Czy kiedykolwiek dostałeś darmowy dysk flash USB? Wentylator USB, lampka LED, adapter Wi-Fi, mysz, klawiatura, klucz sprzętowy czy USB Bóg wie, co za darmo w prezencie? Każde takie urządzenie może być przygotowane do strategicznego umieszczania exploitów w Twojej sieci i kradzieży danych lub po prostu uszkodzenia systemu i plików.
Ta sytuacja nie jest zabawna na poziomie prywatnym, ale jest katastrofalna na poziomie korporacyjnym i korporacyjnym. Masz darmową pamięć USB o wartości 1 USD, która wiąże się z ryzykiem zainfekowania systemów exploitami i tak dalej. Czy te gratisy naprawdę są tego warte? InfoSec ryzyko? Uszkodzenie danych, wyciek, infiltracja sieci lub coś jeszcze gorszego?
Moim zaleceniem w związku z tymi małymi prezentami USB byłoby nie ufać im wszystkim bez obliczenia ryzyka. Korporacje powinny zapewnić wdrożenie odpowiednich zasad bezpieczeństwa IT na wszystkich zasobach IT dotyczących zezwalania lub blokowania urządzeń USB. A ty osobiście zawsze musisz trochę zarządzać ryzykiem. Niezależnie od tego, czy korzystasz z komputera własnego, cudzego lub organizacji, czy w pełni ufasz temu urządzeniu?
Czarne kapelusze są zawsze mądre
Skrypty uruchamiane na urządzeniu mogą być wystarczająco inteligentne, aby działały bez Twojej wiedzy. Mogłyby również przechowywać czujniki światła i dźwięku, aby upewnić się, że biuro jest ciemne i puste, zanim rozpocznie się eksploatacja. W ten sposób nikt nie będzie mógł zobaczyć, co się dzieje, nawet po ustanowieniu sesji zdalnego dostępu.
![]()
Nawet jeśli cały personel jest? Szkolenie InfoSec i świadomi zagrożeń związanych z korzystaniem z gratisów innych firm w pracy, mogą pojawić się intruzi, którzy akurat będą chodzić po okolicy. Ci inżynierowie społeczni mogliby subtelnie zasadzić Raspberry Pi za 5 dolarów Trucizna Dotknij urządzenie, które uszkadza i tworzy tylne drzwi w pięć minut, nawet gdy stacja robocza jest zablokowana.
Czy może być jeszcze gorzej?
Myślisz, że to wszystko? Daleko stąd. W zasadzie nie ma ograniczeń co do tego, kto i w jakim celu może stosować taką taktykę. Zapamiętaj stuxnet, który był uważany przez wielu ekspertów za amerykańsko-izraelską cyberbroń? Program ten spowodował znaczne szkody w programie nuklearnym Iranu. Niezależnie od tego, czy było to dobre, czy złe, to się wydarzyło. Prawdopodobnie trafił do środka w postaci urządzenia USB.
Twoje dania na wynos
Nie ufaj łatwo żadnemu rodzajowi urządzenia USB. Nie używaj gratisów, a jeśli zajmujesz się marketingiem, nie dawaj innym urządzeń USB jako prezentów. Zamiast tego daj im koszulkę. Era pamięci flash USB i tak już dawno minęła. Nie bądź częścią tego dziedzictwa. Nie bierz udziału w łańcuchu przekazywania potencjalnie niebezpiecznych urządzeń. Baw się dobrze i bezpiecznie!
Cia: Suriana Soosay’a / Chris Harrison
Źródło: Nate'a Andersona (Ars Technica) / Dan Goodin (Ars Technica)
