Um novo estudo da Honeywell descobriu que os drives USB removíveis "repentinamente" representam uma ameaça, descrita como "significativa e deliberada", para proteger as redes de controle de processos industriais.
O relatório afirma que pelo menos 44% das unidades USB analisadas detectaram e bloquearam pelo menos um arquivo com risco de segurança. Um quarto (26%) dos arquivos detectados foram capazes de causar sérios danos, como resultado dos quais os operadores poderiam perder a capacidade de ver ou gerenciar o progresso das operações. Entre as ameaças detectadas estavam o TRITON, Mirai, várias formas do worm Stuxnet. Uma análise comparativa também mostrou que as ferramentas tradicionais de proteção contra malware não conseguiam detectar até 11% das ameaças detectadas.
Considerando que a tarefa de proteger e restringir o acesso às redes corporativas recebe tradicionalmente mais atenção do que o controle de dispositivos, a vulnerabilidade das organizações de unidades USB removíveis se torna ainda mais óbvia.
E muitas vezes pouca atenção é dada. Assim, um dos tópicos sensacionais que acompanharam a eleição presidencial dos EUA em 2016 foi invadir o servidor de correio do Partido Democrata (DNC) com o roubo de enormes quantidades de correspondência. Segundo os democratas e as autoridades, o hacking foi realizado na Romênia, e hackers russos ou serviços especiais participaram do caso, e isso foi feito com o objetivo de tentar interferir nas eleições - e todas as outras versões nada mais são do que uma "teoria da conspiração".
Um estudo alternativo da formação técnica do escândalo foi conduzido por grupos independentes de especialistas qualificados, com experiência em inteligência, forense e forense. As conclusões dos especialistas foram baseadas em uma avaliação da quantidade de material supostamente hackeado e da taxa de transferência de dados. Uma análise dos metadados mostrou que, na noite de 5 de julho de 2016, 1976 megabytes de dados foram baixados do servidor DNC. A operação levou 87 segundos, o que significa uma taxa de transferência de dados de 22,7 MB / s. Ao mesmo tempo, nem um único provedor de serviços de Internet que um hacker em 2016 pudesse usar permitiu a transferência de dados a essa velocidade, e mesmo através de uma transferência transatlântica para a Romênia. As maiores velocidades médias de ISP no primeiro semestre de 2016 foram alcançadas pelos fornecedores da Xfinity e Cox Communications e tiveram uma média de 15,6 e 14,7 MB / s, respectivamente. As velocidades de pico com velocidades mais altas foram registradas de forma intermitente, mas ainda não atingiram os 22,7 megabytes necessários por segundo. Isso significa que a velocidade necessária para hackers externos ainda é inatingível, o que refuta a teoria de invadir o servidor de email de fora.
Ao mesmo tempo, 23 MB / s é uma taxa de transferência típica ao usar uma unidade flash USB 2! Além disso, os especialistas acreditam que a quantidade de dados roubados é muito grande para transmissão pela Internet. Tudo isso permite concluir que o roubo de dados do servidor de correio DNC foi realizado por uma pessoa que teve acesso físico ao servidor transferindo dados para uma unidade USB externa.
Não faz muito tempo, outro estudo muito interessante foi publicado por especialistas australianos da Universidade de Adelaide. Eles testaram mais de 50 computadores e hubs USB externos e descobriram que mais de 90% deles transferem informações para um dispositivo USB externo que não é um destino direto para a transferência de dados. " Acreditava-se que, como as informações são transmitidas apenas de maneira direta entre um dispositivo USB e um computador, elas são protegidas contra dispositivos potencialmente comprometidos ", disse Yuval Yarom, " mas nossa pesquisa mostrou que, se dispositivos maliciosos estiverem conectados a portas vizinhas em um e No mesmo hub USB externo ou interno, essas informações confidenciais podem ser invadidas por um dispositivo malicioso . ” Os pesquisadores descobriram que a diafonia está vazando dentro dos hubs USB, semelhante à propagação da água nos canos, o que significa que você pode usar portas vizinhas em um hub USB para roubar dados maliciosamente. Como um teste para confirmar a hipótese, os pesquisadores usaram um dispositivo barato modificado com um conector USB plug-in para ler cada pressionamento de tecla da interface de teclado USB vizinha, após o qual os dados interceptados foram enviados via Bluetooth para outro computador.
Tanto um estudo em uma universidade australiana quanto uma análise do vazamento de correspondência de um servidor DNC indicam diretamente que a tendência nos últimos anos de esquecer e subestimar o nível de vazamento de dados associado ao uso de dispositivos USB é categoricamente errônea e até prejudicial. Sim, mensageiros instantâneos e armazenamento em nuvem estão em uso atualmente, mas a boa e antiga interface USB e uma unidade flash primitiva de dois gigabytes ainda estão disponíveis para todos os possíveis invasores em qualquer organização, o que significa que o uso deles para roubar informações confidenciais ainda é relevante e, além disso, é muito importante mais simples e mais eficaz do que atacar pelo perímetro externo ou descarregar dados pelas nuvens e pelo correio. Além disso, a possibilidade de ataque de malware a partir de uma unidade USB removível também deve ser lembrada como uma ameaça em potencial.
Algumas organizações que ignoram a ameaça do USB por muitos anos ainda entendem o problema. Como se costuma dizer, melhor tarde do que nunca. Portanto, na primavera de 2018, a IBM proibiu seus funcionários de usar dispositivos de armazenamento removíveis. Em uma diretiva para funcionários globais de CIO, Shamla Naidoo disse que a empresa está " expandindo a prática de proibir a transferência de dados para todos os dispositivos de armazenamento portáteis removíveis (USB, cartão SD, unidade flash) ". Os possíveis danos financeiros e à reputação decorrentes da perda ou uso incorreto de dispositivos de armazenamento removíveis foram citados como argumento. A abordagem radical foi simplesmente banir o USB. Ao mesmo tempo, foi recomendado aos desenvolvedores o uso de seu próprio serviço de sincronização e troca na nuvem para armazenamento e transmissão de dados.
Outro monstro da economia global, a Amazon.com, uma varejista on-line, em nome do combate à fraude por funcionários que vazavam informações internas para vendedores independentes, demitiu suspeitos de funcionários nos Estados Unidos e na Índia por supostamente obter ilegalmente acesso a dados privilegiados. Para evitar fraudes e vazamentos, a Amazon limitou a capacidade da equipe de suporte técnico de pesquisar no banco de dados interno e também proibiu o uso de portas USB.
Não sabemos quais métodos e meios para bloquear USB foram escolhidos pela IBM e pela Amazon, mas, dadas as informações que a IBM pensa sobre a possibilidade de fornecer exceções ao bloquear a porta USB para funcionários individuais, esse dificilmente é um produto DLP completo.
Infelizmente, muitas soluções posicionadas como DLP ainda funcionam com a interface USB e conectadas através dela no nível do Gerenciador de dispositivos, simplesmente desconectando o dispositivo no nível do aplicativo ou impedindo a inicialização do driver do dispositivo. Essa "proteção" não é apenas francamente fraca, mas também potencialmente perigosa, pois cria uma falsa sensação de segurança - e certamente não impede o malware de atacar um computador a partir de uma unidade flash USB.
A neutralização qualitativa das ameaças associadas ao uso da interface USB é alcançada por meio de uma combinação flexível de funções de monitoramento e controle de acesso para dispositivos conectados via interface USB e controle da própria interface USB para controlar dispositivos que não são classificados pelo SO como dispositivo de armazenamento, mas que são um canal de vazamento em potencial penetração de dados ou malware.
Concluindo, quero observar que nosso produto DeviceLock DLP , desde a versão DeviceLock 5.5, publicada em 2003, fornece controle completo das portas USB e FireWire. O uso do DeviceLock DLP evita o roubo de informações por intrusos internos através de dispositivos USB, unidades removíveis, discos e outros dispositivos externos conectados, bem como o canal de impressão, email, mensagens instantâneas, serviços de compartilhamento de arquivos e outros canais de transferência de dados. Além disso, o suporte para registro de eventos e cópia de sombra no DeviceLock DLP fornece documentação legal e evidências de tentativas de acesso e fatos de cópia de dados específicos.