| USBキル | |
|---|---|
 | |
 LinuxでのUSBKillのインストール | |
| 開発者 | ヘファイストス |
| 安定版リリース | 1.0-rc4 / 2016年1月18日 (2016年1月18日) |
| リポジトリ | |
| 書かれた | パイソン |
| オペレーティング·システム | BSD、Linux、macOS、その他のUnix系システム |
| サイズ | 15.6 KB |
| タイプ | 反法医学 |
| ライセンス | GNU一般公衆利用許諾契約書 |
| Webサイト | github |
USBKillはGitHub経由で配布されているアンチフォレンジックソフトウェアで、BSD、Linux、OS Xオペレーティングシステム向けにPythonで書かれています。USBKillは、インストールされたコンピュータが所有者の意図に反して個人または団体の制御下に置かれた場合に、キルスイッチとして機能するように設計されています。[ 1 ]これはGNU General Public Licenseに基づいて利用可能なフリーソフトウェアです。[ 2 ]
Hephaest0sというオンライン名で知られるこのプログラムの開発者は、Silk Roadの創設者ロス・ウルブリヒトの逮捕の状況に応じてこのプログラムを作成した。その際、米国連邦捜査官は彼の注意をそらした後、フラッシュドライブからデータをコピーすることにより、彼の協力を得ることなく彼のラップトップ上の有罪の証拠にアクセスすることができた。[ 3 ]このプログラムは、コンピュータのUSBポートに接続できるデバイスのホワイトリストを維持しており、ホワイトリストにないデバイスが接続された場合、単にロック画面に戻ることから、ハードドライブを暗号化するか、コンピュータのすべてのデータを消去するまで、さまざまなアクションを実行できます。ただし、作成者によると、マルウェアやスパイウェアの秘密のインストールやファイルの秘密の複製を防ぐためのコンピュータセキュリティ対策の一部としても使用できるとのことです。 [ 4 ]
背景
1990年代に法執行機関がコンピュータ犯罪の逮捕を開始した際、捜査対象者がコンピュータや記憶媒体から犯罪証拠を削除する時間を与えないよう、裁判官にノーノック捜索令状を請求することが多かった。さらに極端な状況では、警察の到着を事前に察知される可能性が高いため、裁判官は「電源遮断令状」を発給した。これにより、電力会社は捜索場所の電力を捜索直前に遮断することができ、押収前に証拠を破壊しようとする動きをさらに阻止することができた。これらの手法は、当時の主要な大規模コンピュータ犯罪であった海賊版ソフトウェアや映画の制作・配布を行う犯罪者に対して効果的であった。[ 1 ]
2010年代までに、コンピュータ犯罪の状況は、合法的なコンピュータの使用状況とともに変化しました。犯罪者はインターネットを犯罪の手段として利用する傾向が強まり、ほとんどの時間オンライン状態を維持する必要がありました。そのため、犯罪活動の秘密性を保ちつつ、ロック画面やパスワード保護などのコンピュータセキュリティ機能を活用しました。[ 1 ]
これらの理由から、法執行機関は現在、コンピュータの電源がオンになって使用されており、コンピュータ上とオンラインの両方のすべてのアカウントが開かれログインされており、したがって簡単に検索できる状態でサイバー犯罪の容疑者を逮捕しようとしています。[ 1 ]そのような状態でコンピュータを押収できなかった場合、パスワード保護を回避するいくつかの方法を利用できますが、警察が利用できる時間よりも長くかかる可能性があります。容疑者にパスワードを放棄するように強制することは法的に不可能である可能性があります。多くのコンピュータ犯罪捜査が行われている米国では、裁判所は、指紋、網膜スキャン、またはキーなどのデータを保護する物理的な手段を容疑者に使用させることと、パスワードやパスコードではなく、容疑者の精神的プロセスの産物であるため、修正第5条によって強制開示から保護されていることを区別しています。[ 5 ]
当局(法執行機関などの公的機関や企業などの民間組織)が、不適切に使用されていると思われるコンピュータ(通常はノートパソコン)を押収する際の通常の手法は、まず、疑わしいユーザーをコンピュータから物理的に隔離し、触れられないようにすることです。これにより、蓋を閉じたり、プラグを抜いたり、コマンドを入力したりするのを阻止します。その後、USBポートにマウス、タッチパッド、キーボードの軽微な動作を偽装するデバイスを設置することが多く、コンピュータがスリープモードに入るのを阻止します。スリープモードに入ると、通常はパスワードが必要となるロック画面に戻ります。 [ 6 ]
オンライン闇市場「シルクロード」の創設者ロス・ウルブリヒトを捜査していた米国連邦捜査局(FBI)の捜査官たちは、彼がサンフランシスコ公共図書館の支部で利用可能な無線ネットワークを利用して、ノートパソコンから頻繁にサイトを運営していたことを突き止めた。捜査官を逮捕するのに十分な証拠が揃うと、捜査官たちは彼がコンピューターの電源を入れ、ログインした状態でシルクロードを運営している現場を捉える計画だった。捜査官たちは、彼が暗号化を発動させたり、証拠を消去したりできないようにする必要があった。[ 3 ]
2013年10月、グレンパーク支店のウルブリヒトが勤務していた場所の近くで、男女の捜査官が恋人同士の喧嘩を装った。Business Insiderによると、ウルブリヒトが気を取られて様子を見ようと立ち上がると、女性捜査官が彼のノートパソコンを掴み、男性捜査官がウルブリヒトを拘束した。その後、女性捜査官はノートパソコンのUSBポートの1つにフラッシュドライブを挿入し、キーファイルをコピーするソフトウェアを入手した。[ 3 ] Wiredのジョシュア・ベアマンによると、ウルブリヒトが恋人同士の喧嘩に気を取られている隙に、3人目の捜査官がノートパソコンを掴み、トム・キアナン捜査官に渡したという。[ 7 ]
使用
ウルブリヒトの逮捕の状況を受けて、[ 4 ] Hephaest0sとして知られるプログラマーがPythonでUSBKillコードを開発し、2014年にGitHubにアップロードしました。これはGNU一般公衆利用許諾書の下でフリーソフトウェアとして利用可能であり、現在はLinuxとOS Xの両方で動作します。[ 4 ]
このプログラムをインストールすると、ユーザーはUSBポート経由でコンピュータに接続できるデバイスのホワイトリストを作成するように求められます。このホワイトリストは調整可能なサンプルレートでチェックされます。ユーザーはまた、ホワイトリストにないUSBデバイスを検出した場合にコンピュータが取るアクションを選択することもできます(デフォルトでは、シャットダウンし、RAMとスワップファイルからデータを消去します)。ユーザーはrootとしてログインする必要があります。Hephaest0sは、攻撃者によるアクセスを完全に防ぐには、USBKillに加えて少なくとも部分的なディスク暗号化を使用する必要があると警告しています。 [ 4 ] Gizmodoは、コンピュータの再起動時には存在しない仮想マシンを使用することを推奨しています。[ 8 ]
また、逆の用途も可能で、USBポートにホワイトリストに登録されたフラッシュドライブを、ストラップを介してユーザーの手首に装着し、鍵として使うこともできます。この場合、フラッシュドライブが強制的に取り外されると、プログラムは目的のルーチンを開始します。「[このプログラムは]一つのことだけを実行するように設計されています」と、アーロン・グロテは2600年のUSBKillに関する短い記事で述べています。「そして、その目的を非常にうまく果たしています。」さらに、誰かが押収されたコンピュータでこのプログラムを探して無効化しようとする場合に備えて、コンピュータにロードしたら、無害な名前に変更することを推奨しています。[ 6 ]
Hephaest0sは、その設計目的に加えて、警察や検察の妨害というユーザーの願望とは無関係な用途も示唆しています。一般的なセキュリティ対策の一環として、保護されたコンピュータへのマルウェアやスパイウェアの不正インストールやファイルのコピーを防ぐために使用できます。また、脅威の恐れがない場合でも、堅牢なセキュリティ対策の一環として一般的な使用が推奨されています。[ 4 ]
バリエーションと修正
Grothe氏は2600号の記事で、ホワイトリストに登録されていないUSBが端末に挿入された際にネットワークをシャットダウンする機能を含むパッチを公開した。[ 6 ]もう一人のプログラマー、Nate Brune氏は、USBKillのロード可能なカーネルモジュール版であるSilk Guardianを作成し、「このプロジェクトを楽しみながら学ぶためのLinuxカーネルドライバーとして作り直した」。[ 9 ] Grothe氏の記事に続く2600号では、Jack D. Ripperという名の別のライターが、ライブフラッシュドライブ向けに設計されたオペレーティングシステムであるNinja OSがこの問題をどのように処理するかを説明した。Ninja OSは、メモリ常駐のbashスクリプト形式のウォッチドッグタイマーを使用し、ブートデバイス(つまりフラッシュドライブ)を1秒あたり3回ループしてマウントされているかどうかを確認し、マウントされていない場合はコンピューターを再起動します。[ 10 ]
参照
参考文献
- ^ a b c d Ducklin, Paul (2015年5月8日). 「USBKILLアンチフォレンジックツール – 謳い文句通りの機能は果たさない」 . Naked Security . Sophos . 2015年5月29日閲覧。
- ^ Hephaest0s (2016年1月18日). "usbkill.py" . GitHub . 2016年5月29日閲覧。
{{cite web}}: CS1 maint: 数値名: 著者リスト (リンク) - ^ a b cナターシャ・バートランド(2015年5月29日)「FBIは、ウェブ最大の違法薬物市場の首謀者を捕まえるため、恋人同士の喧嘩を仕掛けた」 Business Insider 2016年5月30日閲覧。
- ^ a b c d e Hephaest0s (2016). 「Hephaest0s/usbkill」 . GitHub . 2016年5月29日閲覧。
{{cite web}}: CS1 maint: 数値名: 著者リスト (リンク) - ^ Vaas, Lisa (2014年11月3日). 「警察は携帯電話のロック解除に指紋の提出は要求できるが、パスコードの提出は要求できないと判事が判断」Naked Security . 2016年4月23日時点のオリジナルよりアーカイブ。 2016年5月31日閲覧。
- ^ a b cグローテ、アーロン(2015-16年冬)。「USBKill:非常に偏執的なコンピュータユーザーのためのプログラム」2600 :ザ・ハッカー・クォータリー。32 (4):10-11。
- ^ベアマン、ジョシュア(2015年5月)「シルクロードの興亡 パートII」Wired。2016年10月20日閲覧。
- ^ミルズ、クリス(2015年5月5日)「シンプルなコードでUSBドライブをコンピューターのキルスイッチに変える」 Gizmodo 2016年6月4日閲覧。
- ^ Brune, Nate. 「Silk Guardian」 . GitHub . 2024年2月5日閲覧。
- ^リッパー、ジャック・D.(2016年春)「USBKill.py問題に対するもう一つの解決策」2600.33 (1) : 48-49 .
外部リンク
