torstai 5. joulukuuta 2019

Virtakaappaus ja USB-turvallisuus

Suomessakin esitetyssä CSI Cyber -rikossarjassa nähtiin vuonna 2015 jakso L0M1S, jossa lentomatkustajien puhelimet kaapataan ujuttamalla niihin kentän latauspisteestä haittaohjelma.

Rikospaikka: lentokentän julkinen usb-latauspaikka.
Hakkeri oli piilottanut pöydän alle laitteen, joka lähetti puhelimiin haittaohjelman niitä ladattaessa. Sarjan suomennoksessa tätä kutsuttiin nimellä virtakaappaus, mikä onkin varsin kuvaava käännös alkuperäiselle termille "juice jacking".

"Kun matkustaja latasi puhelinta, tiedot varastettiin"
TV-sarjoissa kaikki on mahdollista. Ihan noin helposti tietojen varastaminen ja varsinkaan haittaohjelman asentaminen ei onnistuisi, mutta viime aikoina uhkasta on kuitenkin alettu varoittaa matkustajia ja muitakin käyttäjiä, jotka lataavat puhelintaan vieraista latureista.

Jopa latauskaapelin liittimeen voidaan piilottaa mikropiiri, joka vaikuttaa puhelimen toimintaan. Snowdenin paljastuksista kävi ilmi, että CIA:n käytössä oli tällaisia laitteita jo 2010-luvun alussa. Nykyään varmaan jo kehittyneempiä.

Varmuuden vuoksi kannattaa käyttää puhelimen lataukseen kaapelia, jossa datajohtimia ei ole kytketty. Tällainen kaapeli siirtää vain sähkön, jolloin puhelin latautuu. Joissakin vanhoissa usb-latauskaapeleissa datajohtimia ei ollut, sama pätee monipäisiin kaapeleihin. Kuulemani mukaan virtapankkien mukana tulevat johdot olisivat hyviä, koska niissä ei dataa tarvita.

Jos isosta USB-liittimestä puuttuu kaksi keskimmäistä piikkiä, data ei kulje. Sähkö siirtyy reunimmaisissa johtimissa. Vaikka keskimmäiset piikit olisivat paikoillaan, niitä ei välttämättä ole kytketty.

Piikkien puuttumista on usein vaikea nähdä paljaalla silmällä, joten asia kannattaa kokeilla omalla tietokoneella ennen matkaa. Jos puhelin näyttää vain (hidasta) latausta, eikä ilmesty tietokoneeseen uutena levyasemana tai apuohjelmana (kuten Android-puhelimet Mac-läppäreissä), kaapeli on tässä suhteessa turvallinen.

Varmuuden vuoksi puhelin kannattaa sammuttaa latauksen ajaksi, jolloin sen akku myös täyttyy nopeammin.

Asia kannattaa tarkistaa senkin vuoksi, että jos piikit puuttuvat, puhelimen synkronointi (esimerkiksi kuvien siirto turvaan läppärin kiintolevylle, kuten itse teen aina matkalla) ei onnistu.

Latauksen turvaamiseksi on vielä yksi keino: USB kondomi eli pieni välipalikka, joka asetetaan latauspisteen ja kaapelin väliin. Sen tekniikka on äärimmäisen yksinkertainen: sen neljästä johtimesta vain kaksi on kytketty, joten data ei pysty liikkumaan.

Tilasin kauan sitten netistä SyncStop -nimisen laitteen, joka näyttää edelleen olevan myynnissä. Hinta on mitättömät 12,95 dollaria.

SyncStop

SyncStop on äärimmäisen yksinkertainen mutta tehokas laite.
Näitä myydään muissakin verkkokaupoissa mm. nimellä USB Data Blocker.

Varma on aina varmaa, latauksessakin.

Lisäys 17.1.2020: Puhelimen lataaminen pelkällä latausjohdolla saattaa estää pikalatauksen toiminnan, jolloin puhelin latautuu hitaammin kuin virta+data-johdolla. Samsung S9:ssä ero oli peräti kolminkertainen. 

Ei kommentteja:

Lähetä kommentti