Концепт USB звучит идеально: разъём один, сценариев — тысячи. Кажется, что если штекер подходит, всё должно быть безопасно. На практике это не так. За годы работы с техникой я выработала короткий список вещей, которые лучше держать подальше от порта ноутбука или смартфона, и теперь делюсь с вами. А ещё объясню почему и что делать, если выбора всё-таки нет.
Случайные флешки и неизвестные накопители
Как заражают через файлы. Расчёт на человеческий фактор. На флешке лежат ярлыки .lnk, макросы Office, сценарии PowerShell или исполняемые файлы, замаскированные под документы. Двойной клик — и сначала запускается скрипт, затем для правдоподобия открывается настоящий документ. Если автозапуск отключён (как должно быть), то срабатывают как раз такие маскировки. Дополнительно используют технику Living off the Land — системные утилиты выполняют вредоносные команды без отдельного бинарника.
Как атакуют через прошивку контроллера. Подход BadUSB меняет поведение микроконтроллера. Устройство объявляется системе не только как накопитель, но и как HID-клавиатура: операционная система доверяет устройствам ввода по умолчанию. Дальше — серия нажатий и команд, создание нового пользователя, запуск PowerShell, выгрузка полезной нагрузки. Другой вариант — объявиться как сетевой адаптер (RNDIS): система получает «новую сеть», трафик идёт через ложный шлюз, где уже подмешиваются скрипты и сертификаты.
Как выводят порт из строя. Аппаратные «убийцы USB» работают импульсами перенапряжения. Внутри — преобразователь и конденсаторы, которые накапливают высокий потенциал и кратковременно подают его в порт. Перегорает контроллер USB, а дальше — по цепочке вплоть до чипсета. Бытовые платы от таких импульсов защищены слабо.
Практика. Не подключаю находки к рабочей машине. Если необходимо посмотреть содержимое — делаю это на изолированном ноутбуке без учёток и токенов, с отключёнными сетями и отображением расширений файлов. На основных системах включаю подтверждение при появлении новых HID-устройств и запрещаю установку неподписанных драйверов.
Дешёвые зарядные устройства и сомнительные кабели
Где риск в зарядке. В ноунейм-адаптерах часто экономят на гальванической развязке, защите от перенапряжений и термоконтроле. В USB-C за согласование профилей напряжения и тока отвечает канал CC: устройства договариваются о 5/9/15/20 В и токе до 5 А по USB Power Delivery. Ошибки реализации PD приводят к неправильному профилю, скачкам и ускоренной деградации аккумулятора.
Что не так с кабелями. Полнофункциональные USB-C-кабели оборудуются e-marker — микросхемой с информацией о допустимом токе и режимах. У дешёвых шнуров e-marker отсутствует или прошит неверно: результат — перегрев, плавление изоляции, просадка мощности и износ разъёма. Плюс встречаются неверные разводки линий D+/D-, из-за чего устройство распознаётся неправильно и не включает нужные режимы.
Практика. Покупаю адаптеры и кабели у известных производителей и официальных продавцов. Проверяю заявленный профиль PD, ток кабеля (3 А или 5 А), поддержку режимов USB 2.0/3.x и Alt Mode. Если нужна только зарядка — использую кабель без линий данных или вставляю адаптер-блокатор.
USB-гаджеты непонятного происхождения
Почему это риск. Внешне простые устройства (вентиляторы, лампы, подогреватели) нередко строятся на микроконтроллере и могут вести себя как устройство ввода: заявиться HID-клавиатурой и выполнить команды, или как аудио/сетевой интерфейс, чтобы получить дополнительный канал взаимодействия с системой. Антивирус тут малоэффективен — формально подключилось «устройство ввода».
Как настраивать защиту. На уровне ОС полезно включить запрос подтверждения для новых клавиатур и мышей, а в корпоративной среде — ограничить установку устройств по VID/PID и применять политики Device Installation Restrictions. Можно отключить неиспользуемые классы устройств через групповые политики и вести журнал подключений.
Практика. Питаю такие аксессуары от зарядного адаптера, пауэрбанка или хаба без передачи данных. К USB-порту компьютера не подключаю.
Публичные зарядные станции
Как устанавливают вредонос через кабель. В классическом USB для данных используются линии D+/D-, в USB-C помимо них есть высокоскоростные линии и контакты CC для согласования ролей и режимов. Если оставить активными data-линии, «зарядка» может выступить хостом и попытаться включить доступ к данным. Типовые сценарии: навязать режим MTP/PTP для просмотра файлов, инициировать ADB на Android при неосторожном согласии, или выдать себя за HID-клавиатуру и выполнить команды. В старых прошивках и при спешке пользователя это срабатывает.
Почему это работает. Смартфон — полноценный компьютер. Компрометированная станция способна вести себя как ПК и запрашивать обмен данными. Современные системы выводят диалог доверия, но многие подтверждают его автоматически, не читая.
Как защититься физически. Кабель только для питания физически разрывает линии D+/D-, оставляя VBUS/GND и CC для согласования мощности. Альтернатива — мини-адаптер data blocker между вашим кабелем и розеткой. На телефоне лучше включить режим только зарядка по умолчанию, держать ADB выключенным, а на iOS разрешать USB-аксессуары только после разблокировки.
Практика. Если рядом есть пауэрбанк, сначала заряжаю его, а уже им — телефон. Если нет — использую свой power-only кабель или блокатор данных. Чужие кабели в стойках не беру.
Полезные настройки и привычки
- Отключите автозапуск и включите отображение расширений файлов; не открывайте документы прямо с внешнего носителя.
- Контролируйте HID: включите подтверждение для новых клавиатур и мышей; при необходимости используйте белые списки устройств.
- Работайте из обычной учётной записи, права администратора — только по запросу через UAC.
- Разделяйте питание и данные: для сомнительных подключений используйте кабели без линий данных или адаптер-блокатор.
- Следите за корректностью USB-C: используйте нормальные кабели (3 А/5 А, e-marker), качественные адаптеры PD.
- Делайте резервные копии и включайте двухфакторную аутентификацию — это спасает, даже если что-то пойдёт не так.
