Un nuevo estudio realizado por Honeywell encontró que las unidades USB extraíbles "repentinamente" representan una amenaza, descrita como "significativa y deliberada", para proteger las redes de control de procesos industriales.
El informe indica que al menos el 44% de las unidades USB analizadas detectaron y bloquearon al menos un archivo que amenaza la seguridad. Una cuarta parte (26%) de los archivos detectados fueron capaces de causar daños graves, como resultado de lo cual los operadores podrían perder la capacidad de ver o administrar el progreso de las operaciones. Entre las amenazas detectadas se encuentran TRITON, Mirai, diversas formas del gusano Stuxnet. Un análisis comparativo también mostró que las herramientas tradicionales de protección contra malware no podían detectar hasta el 11% de las amenazas detectadas.
Teniendo en cuenta que la tarea de proteger y restringir el acceso a las redes corporativas tradicionalmente recibe más atención que el control de dispositivos, la vulnerabilidad de las organizaciones de unidades USB extraíbles se vuelve aún más evidente.
Y a menudo se presta muy poca atención. Entonces, uno de los temas sensacionales que acompañaron las elecciones presidenciales de los EE. UU. De 2016 fue piratear el servidor de correo del Partido Demócrata (DNC) con el robo de grandes cantidades de correspondencia. Según los demócratas y los funcionarios, el pirateo se llevó a cabo desde Rumanía, y los piratas informáticos rusos o los servicios especiales participaron en el caso, y esto se hizo en aras de intentar interferir en las elecciones, y todas las demás versiones no son más que una "teoría de la conspiración".
Un estudio alternativo de los antecedentes técnicos del escándalo fue realizado por grupos independientes de expertos calificados con experiencia en inteligencia, medicina forense y forense. Las conclusiones de los expertos se basaron en una evaluación de la cantidad de material presuntamente pirateado y la tasa de transferencia de datos. Un análisis de metadatos mostró que en la noche del 5 de julio de 2016, se descargaron 1976 megabytes de datos del servidor DNC. La operación tomó 87 segundos, lo que significa una velocidad de transferencia de datos de 22.7 MB / s. Al mismo tiempo, ni un solo proveedor de servicios de Internet que un pirata informático en 2016 podría usar permitía transferir datos a esa velocidad, e incluso a través de una transferencia transatlántica a Rumania. Los proveedores de Xfinity y Cox Communications alcanzaron las velocidades promedio más altas de ISP en el primer semestre de 2016 y promediaron 15.6 y 14.7 MB / s, respectivamente. Las velocidades máximas con velocidades más altas se registraron de forma intermitente, pero aún no han alcanzado los 22.7 megabytes por segundo requeridos. Esto significa que la velocidad requerida para la piratería externa sigue siendo inalcanzable, lo que refuta la teoría de piratear el servidor de correo desde el exterior.
¡Al mismo tiempo, 23 MB / s es una velocidad de transferencia típica cuando se usa una unidad flash USB 2! Además, los expertos creen que la cantidad de datos robados es demasiado grande para su transmisión a través de Internet. Todo esto nos permite concluir que el robo de datos del servidor de correo DNC fue realizado por una persona que tenía acceso físico al servidor mediante la transferencia de datos a una unidad USB externa.
No hace mucho tiempo, expertos australianos de la Universidad de Adelaida publicaron otro estudio muy interesante. Probaron más de 50 computadoras y concentradores USB externos y descubrieron que más del 90 por ciento de ellos transfieren información a un dispositivo USB externo que no es un destino directo para la transferencia de datos. " Se creía que, dado que la información se transmite solo de manera directa entre un dispositivo USB y una computadora, está protegida contra dispositivos potencialmente comprometidos ", dijo Yuval Yarom, " pero nuestra investigación ha demostrado que si los dispositivos maliciosos están conectados a puertos vecinos en uno y el mismo concentrador USB externo o interno, esta información confidencial puede ser secuestrada por un dispositivo malicioso ". Los investigadores han descubierto que la diafonía está goteando dentro de los concentradores USB, similar a la propagación del agua en las tuberías, lo que significa que puede usar puertos vecinos en un concentrador USB para robar datos maliciosamente. Como prueba para confirmar la hipótesis, los investigadores utilizaron un dispositivo económico modificado con un conector USB enchufable para leer cada pulsación de tecla desde la interfaz del teclado USB vecino, después de lo cual los datos interceptados se enviaron por Bluetooth a otra computadora.
Tanto un estudio en una universidad australiana como un análisis de la fuga de correspondencia de correo de un servidor DNC indican directamente que la tendencia en los últimos años a olvidar y subestimar el nivel de fuga de datos asociada con el uso de dispositivos USB es categóricamente errónea e incluso perjudicial. Sí, hoy se usan mensajería instantánea y almacenamiento en la nube, pero la buena interfaz USB y una unidad flash primitiva para un par de gigabytes todavía están disponibles para cada atacante potencial en cualquier organización, lo que significa que su uso para robar información confidencial sigue siendo relevante, y además, es mucho más simple y más efectivo que atacar a través del perímetro externo o descargar datos a través de las nubes y el correo. Además, la posibilidad de un ataque de malware desde una unidad USB extraíble también debe tenerse en cuenta como una amenaza potencial.
Algunas organizaciones que han ignorado la amenaza de USB durante muchos años todavía tienen el problema. Como dicen, mejor más tarde que nunca. Entonces, en la primavera de 2018, IBM prohibió a sus empleados el uso de dispositivos de almacenamiento extraíbles. En una directiva para los empleados de Global CIO, Shamla Naidoo dijo que la compañía está " ampliando la práctica de prohibir la transferencia de datos a todos los dispositivos de almacenamiento portátiles extraíbles (USB, tarjeta SD, unidad flash) ". El posible daño financiero y de reputación por la pérdida o el uso incorrecto de dispositivos de almacenamiento extraíbles se citó como argumento. El enfoque radical era simplemente prohibir USB. Al mismo tiempo, se recomendó a los desarrolladores que usaran su propio servicio de sincronización e intercambio en la nube para el almacenamiento y la transmisión de datos.
Otro monstruo de la economía global, Amazon.com, un minorista en línea, despidió a los presuntos empleados en los EE. UU. Y la India por presuntamente obtener acceso ilegal a información privilegiada, en nombre de la lucha contra el fraude por parte de los empleados que filtran información interna a vendedores independientes. Para evitar fraudes y fugas, Amazon ha limitado la capacidad del personal de soporte técnico para buscar en la base de datos interna, y también ha prohibido el uso de puertos USB.
No sabemos qué métodos y medios para bloquear el USB fueron elegidos por IBM y Amazon, pero dada la información que IBM piensa sobre la posibilidad de proporcionar excepciones al bloquear el puerto USB para empleados individuales, este no es un producto DLP completo.
Desafortunadamente, muchas soluciones posicionadas como DLP aún funcionan con la interfaz USB y se conectan a través de ella en el nivel del Administrador de dispositivos, simplemente desconectando el dispositivo en el nivel de la aplicación o impidiendo que se inicie el controlador del dispositivo. Dicha "protección" no solo es francamente débil, sino también potencialmente peligrosa, ya que crea una falsa sensación de seguridad, y ciertamente no impide de ninguna manera que el malware ataque una computadora desde una unidad flash USB.
La neutralización de alta calidad de las amenazas asociadas con el uso de la interfaz USB se logra a través de una combinación flexible de funciones de monitoreo y control de acceso para dispositivos conectados a través de la interfaz USB y el control de la interfaz USB en sí para controlar dispositivos que no están clasificados por el sistema operativo como un dispositivo de almacenamiento, pero que son un posible canal de fuga penetración de datos o malware.
En conclusión, quiero señalar que nuestro producto DeviceLock DLP , desde la versión DeviceLock 5.5, publicado en 2003, proporciona un control completo de los puertos USB y FireWire. El uso de DeviceLock DLP evita el robo de información por parte de intrusos internos a través de dispositivos USB, unidades extraíbles, discos y otros dispositivos externos conectados, así como el canal de impresión, correo electrónico, mensajería instantánea, servicios de intercambio de archivos y otros canales de transferencia de datos. Además, el soporte para el registro de eventos y las instantáneas en DeviceLock DLP proporciona documentación legal y evidencia de intentos de acceso y hechos de copia de datos específicos.