Eksperyment: jak łatwo podłączyć pamięć USB do komputerów w instytucjach rządowych i firmach
Firma Kaspersky Lab dokonała audytu kilku europejskich organizacji. Okazało się, że wiele z nich zostawia otwarte drzwi dla cyberprzestępców.
Jak informują eksperci z laboratorium Kaspersky Lab zajmującego się bezpieczeństwem komputerowym, nawet mało wyrafinowane ataki na korporacyjne sieci mogą zakończyć się powodzeniem i to bez konieczności inwestowania przez cyberprzestępców w kosztowne oprogramowanie. Takie wnioski wyciągnięto wspólnie z Outpost24 po przeprowadzanym audycie bezpieczeństwa w europejskich organizacjach.
Zdaniem ekspertów, obecnie cyberprzestępcy w dalszym ciągu wykorzystują znane luki w zabezpieczeniach. To skutek powolnego ich łatania, szacuje się, że średni czas załatania błędu w zabezpieczeniach wynosi od 60 do 70 dni, a to już wystarczy, aby wykonać zaplanowany atak.
Niestety bardzo często krytyczne luki w zabezpieczeniach są naprawiane w ciągu trzech miesięcy. Jednak około 77% zagrożeń, które przekroczyły ten trzymiesięczny termin, było nadal obecne w systemie po upłynięciu roku od ich wykrycia. Podczas badania zebrano dane dotyczące luk w zabezpieczeniach pochodzących z 2010 roku i znaleziono nawet takie systemy, które były narażone na ataki przez ostatnie trzy lata. Co ciekawe, niektóre systemy korporacyjne pozostawały niezałatane przez dziesięć lat, mimo że firmy płaciły za specjalną usługę monitorowania ich bezpieczeństwa.
Po dokonaniu wstępnej analizy, David Jacoby - starszy specjalista ds. bezpieczeństwa z firmy Kaspersky Lab, postanowił przeprowadzić eksperyment socjotechniczny, aby sprawdzić, jak łatwo można podłączyć pamięć USB do komputerów w instytucjach rządowych, hotelach i prywatnych firmach.
W tym celu ubrany w garnitur zabrał ze sobą pamięć USB zawierającą jedynie jego życiorys w formacie PDF i wyruszył pytać personel w recepcjach 11 organizacji, czy mogłyby pomóc mu wydrukować dokument na umówione spotkanie w zupełnie niepowiązanym miejscu z daną organizacją.
Grupa poddana audytowi bezpieczeństwa objęła trzy hotele z różnych sieci, sześć organizacji rządowych oraz dwie duże prywatne firmy. Na komputerach znajdujących się w organizacjach rządowych przechowywane są zwykle poufne informacje dotyczące obywateli, podczas gdy maszyny zlokalizowane w największych prywatnych firmach najprawdopodobniej zawierają połączenia sieciowe z innymi firmami, natomiast hotele to miejsca, w których często zatrzymują się podczas podróży dyplomaci, politycy i dyrektorzy najwyższego szczebla.
Jak się okazuje, tylko jeden z hoteli zgodził się podłączyć urządzenie Davida do swojego komputera, pozostałe dwa odmówiły. Co ciekawe wszystkie prywatne firmy również odrzuciły jego prośbę. Jednak z sześciu odwiedzonych organizacji rządowych aż cztery podjęły się próby pomocy Davidowi, podłączając jego pamięć USB do komputera. W dwóch przypadkach port USB był zablokowany, więc personel poprosił go, aby wysłał plik za pośrednictwem poczty e-mail.
.jpg/475x0x1.jpg)
„Zaskakujący jest fakt, że hotele i prywatne firmy wykazywały większą świadomość i posiadały lepsze standardy bezpieczeństwa niż organizacje rządowe. Na podstawie tego bezpośredniego doświadczenia można stwierdzić, że rzeczywiście istnieje problem. Przeprowadzony przez nas audyt bezpieczeństwa można odnieść do każdego kraju, ponieważ czas, jaki upływa od wykrycia luki w zabezpieczeniach do załatania jej, istnieje wszędzie, w każdym kraju. Wynik mojego eksperymentu z pamięcią USB to również sygnał alarmowy pokazujący, że wdrożenie nowoczesnego rozwiązania bezpieczeństwa to nie wszystko - równie istotne znaczenie ma poinstruowanie personelu, że należy zachować rozwagę” – powiedział David Jacoby, starszy specjalista ds. bezpieczeństwa, Globalny zespół ds. badań i analiz (GReAT), Kaspersky Lab.
„Smutne jest to, że firmy tracą cenne zasoby na ochronę przed potencjalnymi zagrożeniami przyszłości, podczas gdy nadal nie potrafią poradzić sobie z obecnymi i starymi rodzajami ataków. Czy problemem jest stosowanie nieodpowiednich praktyk bezpieczeństwa, źle skonfigurowane aplikacje czy personel, któremu brakuje szkolenia z zakresu bezpieczeństwa, firmy powinny mieć świadomość, że można przejąć kontrolę nad większą częścią organizacji nawet bez stosowania nowych i wyrafinowanych metod. Dlatego istotna jest zmiana podejścia do bezpieczeństwa – zrezygnowanie z samodzielnych narzędzi na rzecz zintegrowanych rozwiązań w ramach procesów biznesowych” – powiedział Martin Jartelius, główny specjalista ds. bezpieczeństwa w Outpost24.
Źródło: Kaspersky Lab, nsslabs
Komentarze
14jak mam wyłączony autostart, antywirus w tle a pliki otwieram przez daną aplikacje a nie dwuklik to co mi się stanie
a co w tym ciekawego - te techniki stosował Kevin Mitnick wiele lat temu i to on stwierdził że łatwiej hakować ludzi niż sprzęt - stąd powstają podwójne zabezpieczenia (np kod jenorazowy SMS lub e-mailem) bo samo hasło dziś jest niewiele warte jeśli pani z biura ma je przyklejone do monitora
"usb - to ze nic z nich nie uruchamiasz nie oznacza ze system nic z nimi nie robi.
Czesc ciekawych trojanow przenosi sie wlasnie w ten sposob bo dane z urzadzen przenosnych sa przetwarzane przez system bez Twojej wiedzy."
jeszcze nigdy system sam nie robił nic z moim pendrivem o czym bym nie wiedział (np vista często chce skanować USB ale nie pozwalam)
na mój pendrive nic samo się nie umiesci ani nie skopiuje (pisałem autostart wyłączony) pendrive ma zablokowany plik autorun.inf (dzięki Panda USB Vaccine) a program czy COKOLWIEK innego muszę SAM uruchomić!!!
Pozatym używam Unreal Commandera bo nie lubie jak mi system tworzy pełno plików Thumb w każdym katalogu z multimediami
czekam na odpowiedź
Pracownicy tamtych instytycji rzadowych chetnie pomoga - przeciez za materialy eksploatacyjne placa podatnicy :) Szef firmy prywatnej tez sie nie liczy z wolnym czasem pracownika - nie ma czasu na rzeczy niezwiązane z praca :)
akurat blaster korzystał z błędów systemu w procedurze RPC na co nic nie można było poradzić (poza aktualizacją która była dostępna wcześniej ale wiadomo jak zwykli ludzie aktualizują system)
dobry pomysł z piaskownicą ale czy mógłbyś napisać jak to realizujesz?
chodzi mi jak to zrobić pani w biurze aby działało automatycznie?
znam np program sanboxie ale aż na tyle się nie zagłębiałem - moze używasz czegoś innego lub dodatkowo innych programów
może warto by czytelnikom benchmark napisać takie porady bezpieczeństwa
co wy na to?
To, że Pani W Okienku ma dostęp do jakiś danych to nie jest żadne odkrycie, pendrive z wydrukiem to żaden problem, czy to pdf, czy doc czy exe, chyba, że nie słyszał nikt o antywirusach, które skanują takie urządzenia... no i właśnie wirusy, może w końcu Pani W Okienku przesiądzie się na Linuxa?
Problem polega na tym właśnie, że działy IT zlewają całe bezpieczeństwo, bo jak firma (czy to priv czy to budżetówka) stwierdzi, że nie ma kasy na antywirusa albo wdrożenie Alternatywnego OS to łatwiej i prościej jest Pani Z Okienka postawić nowego kompa albo odzyskać obraz bo i tak się loguje zdalnie na jakiś interface via WWW a lokalnie żadna (porządna) firma nie trzyma nic na dyskach (poza prywatnymi plikami pracowników de facto, zdjęcia z chrzcin, muzyka). Tam gdzie jest wymagane bezpieczeństwo, podkreślam słowo bezpieczeństwo to "gość w garniutrze" nawet nie wejdzie (np: księgowość) a terminalne dla pracowników mogą być bezdyskowe i już mamy snadboxa.
Wracając do haseł. No to powiedzcie mi jak zarządzać tysiącami haseł? Spisywać - też głupota. 90% routerów do którego uzyskałem legalnie klucz w firmach, poczekalniach, etc ma domyśle hasła na admina lub ich wariację i co? I nic, najczęściej routery i tak izolowane od newralgicznej części firmy. Inna sprawa hasła dla pracowników, nikt z pracowników nie zapamięta hasła xA4rU73q, bo to dla Pani Z Okienka jakiś absurd, zapisze, przyklei na monitor i tyle. Trzeba uświadamiać i straszyć konskwencjami, ale na to też trzeba kasy a są zawsze ważniejsze sprawy (np: nowe leasing na samochód prezesa)