Wyobraź sobie taką sytuację: idziesz korytarzem w biurze, przechodzisz przez parking lub wchodzisz do kawiarni i zauważasz leżący na ziemi, elegancki pendrive. Twoja pierwsza myśl? „O, ktoś zgubił pamięć przenośną, sprawdzę, co jest w środku, żeby znaleźć właściciela” albo po prostu „Świetnie, darmowy pendrive!”. Wracasz do biurka, podłączasz go do komputera i... w tym momencie tracisz kontrolę nad swoim systemem. W ciągu zaledwie kilku sekund na ekranie migają okna konsoli, a komputer samoczynnie pobiera i uruchamia złośliwe oprogramowanie.

To nie jest scenariusz z filmu o hakerach, ale realne zagrożenie związane z urządzeniami typu BadUSB oraz kultowym już narzędziem o nazwie USB Rubber Ducky. Jak to możliwe, że zwykły „pendrive” może przejąć kontrolę nad systemem i dlaczego tak trudno go wykryć?

Czym są BadUSB i USB Rubber Ducky?

Aby dobrze zrozumieć to zagrożenie, musimy rozróżnić samą metodę ataku od konkretnego urządzenia, które ją spopularyzowało.

• BadUSB – to ogólne określenie na lukę bezpieczeństwa oraz metodę ataku polegającą na przeprogramowaniu mikrokontrolera wewnątrz dowolnego urządzenia USB (np. pendrive'a, myszki, a nawet powerbanku). Zamiast zachowywać się jak zwykły nośnik danych, urządzenie to zostaje zmuszone do udawania czegoś zupełnie innego – najczęściej klawiatury.
• USB Rubber Ducky – to legendarne, komercyjne narzędzie stworzone przez firmę Hak5, przeznaczone do testów penetracyjnych (czyli kontrolowanych ataków hakerskich mających na celu sprawdzenie bezpieczeństwa). Wygląda jak najzwyklejszy pendrive, ale w rzeczywistości jest miniaturowym komputerem wyposażonym w slot na kartę microSD, na której zapisuje się instrukcje (tzw. payloady) napisane w prostym języku skryptowym Ducky Script.

Jak działają te niepozorne urządzenia?

Kluczem do sukcesu BadUSB i USB Rubber Ducky jest jedna z fundamentalnych zasad działania współczesnych systemów operacyjnych: bezgraniczne zaufanie do urządzeń wskazujących.

Kiedy podłączasz do komputera nową klawiaturę, system operacyjny (Windows, macOS czy Linux) nie pyta Cię o zgodę na jej instalację, nie żąda uprawnień administratora ani nie skanuje jej antywirusorem. Po prostu zakłada, że skoro fizycznie wpiąłeś klawiaturę do portu USB, to jesteś jej właścicielem i masz pełne prawo do wydawania komend.

USB Rubber Ducky wykorzystuje to zaufanie, przedstawiając się systemowi jako urządzenie klasy HID (Human Interface Device), czyli właśnie klawiatura. Po podłączeniu urządzenie zaczyna „wpisywać” zaprogramowane wcześniej komendy z prędkością, której żaden człowiek nie byłby w stanie osiągnąć (nawet tysiące znaków na minutę).

W praktyce wygląda to tak:

1. Podłączasz urządzenie do portu USB.
2. System operacyjny w ułamku sekundy rozpoznaje je jako nową klawiaturę.
3. Urządzenie natychmiast wysyła skrót klawiszowy otwierający konsolę (np. Windows + R i wpisuje powershell lub cmd).
4. Błyskawicznie wpisuje przygotowaną linijkę kodu, która pobiera z internetu złośliwe oprogramowanie, uruchamia je, a następnie zamyka okno konsoli, aby zatrzeć ślady.
5. Cały proces może zająć mniej niż 3 sekundy.

Czy zwykły użytkownik jest w stanie od razu rozpoznać takie zagrożenie?

Krótka i niestety niepokojąca odpowiedź brzmi: nie, zwykły użytkownik nie ma praktycznie żadnych szans na natychmiastowe rozpoznanie takiego urządzenia gołym okiem.

Dlaczego rozpoznanie zagrożenia jest tak trudne?

• Identyczny wygląd zewnętrzny: USB Rubber Ducky i inne urządzenia typu BadUSB są celowo projektowane tak, aby wyglądały jak najzwyklejsze, tanie pendrive'y. Często posiadają plastikowe, obrotowe obudowy, a nawet logo znanych marek. Fizycznie nie różnią się niczym od nośnika danych, który kupisz w każdym markecie z elektroniką.
• Brak reakcji programu antywirusowego: Tradycyjne programy antywirusowe skanują pliki zapisane na dyskach. Ponieważ BadUSB nie przedstawia się systemowi jako dysk (pendrive), antywirus nawet nie próbuje go skanować. Dla systemu operacyjnego i oprogramowania ochronnego ruch generowany przez BadUSB to po prostu bardzo szybkie pisanie na klawiaturze przez użytkownika.
• Brak widoczności w eksploratorze plików: Po włożeniu takiego urządzenia do komputera nie zobaczysz nowej ikony dysku w folderze „Ten komputer”. Urządzenie działa w tle jako klawiatura, więc przeciętny użytkownik może pomyśleć, że pendrive jest po prostu uszkodzony, podczas gdy w tle trwa już infekcja systemu.

Jedynym sposobem na wykrycie, że coś jest nie tak (poza nagłym, podejrzanym miganiem okien na ekranie), jest wejście w zaawansowane ustawienia systemu (np. Menedżer urządzeń w systemie Windows) i sprawdzenie, czy po wpięciu rzekomego pendrive'a na liście urządzeń nie pojawiła się nowa klawiatura. Dla zwykłego użytkownika jest to jednak proces nieintuicyjny i rzadko praktykowany.

Jeszcze bardziej podstępny krewniak – kabel O.MG

Warto wiedzieć, że technologia ta poszła jeszcze dalej. Obecnie niezwykle popularne (i niebezpieczne) są tzw. kable O.MG. Wyglądają one dokładnie tak samo jak oryginalne kable USB-C, Lightning czy microUSB do ładowania telefonów. Wewnątrz samej wtyczki ukryty jest jednak mikrokontroler oraz moduł Wi-Fi. Taki kabel nie tylko potrafi symulować klawiaturę i wysyłać złośliwe komendy, ale pozwala również napastnikowi na zdalne sterowanie komputerem ofiary przez sieć bezprzewodową z odległości wielu metrów.

Jak chronić się przed atakami typu BadUSB?

Skoro zagrożenie jest tak trudne do wykrycia, jak możemy się przed nim bronić? Na szczęście istnieje kilka prostych zasad, które drastycznie zmniejszają ryzyko stania się ofiarą takiego ataku:

• Zasada absolutnego braku zaufania: Nigdy, pod żadnym pozorem, nie podłączaj do swojego komputera (zarówno prywatnego, jak i służbowego) urządzeń USB, których pochodzenia nie jesteś w 100% pewien. Znaleziona na parkingu pamięć przenośna czy „darmowy” gadżet reklamowy z niepewnego źródła to najprostsza droga do infekcji.
• Stosowanie blokad fizycznych (tzw. USB Condoms): Jeśli musisz naładować telefon w publicznym miejscu (np. na lotnisku) przy użyciu obcego kabla lub publicznego portu USB, użyj specjalnego adaptera blokującego linie danych (tzw. prezerwatywy USB). Przepuszcza on jedynie prąd potrzebny do ładowania, całkowicie odcinając możliwość przesyłania jakichkolwiek danych czy komend.
• Oprogramowanie blokujące nowe urządzenia HID: W środowiskach firmowych stosuje się specjalne polityki bezpieczeństwa lub oprogramowanie klasy Endpoint Protection, które blokuje możliwość instalowania nowych klawiatur i myszek bez autoryzacji administratora lub ogranicza szybkość wprowadzania znaków, co pozwala wykryć nienaturalnie szybkie tempo pracy USB Rubber Ducky.