وجدت دراسة جديدة أجراها هانيويل أن محركات أقراص USB القابلة للإزالة "فجأة" تشكل تهديدًا ، تم وصفها بأنها "مهمة ومتعمدة" لحماية شبكات التحكم في العمليات الصناعية.
ينص التقرير على أن 44٪ على الأقل من محركات أقراص USB التي تم تحليلها اكتشفت وحظرت ملفًا واحدًا على الأقل يهدد الأمان. كان ربع الملفات المكتشفة (26٪) قادرًا على التسبب في أضرار جسيمة ، ونتيجة لذلك يمكن للمشغلين أن يفقدوا القدرة على رؤية أو إدارة تقدم العمليات. ومن بين التهديدات المكتشفة مثل TRITON و Mirai وأشكال مختلفة من دودة Stuxnet. أظهر تحليل مقارن أيضًا أن الأدوات التقليدية لحماية البرامج الضارة لا يمكنها اكتشاف ما يصل إلى 11٪ من التهديدات المكتشفة.
مع الأخذ في الاعتبار أن مهمة حماية وتقييد الوصول إلى شبكات الشركات تحظى تقليديًا باهتمام أكبر من التحكم بالجهاز ، فإن ضعف المؤسسات من محركات أقراص USB القابلة للإزالة يصبح أكثر وضوحًا.
وغالبا ما يتم دفع القليل جدا من الاهتمام. لذلك ، كان أحد الموضوعات المثيرة التي رافقت الانتخابات الرئاسية الأمريكية لعام 2016 اختراق قرص البريد الخاص بالحزب الديمقراطي (DNC) بسرقة كميات هائلة من المراسلات. وفقًا للديمقراطيين والمسؤولين ، تم تنفيذ عملية القرصنة من رومانيا ، وشارك المتسللون الروس أو الخدمات الخاصة في القضية ، وقد تم ذلك من أجل محاولة التدخل في الانتخابات - وجميع الإصدارات الأخرى ليست أكثر من "نظرية مؤامرة".
أجريت دراسة بديلة للخلفية الفنية للفضيحة من قبل مجموعات مستقلة من الخبراء المؤهلين من ذوي الخبرة في مجال الاستخبارات والطب الشرعي والطب الشرعي. استندت استنتاجات الخبراء إلى تقييم لمقدار المواد المزعومة ومعدل نقل البيانات. أظهر تحليل للبيانات الوصفية أنه في مساء يوم 5 يوليو 2016 ، تم تنزيل 1976 ميجابايت من البيانات من خادم DNC. استغرقت العملية 87 ثانية ، مما يعني أن معدل نقل البيانات يبلغ 22.7 ميجابايت / ثانية. في الوقت نفسه ، لا يمكن لمزود خدمة إنترنت واحد أن يستخدمه المتسلل في عام 2016 المسموح به لنقل البيانات بهذه السرعة ، وحتى من خلال النقل عبر الأطلسي إلى رومانيا. تم تحقيق أعلى متوسط لسرعات مزود خدمة الإنترنت في النصف الأول من عام 2016 من قبل مزودي Xfinity و Cox Communications وبلغ متوسطهم 15.6 و 14.7 ميجابايت / ثانية على التوالي. تم تسجيل سرعات الذروة مع سرعات أعلى بشكل متقطع ، ولكن لم تصل بعد إلى 22.7 ميغابايت المطلوبة في الثانية. هذا يعني أن السرعة المطلوبة للتطفل الخارجي لا تزال غير قابلة للوصول ، وهو ما يدحض نظرية اختراق خادم البريد من الخارج.
في نفس الوقت ، 23 ميغابايت / ثانية هو معدل نقل نموذجي عند استخدام محرك أقراص فلاش USB 2! بالإضافة إلى ذلك ، يعتقد الخبراء أن كمية البيانات المسروقة كبيرة جدًا بحيث لا يمكن نقلها عبر الإنترنت. كل هذا يتيح لنا أن نستنتج أن سرقة البيانات من خادم البريد DNC تم تنفيذها من قبل شخص لديه حق الوصول الفعلي إلى الخادم عن طريق نقل البيانات إلى محرك أقراص USB خارجي.
منذ وقت ليس ببعيد ، نشرت دراسة أخرى مثيرة للاهتمام من قبل خبراء أستراليين من جامعة أديليد. لقد قاموا باختبار أكثر من 50 جهاز كمبيوتر ولوحة وصل USB خارجية ووجدوا أن أكثر من 90 بالمائة منهم يقومون بنقل المعلومات إلى جهاز USB خارجي ليس وجهة مباشرة لنقل البيانات. وقال يوفال ياروم: " كان يُعتقد أنه نظرًا لأن المعلومات تُنقل فقط بطريقة مباشرة بين جهاز USB وجهاز كمبيوتر ، فإنها محمية من الأجهزة التي يحتمل أن تكون معرضة للخطر " ، لكن أبحاثنا أظهرت أنه إذا كانت الأجهزة الضارة متصلة بمنافذ مجاورة على نفس محور USB خارجي أو داخلي ، قد يتم اختطاف هذه المعلومات الحساسة بواسطة جهاز ضار . " اكتشف الباحثون أن الحديث المتبادل يتسرب داخل محاور USB ، على غرار انتشار المياه في الأنابيب ، مما يعني أنه يمكنك استخدام المنافذ المجاورة على محور USB لسرقة البيانات بشكل ضار. كاختبار لتأكيد الفرضية ، استخدم الباحثون جهازًا رخيصًا معدلاً مع موصل USB إضافي لقراءة كل ضغطة من واجهة لوحة مفاتيح USB المجاورة ، وبعد ذلك تم إرسال البيانات التي تم اعتراضها عبر Bluetooth إلى كمبيوتر آخر.
تشير كل من الدراسة في إحدى الجامعات الأسترالية وتحليل تسرب المراسلات البريدية من خادم DNC بشكل مباشر إلى أن الاتجاه السائد في السنوات الأخيرة إلى نسيان وتقليل مستوى تسرب البيانات المرتبطة باستخدام أجهزة USB خاطئ بشكل قاطع وحتى ضار. نعم ، تستخدم الرسائل الفورية والمستودعات السحابية اليوم ، ولكن لا تزال واجهة USB القديمة الجيدة ومحرك الأقراص المحمول البدئي لبضعة غيغابايت متاحة لكل مهاجم محتمل في أي مؤسسة ، مما يعني أن استخدامها لسرقة المعلومات السرية لا يزال ذا صلة ، علاوة على ذلك ، أبسط وأكثر فاعلية من الهجوم عبر المحيط الخارجي أو إلقاء البيانات عبر السحب والبريد. علاوة على ذلك ، ينبغي أيضًا أن توضع إمكانية حدوث هجوم بالبرامج الضارة من محرك أقراص USB قابل للإزالة في الاعتبار كتهديد محتمل.
لا تزال بعض المؤسسات التي تجاهلت تهديد USB لسنوات عديدة تواجه المشكلة. كما يقولون ، في وقت لاحق أفضل من عدمه. لذلك ، في ربيع عام 2018 ، حظرت IBM موظفيها من استخدام أجهزة التخزين القابلة للإزالة. في توجيه لموظفي Global CIO ، قالت Shamla Naidoo إن الشركة " توسع ممارسة حظر نقل البيانات لتشمل جميع أجهزة التخزين المحمولة القابلة للإزالة (USB ، بطاقة SD ، محرك أقراص محمول) ." تم الاستشهاد بالضرر المالي والسمعي المحتمل الناجم عن فقد أجهزة التخزين القابلة للنقل أو الاستخدام غير الصحيح لها. كان النهج الجذري لحظر USB ببساطة. في الوقت نفسه ، أوصى المطورين باستخدام خدمة المزامنة السحابية وتبادلها لتخزين البيانات ونقلها.
ذهب وحش آخر للاقتصاد العالمي ، وهو Amazon.com ، وهو تاجر تجزئة عبر الإنترنت ، باسم مكافحة الاحتيال من قبل الموظفين الذين يسربون المعلومات الداخلية إلى البائعين المستقلين ، إلى طرد الموظفين المشتبه بهم في الولايات المتحدة والهند بسبب وصولهم بشكل غير قانوني إلى البيانات الداخلية. لمنع الاحتيال والتسريبات ، حدت Amazon من قدرة موظفي الدعم الفني على البحث في قاعدة البيانات الداخلية ، كما حظرت استخدام منافذ USB.
لا نعرف الطرق والوسائل لحظر USB التي تم اختيارها من قِبل IBM و Amazon ، ولكن بالنظر إلى المعلومات التي تفكر فيها IBM حول إمكانية تقديم استثناءات عند حظر منفذ USB للعاملين الفرديين ، فإن هذا بالكاد منتج DLP متكامل.
لسوء الحظ ، لا تزال العديد من الحلول الموضوعة كـ DLP تعمل مع واجهة USB ومتصلة من خلالها على مستوى إدارة الأجهزة ، ما عليك سوى قطع اتصال الجهاز على مستوى التطبيق ، أو منع بدء تشغيل برنامج تشغيل الجهاز. هذه "الحماية" ليست ضعيفة بصراحة فحسب ، بل قد تكون خطرة أيضًا ، حيث إنها تخلق إحساسًا خاطئًا بالأمان - وبالتأكيد لا تمنع البرامج الضارة بأي شكل من الأشكال من مهاجمة كمبيوتر من محرك أقراص فلاش USB.
يتحقق التحييد النوعي للتهديدات المرتبطة باستخدام واجهة USB من خلال مجموعة مرنة من وظائف المراقبة والتحكم في الوصول للأجهزة المتصلة عبر واجهة USB والتحكم في واجهة USB نفسها من أجل التحكم في الأجهزة التي لا يصنفها نظام التشغيل كجهاز تخزين ، ولكنها قناة تسرب محتملة اختراق البيانات أو البرامج الضارة.
في الختام ، أود أن أشير إلى أن منتجنا DeviceLock DLP ، منذ الإصدار DeviceLock 5.5 ، الذي تم نشره في عام 2003 ، يوفر تحكمًا كاملاً في منافذ USB و FireWire. يؤدي استخدام DeviceLock DLP إلى منع سرقة المعلومات عن طريق الدخلاء الداخليين من خلال أجهزة USB ومحركات الأقراص القابلة للإزالة والأقراص وغيرها من الأجهزة الخارجية المتصلة ، بالإضافة إلى قناة الطباعة والبريد الإلكتروني والرسائل الفورية وخدمات تبادل الملفات وقنوات أخرى لنقل البيانات. بالإضافة إلى ذلك ، يوفر دعم تسجيل الأحداث ونسخ الظل في DeviceLock DLP وثائق قانونية ودليلًا على محاولات الوصول وحقائق نسخ بيانات محددة.