Paul Ducklin, a Sophos technológiai vezetője, a Sophos NakedSecurity blogból
A Sophos egy nagyobb tranzit pályaudvar hivatala által, megtalált tárgyakból rendezett aukcióján vásárolt 50 darab USB kulcsot vizsgált meg.
A tanulmány felfedte, hogy az USB kulcsok 2/3-a kártevővel fertőzött volt, és elég gyorsan lehetett információt kinyerni az eszközök korábbi tulajdonosáról, családjáról, barátairól és kollégáiról.
Ami sokkal nyugtalanítóbb, hogy a tulajdonosok egyike sem használt semmilyen fajta titkosítást a fájlok védelmére és a jogosulatlan hozzáférés ellen.
Az említett RailCorp tranzit pályaudvar Ausztráliában, Sydneyben található. Sydneyben jelenleg 7 ausztrál dollárnál is kevesebbért (kb. 4,5 GBP) lehet kapni egy 4Gb-os USB eszközt, vagyis elvesztés esetén a cseréje egy pint sörnél is kevesebb kerül.
De mi az ára az elvesztett USB kulcsokon található adatoknak? Csak kiváncsiságképpen mennyi lehet egy elveszett vagy eldobott kulcs ára?
Mindenképpen ki akartuk deríteni, ezért részvettünk az idei elveszett tárgyak aukcióján és felvásároltunk egy nagy rakás elvesztett USB kulcsot.
Lássuk mi is történt.
400 dollárunk (260 GBP) volt az aukcióra, amelyről azt gondoltuk, hogy elég lesz legalább 100 USB kulcs megvásárlására. De a kikiáltó jó formában, a hangulat pedig pörgős és versengésre ösztönző volt.
Az első meglepetés az ár volt.
Összességében 3 csomagot, azokban pedig 57 USB kulcsot sikerült megszereznünk 409,96 dollárért (a 15%-os aukciós díjjal is számolva). Ennek az árnak körülbelül a feléért tudtunk volna új kulcsokat vásárolni.
A kulcsok közül 5 már össze volt törve, további 2 megbízhatatlan volt, ezért ezekkel nem is számoltunk, habár egy kulcson csak annyi adat volt, hogy egy Autorun férget ki tudtunk hámozni, de mást nem.
Mindent összesítve a végére egy majdnem kerek 50-es szám jött ki a tesztre.
Az összes kulcs egy önálló FAT partícióra volt formázva. Hatot régi floppy-szerűen formáztak meg. A maradék 44 a merevlemezekhez hasonlóan Mater Boot Record-dal rendelkezett, egy önálló aktív partícióval az adatok számára.
A második meglepetés a kártevők elterjedésében ért minket.
A kulcsok 2/3-a, vagyis 33 kulcs fertőzött volt. Összességében 62 fertőzött állományt találtunk. A legrosszabb kulcs 6 fertőzött fájlt tartalmazott, méghozzá 4 különböző kártevő elemet prezentálva. A kártevő számok a következőképpen alakultak:
Nem találtunk egyetlen Mac OS X kártevőt is. De a kulcsok közül 9 Macintosh tulajdonosokhoz tartozott (vagy legalábbis rendszeresen használták őket Mac gépeken); közülük 7 volt fertőzött.
Más szavakkal, ha Ön egy Windows felhasználó, ne gondolja azt, hogy automatikusan megbízhat minden olyan dologban, amely egy Apple-szerető barátjától származik. Továbbá még ha Ön azok közé a Mac felhasználók közé is tartozik, akik elleneznek mindenfajta antivírus szoftvert, talán jobban teszi, ha finomítja álláspontját.
A harmadik meglepetés egyfajta vegyes érzelmekkel teli áldásnak is felfogható.
A jó része az, hogy nem találtunk semmilyen egyértelmű „füstölgő fegyvert" az 50 kulcs egyikén sem. Nem voltak atomtengeralattjáró tervek, belső kereskedelmi információk, hitelkártya kivonatok, bűnügyi cselekmények, sem pedig Amerikai Külügyi távirat az 1970-es évekből.
Persze ez inkább kísérletnek, mint egy adat- és információgyűjtő gyakorlatnak fogható fel. Mivel semmilyen közérdeklődésre számot tartó dolgot nem fedeztünk fel a felszínen, úgy döntöttünk, hogy megpróbáljuk elkerülni, hogy minél több dolgot derítsünk ki az USB kulcsok korábbi tulajdonosairól.
Azért nem merültünk olyan mélységek közelébe, mint egy nem-etikus hacker vagy egy komoly nyomozó. Különösképpen nem analizáltuk minden egyes fájl minden egyes bájtját vagy kerestünk szisztematikusan kulcsszavak után vagy próbáltunk meg letörölt fájlokat visszaállítani.
A rossz része az, hogy még a legfelületesebb automatizált analízissal is képesek voltunk felfedni a volt tulajdonosok személyes információinak nagyrészét róluk, a családjukról, a barátaikról és kollégáikról.
Egy személy írta fel a nevét a kulcsra eltávolíthatatlan tintával, amely szépen passzolt a Dokumentumok tulajdonságainál található Word és Powerpoint metaadataival.
4443 közvetlenül elérhető fájlt azonosítottunk be az 50 eszközön, a következők szerint:
A fájlok között a következők fordultak elő:
- Adólevonások listái
- Egy aktivista találkozójának percre bontott részletes leírása
- Iskolai és egyetemi kinevezések
- Munkaprojektek AutoCAD rajzai
- Családi és barátok fotóalbumai
- Egy önéletrajz és állásjelentkezési dokumentum
- Szoftver és web forráskódok
A negyedik meglepetés az volt, hogy egyik kulcsot sem titkosították vagy volt rajtuk bármilyen titkosított állomány.
Az összes eszköz mindenfajta titkosítás megléte nélkül szabadon volt olvasható, közvetlenül lehetett FAT kötetként felcsatolni jelszó nélkül is, és plaintext állományokat tartalmaztak hagyományos könyvtárstruktúrában.
Ne ringassák magukat abba a tévhitbe, hogy a személyes adataik egészen addig érdektelenek mások számára, amíg Önök nem magas pozícióban levő vezetők vagy egyszerűen sok pénzük van. Az Ön információi pénzt érnek a cyberbűnözők számára.
A rosszfióknak pedig nem kell közvetlenül is részt venniük az azonosságlopásban - létezik feketepiac mindennemű személyes információ adásvételére.
Mit tanulhatunk meg mindebből? Összeszedtük három pontba:
- Folytasson kutatást, mielőtt IT aukción venne részt. Könnyedén elszaladhat a ló és túl sokat fog fizetni - és ne feledje az ajánlatán felül számítandó aukciós díjat sem.
- Használjon antivírus szoftvert és tartsa naprakészen, még akkor is, ha Mac géppel rendelkezik. Egy 66%-os fertőzési ráta azt jelenti, hogy rengeteg kártevő-terjesztő jár köztünk.
- Titkosítsa személyes és üzleti adatait még mielőtt egy USB kulcson eltárolná azokat, így nem lesz mások számára elérhető és hozzáférhető egy esetleges elvesztés esetén.
További információ angol nyelven