Jakiś czas temu w internecie pojawiły się artykuły na temat BadUSB. Jest to luka, która pozwala na przygotowanie ataku poprzez specjalnie spreparowane pendrive'y USB. Jak zapewniała nas w jednej z wiadomości na naszym portalu Rzecznik Prasowa URE (cyt.): Eksperci zespołu przygotowującego Wspólną specyfikację doskonale orientują się w rozwoju standardu USB i w pełni świadomie wybrali USB 2.0. W związku z tym postanowiliśmy poprosić o opinię w tej kwestii właśnie Urząd Regulacji Energetyki.

Jak już wspomnieliśmy, z dostępnych informacji wiadomo, że luka BadUSB pozwala na przygotowanie ataku poprzez specjalnie spreparowane pendrive'y. Włożenie takiego urządzenia do portu USB powoduje, że komputer staje się zupełnie otwarty na ataki, ponieważ automatycznie instalowany jest w jego systemie groźny kod umieszczany bezpośrednio w oprogramowaniu sterującym (firmware) kluczem USB.

Hakerzy potrafią już złamać powszechnie sprzedawane nośniki USB i zamieniać je w BadUSB.

Problem z BadUSB nie jest łatwy do zlikwidowania. Zabezpieczenie przed tego typu atakami wymaga przeprojektowania całego systemu korzystania z połączeń typu USB.

Przypomnijmy, że we "Wzorcowej specyfikacji technicznej dla postępowań przetargowych na dostawę infrastruktury licznikowej dla systemów AMI" w dziale "Wymagania techniczne” w wymaganiach dla liczników inteligentnych (komunalnych 1 lub 3-fazowych oraz półpośrednich) wpisany jest port USB.

Czy jest czego się obawiać?

Agnieszka Głośniewska, Rzecznik Prasowy, Departament Strategii i Komunikacji Społecznej, Urząd Regulacji Energetyki:

Problem potencjalnego zagrożenia nie wynika z fizyczności gniazda USB, tylko z ewentualnych luk w oprogramowaniu urządzeń korzystających z tego rozwiązania. Może to być faktycznie problem, ale dla komputerów używających systemów operacyjnych, przystosowanych do współpracy z całą gamą urządzeń peryferyjnych, komunikujących się np. za pośrednictwem USB.

Zupełnie inaczej przedstawia się sytuacja z licznikami. Do licznika ma być dedykowany jednoznacznie zdefiniowany typ urządzenia wpinanego do gniazda USB. Ponadto licznik nie będzie dysponował systemem operacyjnym, a informacje wpływające do licznika poprzez USB nie będą miały wpływu na jego funkcjonowanie, w związku z tym nie ma możliwości zainstalowania w ten sposób w liczniku szkodliwej funkcjonalności.

Projekt od początku przewiduje cały katalog działań i środków, chroniących infrastrukturę AMI przed wrogim atakiem.

Ponadto, polityka bezpieczeństwa w OSD jest znacznie szerszym zagadnieniem niż specyfikacja wymagań dla liczników i to tam przede wszystkim trzeba szukać środków zaradczych.

W kwestiach technologicznych na pewno fachowym komentarzem dysponuje na przykład Zarząd KIGEIT, który uczestniczy w pracach Zespołu i dysponuje źródłową wiedzą w tym zakresie.