Wyobraź sobie taką sytuację: znajdujesz na parkingu przed biurem elegancki, metalowy pendrive. Wygląda na zgubiony, może nawet całkiem drogi. Ciekawość bierze górę – podłączasz go do komputera, żeby sprawdzić, czy są na nim jakieś dokumenty pozwalające zidentyfikować właściciela. W tym samym momencie, całkowicie bez Twojej wiedzy i bez żadnego kliknięcia, na komputerze instaluje się złośliwe oprogramowanie, które daje hakerowi pełny, zdalny dostęp do Twoich plików, kamery i haseł.

Czy to tylko hollywoodzki scenariusz z filmów o hakerach, czy może brutalna, technologiczna rzeczywistość? Odpowiedź brzmi: to jak najbardziej możliwe, choć mechanizm tego ataku wygląda nieco inaczej, niż większość z nas sobie wyobraża.

Mit autorun kontra rzeczywistość, czyli jak to działa naprawdę

Aby zrozumieć, czy samo włożenie pendrive'a do portu USB może zainfekować komputer, musimy cofnąć się o kilkanaście lat. W czasach systemu Windows XP istniała funkcja zwana AutoRun (lub AutoPlay), która domyślnie uruchamiała pliki wykonywalne (np. z rozszerzeniem .exe) natychmiast po podłączeniu nośnika. Był to gigantyczny błąd bezpieczeństwa, który hakerzy masowo wykorzystywali.

Współczesne systemy operacyjne (Windows 10, Windows 11, macOS czy Linux) mają tę funkcję domyślnie wyłączoną lub drastycznie ograniczoną. Samo podłączenie zwykłego, standardowego pendrive'a z ukrytym plikiem .exe nie spowoduje jego automatycznego uruchomienia. Plik ten musiałby zostać przez nas ręcznie kliknięty.

Skąd więc bierze się prawda w stwierdzeniu, że „samo podłączenie wystarczy”? Wszystko sprowadza się do dwóch zaawansowanych metod: emulacji sprzętowej oraz luk w oprogramowaniu.

BadUSB i USB Rubber Ducky – czyli pendrive udający klawiaturę

Największym zagrożeniem nie są dziś zwykłe pendrive'y z ukrytymi plikami, ale urządzenia typu BadUSB (najbardziej znanym komercyjnym przykładem jest USB Rubber Ducky).

Z punktu widzenia komputera, port USB to nie tylko miejsce na pamięć masową. Komputer ufa urządzeniom wskazującym – takim jak myszka czy klawiatura – bez konieczności instalowania dodatkowych sterowników czy pytania użytkownika o zgodę. Urządzenie BadUSB wygląda jak zwykły pendrive, ale w rzeczywistości jego wewnętrzny mikrokontroler jest zaprogramowany tak, by po podłączeniu przedstawić się systemowi jako... klawiatura.

Po wpięciu takiego urządzenia do portu, zaczyna ono „pisać” na klawiaturze z zawrotną, maszynową prędkością. W ułamku sekundy potrafi:

1. Otworzyć systemowy terminal (np. PowerShell w Windowsie).
2. Wpisać i uruchomić krótkie polecenie pobierające złośliwe oprogramowanie z sieci.
3. Uruchomić je i zatrzeć po sobie ślady, zamykając okno terminala.

Cały proces trwa dosłownie kilka sekund i dla przeciętnego oka jest niemal niezauważalny.

Luki w sterownikach i parserach plików (efekt Stuxnet)

Drugim sposobem są luki bezpieczeństwa (tzw. exploity zero-day) w samym systemie operacyjnym. Kiedy podłączasz jakikolwiek dysk zewnętrzny, system operacyjny musi go odczytać: sprawdzić system plików, wygenerować miniatury zdjęć czy ikon skrótów.

Hakerzy potrafią przygotować specjalnie zmodyfikowane pliki (np. pliki skrótów .lnk lub metadane obrazów), które wykorzystują błędy w kodzie systemu operacyjnego odpowiedzialnym za ich wyświetlanie. Najsłynniejszym przykładem takiego ataku był robak Stuxnet, który infekował komputery (nawet te odcięte od internetu) w ułamku sekundy po podłączeniu pendrive'a, wykorzystując właśnie lukę w sposobie, w jaki Windows przetwarzał ikony skrótów. W takim scenariuszu użytkownik nie musi niczego klikać – wystarczy, że system spróbuje „zobaczyć”, co jest na dysku.

Dlaczego szkodliwy plik może mieć zaledwie kilka kilobajtów?

W pytaniu pojawia się kluczowa kwestia: czy plik dający zdalny dostęp może ważyć zaledwie kilka kilobajtów? Tak, i jest to standardowa praktyka w świecie cyberprzestępczości.

Współczesne ataki rzadko polegają na przenoszeniu całego, ciężkiego programu szpiegującego na pendrive. Zamiast tego hakerzy używają tzw. dropperów lub stagerów. Jest to miniaturowy kod (często zwykły skrypt PowerShell, Bash lub kilkukilobajtowy plik binarny), którego jedynym zadaniem jest:

• Nawiązanie połączenia z serwerem kontrolowanym przez hakera (tzw. serwerem Command & Control).
• Pobranie właściwego, znacznie większego narzędzia do zdalnego dostępu bezpośrednio do pamięci RAM komputera (co dodatkowo utrudnia wykrycie go przez tradycyjne antywirusy).

Dzięki temu złośliwy kod inicjujący atak może być mniejszy niż przeciętne zdjęcie zrobione smartfonem.

Jak przeciętny użytkownik może się przed tym chronić?

Skoro zagrożenie jest tak realne i wyrafinowane, jak możemy się przed nim obronić? Na szczęście przeciętny użytkownik nie jest bezbronny. Oto najskuteczniejsze metody ochrony:

1. Cyfrowa higiena i zasada "zero zaufania"

To absolutnie najważniejsza i w 100% skuteczna metoda obrony przed atakami socjotechnicznymi. Nigdy nie podłączaj do swojego komputera nośników USB, których pochodzenia nie jesteś pewien. Jeśli znajdziesz pendrive na ulicy, w kawiarni czy na korytarzu w pracy, nie sprawdzaj jego zawartości. Oddaj go ochronie lub administracji budynku, traktując go jako potencjalne zagrożenie.

2. Regularne aktualizacje systemu operacyjnego

Większość ataków wykorzystujących luki w sterownikach czy parserach plików (jak wspomniany Stuxnet) działa tylko na systemach, które nie mają zainstalowanych najnowszych poprawek bezpieczeństwa. Regularne aktualizowanie Windowsa, macOS czy dystrybucji Linuksa drastycznie zmniejsza ryzyko, że automatyczny odczyt zawartości pendrive'a doprowadzi do infekcji.

3. Korzystanie z konta użytkownika bez uprawnień administratora

Na co dzień powinieneś korzystać z konta o ograniczonych uprawnieniach (konta standardowego), a nie administratora. Jeśli podłączysz urządzenie typu BadUSB, które spróbuje uruchomić skrypt instalujący złośliwe oprogramowanie w głębi systemu, system operacyjny wyświetli monit o podanie hasła administratora (UAC w systemie Windows). To natychmiast zatrzyma automatyczny atak.

4. Nowoczesne programy antywirusowe i EDR

Współczesne pakiety antywirusowe nie ograniczają się już tylko do skanowania plików na dysku. Posiadają one moduły analizy behawioralnej. Jeśli antywirus zauważy, że nagle (w ułamku sekundy po podłączeniu nowego urządzenia) uruchamia się konsola PowerShell i próbuje pobrać plik z nieznanego serwera, natychmiast zablokuje ten proces, nawet jeśli sam plik inicjujący nie był wcześniej znany bazie wirusów.

5. Blokada automatycznego odtwarzania (AutoPlay)

Upewnij się, że w ustawieniach systemu operacyjnego funkcja AutoPlay dla dysków zewnętrznych i kart pamięci jest całkowicie wyłączona. W systemie Windows możesz to zrobić, wpisując w wyszukiwarkę menu Start „Ustawienia Autoodtwarzania” i przesuwając suwak na pozycję „Wyłączone”.

Jaka jest skuteczność tych metod?

Stosując powyższe zasady, Twoje bezpieczeństwo wzrasta niemal do 100% w codziennych warunkach domowych i biurowych.

Jak widać z powyższego zestawienia, żadna pojedyncza metoda programowa nie daje pełnej gwarancji, ponieważ hakerzy stale szukają nowych dróg obejścia zabezpieczeń. Jednak połączenie zdrowego rozsądku (nie podłączam obcych rzeczy) z aktualnym systemem i dobrym oprogramowaniem ochronnym tworzy pancerz, którego przebicie dla przeciętnego cyberprzestępcy staje się nieopłacalne i zbyt trudne.

Ciekawostka: USB Killer, czyli zagrożenie czysto fizyczne

Warto wiedzieć, że złośliwe oprogramowanie to nie jedyne niebezpieczeństwo, jakie drzemie w nieznanych portach USB. Istnieje kategoria urządzeń nazywana USB Killer.

Wygląda to jak zwykły pendrive, ale w środku nie ma pamięci flash, lecz zestaw kondensatorów. Po podłączeniu do komputera urządzenie to błyskawicznie pobiera prąd z portu USB, kumuluje go, a następnie w ułamku sekundy uderza z powrotem napięciem rzędu kilkuset woltów. Taki impuls dosłownie wypala płytę główną i procesor, bezpowrotnie niszcząc komputer. Przed USB Killerem nie ochroni Cię żaden antywirus ani aktualizacja systemu – jedyną obroną jest fizyczna blokada przed włożeniem go do portu.