doc.exe». Сегодня используются ярлыки, которые внешне неотличимы от папок, — пользователь кликает на то, что считает папкой, а запускает исполняемый файл.
Особую нишу занимают шифровальщики-вымогатели. Для малого бизнеса и частных лиц этот сценарий катастрофичен: все файлы на компьютере шифруются, за ключ требуют выкуп. Флешка с таким кодом может оказаться у коллеги, который не знает о заражении своего компьютера и искренне просит вас скинуть документ.
Цепочка заражения через флешки остаётся одним из самых распространённых векторов атак в корпоративных сетях именно потому, что она использует человеческое доверие, а не технические уязвимости.
Есть и обратная сторона этой истории: даже если флешка выглядит пустой, это ещё не значит, что на ней ничего нет. С удалёнными файлами вообще всё не так просто, и я подробно разбирал это в статье «Ваши фото, файлы и переписку могут восстановить за 20 минут после “удаления”». Там хорошо видно главный принцип: цифровые данные редко исчезают сразу. Иногда они просто становятся невидимыми для пользователя, но остаются доступными для тех, кто знает, где искать.
Найденная флешка: приманка, у которой есть имя
Существует задокументированная техника социальной инженерии, которую специалисты по безопасности называют «dropping» — подброс. Заражённые флешки намеренно оставляют в людных местах: на парковках у офисов, в лифтах бизнес-центров, в залах ожидания, на столах в коворкингах.
Расчёт точный и циничный. Человек, нашедший флешку, испытывает смешанное чувство любопытства и желания помочь: «Вдруг там чьи-то важные данные? Надо посмотреть, чтобы вернуть». Именно это желание и эксплуатируется.
Исследование, проведённое в университетской среде, показало: значительная доля найденных флешек была подключена испытуемыми к своим компьютерам. Причём многие из них впоследствии объясняли своё поведение именно альтруистическими мотивами: хотели найти владельца. Атака, направленная против добросовестности, работает надёжнее, чем атака против беспечности.
Правило здесь однозначное: найденная флешка неизвестного происхождения не подключается никогда и никуда. Её можно сдать в бюро находок, службу безопасности учреждения или просто выбросить. Но не вставлять в компьютер.
Корпоративный контекст: почему одна флешка может стоить компании всего
Для частного человека атака через USB — серьёзная неприятность. Для организации это потенциально катастрофа.
Самый известный пример — червь Stuxnet, обнаруженный в 2010 году. Он проник на иранские ядерные объекты, физически изолированные от интернета, именно через USB-накопители. Это был один из первых публично известных случаев кибероружия, реализованного через съёмный носитель. Stuxnet вывел из строя центрифуги для обогащения урана, оставаясь при этом незамеченным длительное время.
Случай экстремальный. Но принцип работает и в гораздо более приземлённых ситуациях. Сотрудник приносит домашнюю флешку на работу, подключает к корпоративному компьютеру. Заражение распространяется по внутренней сети. Через несколько дней или недель шифровальщик активируется и парализует работу всей компании. Страховые случаи такого рода стали настолько частыми, что многие корпоративные страховщики ввели специальные условия для киберрисков.
Именно поэтому политика безопасности серьёзных организаций часто включает физическую блокировку USB-портов или программный запрет на подключение неавторизованных устройств.
Полезные настройки для смартфона и ПК, цифровая безопасность и простые советы без лишней воды — всё это в нашем Мах-канале Pochinka. Присоединяйтесь!
Что делать вместо флешки
Практическая альтернатива существует, и она проще, чем кажется.
Для передачи файлов между людьми в 2020-е годы нет никакой необходимости в физическом носителе. Облачные хранилища, корпоративные файлообменники, мессенджеры с возможностью передачи больших файлов, зашифрованная электронная почта — всё это надёжнее и удобнее флешки в большинстве бытовых сценариев.
Если физический носитель всё же нужен, используйте только свои устройства. Если вы вынуждены принять чужую флешку, подключайте её на изолированном устройстве или виртуальной машине, где хранятся исключительно незначимые данные. Это не всегда практично, но хотя бы даёт понимание реального уровня риска.
Отключите автозапуск в операционной системе. В Windows это делается через настройки или групповые политики. Это не защитит от BadUSB, но существенно снизит риск автоматического запуска вредоносного кода с обычного заражённого накопителя.
Главное: измените отношение к самому действию. Вставить чужую флешку в компьютер — это не нейтральный жест. Это решение, которое несёт последствия. Если вы осознаёте это, вы уже защищены лучше большинства.
Доверие как уязвимость
Все атаки через съёмные носители объединяет одно: они эксплуатируют не техническую слабость системы, а социальную норму. Норму помощи, любопытства, доверия к коллеге, желания не обидеть отказом.
Цифровая гигиена не означает жить в параноидальной изоляции. Она означает знать, где проходит граница между обычной вежливостью и необдуманным риском. Флешка коллеги, флешка с парковки и флешка из рекламного пакета на конференции — это три совершенно разных объекта с разным уровнем доверия.
Компьютер не умеет делать такое различие самостоятельно. Это умеете делать вы.