Une nouvelle étude réalisée par Honeywell a révélé que les lecteurs USB amovibles constituent «soudainement» une menace, qualifiée de «significative et délibérée», pour protéger les réseaux de contrôle des processus industriels.
Le rapport indique qu'au moins 44% des lecteurs USB analysés ont détecté et bloqué au moins un fichier menaçant la sécurité. Un quart (26%) des fichiers détectés étaient susceptibles de causer de graves dommages, de sorte que les opérateurs pouvaient perdre la capacité de voir ou de gérer la progression des opérations. Parmi les menaces détectées figuraient TRITON, Mirai, diverses formes du ver Stuxnet. Une analyse comparative a également montré que les outils traditionnels de protection contre les logiciels malveillants ne pouvaient pas détecter jusqu'à 11% des menaces détectées.
Étant donné que la tâche de protéger et de restreindre l'accès aux réseaux d'entreprise est traditionnellement accordée plus d'attention que le contrôle des périphériques, la vulnérabilité des organisations à partir de lecteurs USB amovibles devient encore plus évidente.
Et souvent, trop peu d'attention est accordée. Ainsi, l'un des sujets sensationnels qui a accompagné l'élection présidentielle américaine de 2016 a été le piratage du serveur de messagerie du Parti démocrate (DNC) avec le vol d'énormes quantités de correspondance. Selon des démocrates et des responsables, le piratage a été effectué depuis la Roumanie, et des pirates informatiques ou des services spéciaux russes ont participé à l'affaire, et cela dans le but d'essayer d'interférer dans les élections - et toutes les autres versions ne sont rien d'autre qu'une «théorie du complot».
Une étude alternative du contexte technique du scandale a été menée par des groupes indépendants d'experts qualifiés ayant une expérience en matière de renseignement, de médecine légale et de médecine légale. Les conclusions des experts étaient basées sur une évaluation de la quantité de matériel prétendument piraté et du taux de transfert de données. Une analyse des métadonnées a montré que dans la soirée du 5 juillet 2016, 1976 mégaoctets de données ont été téléchargés depuis le serveur DNC. L'opération a duré 87 secondes, ce qui signifie un taux de transfert de données de 22,7 Mo / s. Dans le même temps, pas un seul fournisseur de services Internet qu'un pirate informatique en 2016 pourrait utiliser a permis de transférer des données à une telle vitesse, et même par le biais d'un transfert transatlantique vers la Roumanie. Les débits moyens des FAI les plus élevés du premier semestre 2016 ont été atteints par les fournisseurs Xfinity et Cox Communications et atteignaient en moyenne 15,6 et 14,7 Mo / s, respectivement. Des vitesses de pointe avec des vitesses plus élevées ont été enregistrées par intermittence, mais n'ont toujours pas atteint les 22,7 mégaoctets requis par seconde. Cela signifie que la vitesse requise pour le piratage externe est toujours inaccessible, ce qui réfute la théorie du piratage du serveur de messagerie de l'extérieur.
Dans le même temps, 23 Mo / s est un taux de transfert typique lors de l'utilisation d'un lecteur flash USB 2! De plus, les experts estiment que la quantité de données volées est trop importante pour être transmise sur Internet. Tout cela nous permet de conclure que le vol de données du serveur de messagerie DNC a été effectué par une personne qui avait un accès physique au serveur en transférant des données vers un lecteur USB externe.
Il n'y a pas si longtemps, une autre étude très intéressante a été publiée par des experts australiens de l'Université d'Adélaïde. Ils ont testé plus de 50 ordinateurs et concentrateurs USB externes et ont constaté que plus de 90% d'entre eux transfèrent des informations vers un périphérique USB externe qui n'est pas une destination directe pour le transfert de données. " On pensait que, puisque les informations ne sont transmises que de manière directe entre un périphérique USB et un ordinateur, elles sont protégées contre les périphériques potentiellement compromis ", a déclaré Yuval Yarom, " mais nos recherches ont montré que si des périphériques malveillants sont connectés aux ports voisins sur un et le même concentrateur USB externe ou interne, ces informations sensibles peuvent être détournées par un appareil malveillant . " Les chercheurs ont découvert que la diaphonie fuit à l'intérieur des concentrateurs USB, similaire à la propagation de l'eau dans les tuyaux, ce qui signifie que vous pouvez utiliser les ports voisins sur un concentrateur USB pour voler malicieusement des données. Pour vérifier l'hypothèse, les chercheurs ont utilisé un appareil bon marché modifié avec un connecteur USB enfichable pour lire chaque frappe sur l'interface du clavier USB voisin, après quoi les données interceptées ont été envoyées via Bluetooth à un autre ordinateur.
Une étude dans une université australienne et une analyse de la fuite de correspondance de courrier provenant d'un serveur DNC indiquent directement que la tendance au cours des dernières années à oublier et à sous-estimer le niveau de fuite de données associé à l'utilisation de périphériques USB est catégoriquement erroné et même nuisible. Oui, des messageries instantanées et des stockages dans le cloud sont utilisés aujourd'hui, mais la bonne vieille interface USB et un lecteur flash primitif pour quelques gigaoctets sont toujours disponibles pour chaque attaquant potentiel dans n'importe quelle organisation, ce qui signifie que leur utilisation pour voler des informations confidentielles est toujours pertinente, et en plus, c'est beaucoup plus simple et plus efficace que d'attaquer à travers le périmètre externe ou de vider des données à travers les nuages et le courrier. De plus, la possibilité d'attaque de logiciels malveillants à partir d'un lecteur USB amovible doit également être gardée à l'esprit en tant que menace potentielle.
Certaines organisations qui ont ignoré la menace de l'USB pendant de nombreuses années ont toujours le problème. Comme on dit, mieux vaut tard que jamais. Ainsi, au printemps 2018, IBM a interdit à ses employés d'utiliser des périphériques de stockage amovibles. Dans une directive pour les employés de Global CIO, Shamla Naidoo a déclaré que la société " étend la pratique d'interdire le transfert de données à tous les périphériques de stockage portables amovibles (USB, carte SD, lecteur flash) ". Les éventuels dommages financiers et de réputation causés par la perte ou l'utilisation incorrecte de périphériques de stockage amovibles ont été cités comme argument. L'approche radicale consistait simplement à interdire l'USB. Dans le même temps, il a été recommandé aux développeurs d'utiliser leur propre service de synchronisation et d'échange dans le cloud pour le stockage et la transmission des données.
Un autre monstre de l'économie mondiale, Amazon.com, un détaillant en ligne, a ensuite licencié des employés présumés aux États-Unis et en Inde pour avoir prétendument illégalement accédé à des données d'initiés, au nom de la lutte contre la fraude par des employés divulguant des informations d'initiés à des vendeurs indépendants. Pour prévenir les fraudes et les fuites, Amazon a limité la capacité du personnel du support technique à rechercher dans la base de données interne et a également interdit l'utilisation des ports USB.
Nous ne savons pas quelles méthodes et quels moyens de blocage USB ont été choisis par IBM et Amazon, mais étant donné les informations qu'IBM pense sur la possibilité de prévoir des exceptions lors du blocage du port USB pour les employés individuels, ce n'est guère un produit DLP à part entière.
Malheureusement, de nombreuses solutions positionnées comme DLP fonctionnent toujours avec l'interface USB et se connectent via celle-ci au niveau du gestionnaire de périphériques, déconnectant simplement le périphérique au niveau de l'application ou empêchant le pilote du périphérique de démarrer. Cette "protection" est non seulement franchement faible, mais aussi potentiellement dangereuse, car elle crée un faux sentiment de sécurité - et n'empêche certainement pas le malware d'attaquer un ordinateur à partir d'une clé USB.
La neutralisation qualitative des menaces associées à l'utilisation de l'interface USB est obtenue grâce à une combinaison flexible de fonctions de surveillance et de contrôle d'accès pour les périphériques connectés via l'interface USB et le contrôle de l'interface USB elle-même afin de contrôler les périphériques qui ne sont pas classés par le système d'exploitation comme périphérique de stockage, mais qui sont un canal de fuite potentiel pénétration de données ou de logiciels malveillants.
En conclusion, je tiens à noter que notre produit DeviceLock DLP , depuis la version DeviceLock 5.5, publiée en 2003, offre un contrôle complet des ports USB et FireWire. L'utilisation de DeviceLock DLP empêche le vol d'informations par des intrus internes via des périphériques USB, des lecteurs amovibles, des disques et d'autres périphériques externes connectés, ainsi que le canal d'impression, le courrier électronique, les messageries instantanées, les services de partage de fichiers et d'autres canaux de transfert de données. De plus, la prise en charge de la journalisation des événements et de la copie miroir dans DeviceLock DLP fournit une documentation juridique et des preuves des tentatives d'accès et des faits de copie de données spécifiques.