Eine neue Studie von Honeywell ergab, dass austauschbare USB-Laufwerke „plötzlich“ eine Bedrohung darstellen, die als „erheblich und absichtlich“ bezeichnet wird, um industrielle Prozesssteuerungsnetzwerke zu schützen.
Dem Bericht zufolge haben mindestens 44% der analysierten USB-Laufwerke mindestens eine sicherheitsbedrohliche Datei erkannt und blockiert. Ein Viertel (26%) der erkannten Dateien konnte schwerwiegende Schäden verursachen, wodurch die Bediener möglicherweise nicht mehr in der Lage waren, den Fortschritt des Betriebs zu sehen oder zu verwalten. Zu den erkannten Bedrohungen gehörten TRITON, Mirai und verschiedene Formen des Stuxnet-Wurms. Eine vergleichende Analyse ergab auch, dass herkömmliche Tools zum Schutz vor Malware nicht bis zu 11% der erkannten Bedrohungen erkennen konnten.
In Anbetracht der Tatsache, dass der Schutz und Einschränkung des Zugriffs auf Unternehmensnetzwerke traditionell mehr Aufmerksamkeit geschenkt wird als der Gerätesteuerung, wird die Verwundbarkeit von Organisationen durch austauschbare USB-Laufwerke noch offensichtlicher.
Und oft wird zu wenig Aufmerksamkeit geschenkt. Eines der sensationellen Themen, die die US-Präsidentschaftswahlen 2016 begleiteten, war das Hacken des Mailservers der Demokratischen Partei (DNC) mit dem Diebstahl großer Mengen an Korrespondenz. Demokraten und Beamten zufolge wurde das Hacking von Rumänien aus durchgeführt, und russische Hacker oder Sonderdienste nahmen an dem Fall teil, und dies geschah, um zu versuchen, sich in die Wahlen einzumischen - und alle anderen Versionen sind nichts weiter als eine „Verschwörungstheorie“.
Eine alternative Studie zum technischen Hintergrund des Skandals wurde von unabhängigen Gruppen qualifizierter Experten mit Erfahrung in den Bereichen Nachrichtendienste, Forensik und Forensik durchgeführt. Die Schlussfolgerungen der Experten basierten auf einer Bewertung der Menge an angeblich gehacktem Material und der Datenübertragungsrate. Eine Analyse der Metadaten ergab, dass am Abend des 5. Juli 2016, 1976, Megabyte Daten vom DNC-Server heruntergeladen wurden. Der Vorgang dauerte 87 Sekunden, was einer Datenübertragungsrate von 22,7 MB / s entspricht. Gleichzeitig durfte kein einziger Internetdienstanbieter, den ein Hacker im Jahr 2016 nutzen konnte, Daten mit einer solchen Geschwindigkeit und sogar durch eine transatlantische Übertragung nach Rumänien übertragen. Die höchsten durchschnittlichen ISP-Geschwindigkeiten im ersten Halbjahr 2016 wurden von Xfinity- und Cox Communications-Anbietern erzielt und lagen im Durchschnitt bei 15,6 bzw. 14,7 MB / s. Spitzengeschwindigkeiten mit höheren Geschwindigkeiten wurden zeitweise aufgezeichnet, haben jedoch immer noch nicht die erforderlichen 22,7 Megabyte pro Sekunde erreicht. Dies bedeutet, dass die für externes Hacken erforderliche Geschwindigkeit immer noch nicht erreichbar ist, was die Theorie des Hackens des Mailservers von außen widerlegt.
Gleichzeitig sind 23 MB / s eine typische Übertragungsrate bei Verwendung eines USB 2-Flash-Laufwerks! Darüber hinaus glauben Experten, dass die Menge der gestohlenen Daten für die Übertragung über das Internet zu groß ist. All dies lässt den Schluss zu, dass der Diebstahl von Daten vom DNC-Mailserver von einer Person durchgeführt wurde, die physischen Zugriff auf den Server hatte, indem Daten auf ein externes USB-Laufwerk übertragen wurden.
Vor nicht allzu langer Zeit wurde eine weitere sehr interessante Studie von australischen Experten der University of Adelaide veröffentlicht. Sie testeten mehr als 50 Computer und externe USB-Hubs und stellten fest, dass mehr als 90 Prozent von ihnen Informationen an ein externes USB-Gerät übertragen, das kein direktes Ziel für die Datenübertragung ist. " Es wurde angenommen, dass Informationen, die nur direkt zwischen einem USB-Gerät und einem Computer übertragen werden, vor potenziell gefährdeten Geräten geschützt sind", sagte Yuval Yarom. " Unsere Untersuchungen haben jedoch gezeigt, dass böswillige Geräte an benachbarten Ports an einem und einem angeschlossen sind." Über denselben externen oder internen USB-Hub können diese vertraulichen Informationen von einem böswilligen Gerät entführt werden . “ Forscher haben herausgefunden, dass in USB-Hubs Übersprechen austritt, ähnlich wie bei der Ausbreitung von Wasser in Rohren. Dies bedeutet, dass Sie benachbarte Ports an einem USB-Hub verwenden können, um Daten in böswilliger Absicht zu stehlen. Als Test zur Bestätigung der Hypothese verwendeten die Forscher ein modifiziertes, kostengünstiges Gerät mit einem steckbaren USB-Anschluss, um jeden Tastendruck von der benachbarten USB-Tastaturschnittstelle zu lesen. Anschließend wurden die abgefangenen Daten über Bluetooth an einen anderen Computer gesendet.
Sowohl eine Studie an einer australischen Universität als auch eine Analyse des Verlusts von E-Mail-Korrespondenz von einem DNC-Server zeigen direkt, dass die Tendenz in den letzten Jahren, den Grad des Datenverlusts im Zusammenhang mit der Verwendung von USB-Geräten zu vergessen und zu unterschätzen, kategorisch fehlerhaft und sogar schädlich ist. Ja, Instant Messenger und Cloud-Speicher werden heute verwendet, aber die gute alte USB-Schnittstelle und ein primitives Flash-Laufwerk für ein paar Gigabyte stehen jedem potenziellen Angreifer in jedem Unternehmen weiterhin zur Verfügung. Dies bedeutet, dass ihre Verwendung zum Stehlen vertraulicher Informationen immer noch relevant ist Einfacher und effektiver als Angriffe über den externen Perimeter oder das Speichern von Daten durch die Clouds und E-Mails. Darüber hinaus sollte die Möglichkeit eines Malware-Angriffs von einem austauschbaren USB-Laufwerk als potenzielle Bedrohung berücksichtigt werden.
Einige Organisationen, die die Bedrohung durch USB seit vielen Jahren ignoriert haben, haben immer noch das Problem. Wie sie sagen, besser später als nie. Im Frühjahr 2018 verbot IBM seinen Mitarbeitern die Verwendung von Wechseldatenträgern. In einer Richtlinie für Global CIO-Mitarbeiter sagte Shamla Naidoo, dass das Unternehmen " die Praxis des Verbots der Datenübertragung auf alle austauschbaren tragbaren Speichergeräte (USB, SD-Karte, Flash-Laufwerk) erweitert ". Als Argument wurde der mögliche finanzielle und Reputationsschaden durch den Verlust oder die falsche Verwendung von Wechselspeichern angeführt. Der radikale Ansatz bestand darin, USB einfach zu verbieten. Gleichzeitig wurde den Entwicklern empfohlen, ihren eigenen Cloud-Synchronisations- und Austauschdienst für die Datenspeicherung und -übertragung zu verwenden.
Ein weiteres Monster der Weltwirtschaft, Amazon.com, ein Online-Händler, entließ im Namen der Betrugsbekämpfung durch Mitarbeiter, die interne Informationen an unabhängige Verkäufer weitergaben, mutmaßliche Mitarbeiter in den USA und Indien, weil sie angeblich illegal Zugang zu Insiderdaten erhalten hatten. Um Betrug und Undichtigkeiten zu vermeiden, hat Amazon die Möglichkeiten des technischen Supports eingeschränkt, die interne Datenbank zu durchsuchen, und die Verwendung von USB-Anschlüssen verboten.
Wir wissen nicht, welche Methoden und Mittel zum Blockieren von USB von IBM und Amazon ausgewählt wurden. Angesichts der Informationen, die IBM über die Möglichkeit der Bereitstellung von Ausnahmen beim Blockieren des USB-Anschlusses für einzelne Mitarbeiter in Betracht zieht, handelt es sich jedoch kaum um ein vollwertiges DLP-Produkt.
Leider funktionieren viele als DLP positionierte Lösungen immer noch mit der USB-Schnittstelle und sind über diese auf Geräteebene verbunden, indem das Gerät einfach auf Anwendungsebene getrennt oder der Start des Gerätetreibers verhindert wird. Ein solcher "Schutz" ist nicht nur offen gesagt schwach, sondern auch potenziell gefährlich, da er ein falsches Sicherheitsgefühl erzeugt - und die Malware keinesfalls daran hindert, einen Computer von einem USB-Flash-Laufwerk aus anzugreifen.
Die qualitative Neutralisierung von Bedrohungen im Zusammenhang mit der Verwendung der USB-Schnittstelle wird durch eine flexible Kombination von Überwachungs- und Zugriffssteuerungsfunktionen für über die USB-Schnittstelle angeschlossene Geräte und die Steuerung der USB-Schnittstelle selbst erreicht, um Geräte zu steuern, die vom Betriebssystem nicht als Speichergerät eingestuft werden, aber einen potenziellen Leckkanal darstellen Eindringen von Daten oder Malware.
Abschließend möchte ich darauf hinweisen, dass unser DeviceLock DLP- Produkt seit der 2003 veröffentlichten Version DeviceLock 5.5 die vollständige Kontrolle über die USB- und FireWire-Anschlüsse bietet. Die Verwendung von DeviceLock DLP verhindert den Diebstahl von Informationen durch interne Eindringlinge über USB-Geräte, Wechseldatenträger, Festplatten und andere angeschlossene externe Geräte sowie den Druckkanal, E-Mail, Instant Messenger, Filesharing-Dienste und andere Datenübertragungskanäle. Darüber hinaus bietet die Unterstützung für die Ereignisprotokollierung und das Kopieren von Schatten in DeviceLock DLP eine rechtliche Dokumentation und Nachweise für Zugriffsversuche sowie Fakten zum Kopieren bestimmter Daten.