Оффлайн
- Регистрация
- 19.09.18
- Сообщения
- 132
- Реакции
- 74
- Репутация
- 1
Всем привет. Сегодня разберём простой но мощный инструмент для обнаружения физического доступа к твоим устройствам — Canary Token USB.
Canary Token USB: как обнаружить что к твоим устройствам получили доступ
Что это такое
Canary Token это ловушка — специально созданный объект который при активации отправляет уведомление владельцу. USB версия это флешка которая при подключении к любому компьютеру незаметно отправляет уведомление на твой сервер или email с информацией о том где и когда она была подключена.
Используется журналистами, исследователями безопасности, правозащитниками для обнаружения факта физического доступа к устройствам и помещениям.
Как работает
При подключении к компьютеру флешка автоматически запускает скрытый файл который делает DNS запрос или HTTP запрос на уникальный адрес. Этот запрос фиксируется на сервере Canary Tokens и отправляется уведомление владельцу — IP адрес компьютера, время, геолокация, операционная система.
Человек который подключил флешку ничего не замечает — никаких видимых действий, никаких окон.
Как создать
Сервис canarytokens.org от Thinkst — бесплатный, открытый код. Там создаются разные типы токенов — не только USB но и документы Word, PDF, ссылки, DNS записи.
Для USB токена: зайти на canarytokens.org, выбрать тип MS Word Document или других форматов, указать email для уведомлений, скачать файл, положить на флешку.
Для более продвинутого варианта — создать автозапускаемый файл или LNK файл который активируется при открытии флешки в проводнике.
Практическое применение
Оставить флешку в офисе или дома — если кто-то подключит к компьютеру придёт уведомление. Положить в ноутбук — если кто-то откроет и подключит флешку для копирования данных — уведомление придёт немедленно. Оставить среди документов как приманку — если документ откроют на другом компьютере — уведомление с IP и геолокацией.
Что приходит в уведомлении
IP адрес компьютера который активировал токен. Примерная геолокация по IP. Время активации. Тип браузера или операционной системы. User-Agent строка.
Ограничения
Не работает на компьютере без интернета — токен требует сетевого запроса. Продвинутый противник с изолированной системой не активирует токен. Антивирусы могут заблокировать автозапуск.
Самохостинг
Если не хочешь зависеть от стороннего сервиса — Canarytokens открытый проект, можно поднять собственный сервер. GitHub репозиторий thinkst/canarytokens. Всё уведомления идут только на твой сервер.
Вывод
Canary Token USB это простой пассивный инструмент обнаружения — не защищает от доступа но сообщает о факте доступа. В комбинации с другими мерами физической безопасности даёт важный слой обнаружения угроз.