Pendrive’y i inne nośniki danych stały się naturalnym elementem codzienności – służą do przenoszenia lub przechowywania dokumentów, zdjęć czy prezentacji. Jednak w przypadku urządzeń pochodzących z nieznanych źródeł, te z pozoru niewinne nośniki, mogą stanowić poważne zagrożenie, otwierając drzwi cyberprzestępcom do firmowych lub prywatnych systemów.
Każdy nośnik danych może zawierać nie tylko pożyteczne pliki, lecz również złośliwe oprogramowanie. W niektórych przypadkach zagrożenie kryje się na tyle głęboko, że nie jest możliwe do wykrycia przez programy antywirusowe.
PENDRIVE NIEWIADOMEGO POCHODZENIA JAKO ZAGROŻENIE
Podłączenie do komputera pendrive’a niewiadomego pochodzenia może pociągnąć za sobą szereg negatywnych skutków, które w skrajnych przypadkach doprowadzą do poważnych strat finansowych, wizerunkowych i prawnych. Skutki te nie ograniczają się jedynie do zainfekowania pojedynczego urządzenia – często obejmują całą infrastrukturę informatyczną organizacji. Ryzyko rośnie, gdy pracownicy nie są świadomi zagrożeń i podłączają do służbowych komputerów nośniki pochodzące z nieznanych źródeł, np. znalezione, otrzymane od nieznanej osoby lub wręczone jako „gratis” w ramach promocji. Przykład takiego scenariusza został opisany w Komunikacie IOD-y, opisującym atak na warszawski oddział znanej międzynarodowej korporacji, w którym gadżety USB okazały się narzędziem uzyskania dostępu do firmowych systemów.
Zasygnalizowany powyżej atak miał charakter testowy, ale w styczniu 2024 roku w jednej z polskich firm doszło już do rzeczywistego incydentu. Pracownik podłączył zainfekowany pendrive, który uruchomił szkodliwe procesy. Na szczęście system ochrony EDR szybko wykrył zagrożenie, odizolował komputer od sieci i uniemożliwił dalsze rozprzestrzenianie się ataku. Analiza potwierdziła, że oprogramowanie nośnika próbowało przesyłać dane do nietypowego adresu w Internecie (więcej informacji o ataku można znaleźć tutaj).
Poniżej przedstawiono najważniejsze zagrożenia, które mogą wystąpić w wyniku korzystania z nośników nieznanego pochodzenia:
- Zainfekowanie komputera złośliwym oprogramowaniem
Pendrive niewiadomego pochodzenia może zawierać pliki, które po podłączeniu do komputera automatycznie zainstalują szkodliwe oprogramowanie (opisane w Komunikacie IOD-y). Może to być m.in. wirus, trojan lub oprogramowanie typu ransomware.
- Atak typu „BadUSB”
BadUSB to atak, w którym pendrive lub inne urządzenie USB ma tak zmodyfikowany firmware, aby udawało sprzęt typu HID (Human Interface Device), na przykład klawiaturę (przy czym klawiatura również może być BadUSB). Po podłączeniu do komputera automatycznie wpisuje ono polecenia, mające na celu wykonanie z góry zaplanowanych czynności. Może więc instalować wirusy, zmieniać ustawienia systemu albo umożliwiać dostęp do firmowej sieci.
- Kradzież poufnych informacji
Podłączenie złośliwego nośnika może skutkować automatycznym kopiowaniem danych z komputera, w tym dokumentów, baz danych, loginów i haseł. Informacje zazwyczaj nie są kopiowane bezpośrednio na sam nośnik, lecz przesyłane przez Internet do przestępców bez wiedzy pracownika. Proces ten odbywa się w tle, a przy braku skutecznego monitorowania ruchu sieciowego jest praktycznie niewidoczny.
- Naruszenie ochrony danych osobowych
Jeżeli na zaatakowanym komputerze przechowywane są dane osobowe, ich nieuprawnione ujawnienie (w dowolny opisany powyżej sposób) może prowadzić do poważnych konsekwencji prawnych. W przypadku firm działających na terenie Unii Europejskiej może być konieczne zgłoszenie naruszenia do organu nadzorczego.
- Ominięcie zabezpieczeń sieciowych
Pendrive może służyć jako narzędzie do stworzenia w systemie tzw. tylnej furtki (backdoor), dzięki której atakujący uzyska trwały, zdalny dostęp do sieci firmowej. Takie działanie pozwala na prowadzenie dalszych ataków, nawet po fizycznym odłączeniu urządzenia.
- Uszkodzenie sprzętu
Niektóre urządzenia USB, zwane potocznie „USB Killerami”, generują wysokie napięcie, które może trwale uszkodzić porty USB i inne elementy komputera. Tego typu uszkodzenia często wymagają kosztownej naprawy lub nawet wymiany sprzętu.
JAK CHRONIĆ ORGANIZACJĘ
Aby uchronić się przed wyżej opisanymi konsekwencjami, każdy nowy pendrive (nawet pochodzący z zaufanego źródła) powinien zostać przeskanowany aktualnym oprogramowaniem antywirusowym przed użyciem. W miarę możliwości warto jednak całkowicie ograniczać korzystanie z tego typu nośników i zastępować je bezpieczniejszymi formami przesyłania plików.
Coraz więcej organizacji decyduje się na wykorzystanie szyfrowanych usług chmurowych, które zapewniają zarówno wygodę, jak i wysoki poziom bezpieczeństwa. Dzięki nim dane są przesyłane w sposób zaszyfrowany i mogą być udostępniane tylko określonym osobom z organizacji (lub spoza niej). Alternatywą są również firmowe systemy wymiany plików, które pozwalają kontrolować dostęp użytkowników i zapisują szczegółowe logi przesyłanych informacji. Można korzystać także z rozwiązań opartych na szyfrowanej poczcie elektronicznej czy bezpiecznych serwerach SFTP lub FTPS, które umożliwiają przesyłanie dużych plików bez konieczności korzystania z fizycznych nośników.