Aż nie do wiary, że to jeszcze działa. O socjotechnice "na pendrive'a" mówi się już przynajmniej od pięciu lat (ale chyba dłużej), a ludzie wciąż się na to łapią. Kolejny dowód na to, że na idiotów zawsze można liczyć, przeprowadził Elie Bursztein, szef zespołu badawczego w Google odpowiedzialnego za zabezpieczenia przed cyber-atakami. Wnioski z badania zaprezentował na konferencji BlackHat USA 2016.
Zespół Burszteina "upuścił" 297 uprzednio odpowiednio przygotowanych pendrive'ów w starannie zaplanowanych lokalizacjach campusu Uniwerstytetu Illinois w Urbana-Champaign: na parkingu, terenach zielonych, salach wspólnych, salach wykładowych i w hallach. Jak myślicie, ile z nich wykonało potem "E.T. call home"?
45% (z czego ponad 9% zostało otwartych praktycznie natychmiast po ich "upuszczeniu")
W sumie zawsze mogło być 90%, ale czy przez to specjaliści od bezpieczeństwa powinni czuć się lepiej? Myślę, że wątpię... Przy groszowych kosztach przenośnych pamięci wystarczy ukryć na nich jakiś sprytny malware, instalujący się po wpięciu do portu USB. Nie trzeba rozrzucać aż trzystu - 45 procent z 50 sztuk to wciąż 22 (i pół :) ), nawet jeśli 2/3 wezmą ludzie nie pracujący w firmie-ofierze, wciąż zostanie 7 potencjalnych źródeł ataku, a tak naprawdę wystarczy jedno. A jeśli jeszcze na pendrivie dodamy jakiś nabazgrany markerem tekst, sugerujący, że są na nim mocno prywatne zdjęcia, albo dane poufne?
Zastanawiam się, jaki odsetek firm ma wdrożoną politykę bezpieczeństwa blokującą korzystanie z pendrive'ów? A weźmy pod uwagę, że zwykły "gwizdek" z malware'em to droga na skróty - Burstein i jego ekipa schowali w plastikowych obudowach całkiem wydajne małe komputerki, które niczego nie instalowały, ale nawiązywały połączenie z centrum kontroli botnetu przygotowanego przez badaczy i dopiero stamtąd mogły ściągnąć "malware".
Mam wrażenie, że ludzkich słabości nie da się do końca pokonać i w przypadku ataku "na zgubiony pendrive" jego skuteczność jest warunkowana wyłącznie przez to, jak dużo przenośnych pamięci zostanie rozsypanych i jak bardzo przypadkowo będzie to wyglądać. Kolejny dowód na to, że im większa firma, tym bardziej powinna inwestować w bezpieczeństwo, by nawet jeśli nie da się wykryć momentu ataku, zorientować się, gdy w firmowej sieci zaczyna się dziać coś złego.
Prezentację Eliego Burszteina z konferencji BlackHat 2016 znajdziecie tutaj.