Nepřítel jménem USB flash disk

25. 3. 2011

Sdílet

Britské prádelny bijí na poplach v oblasti informační bezpečnosti. Proč zrovna tato instituce? Jen v loňském roce totiž nalezly v pračkách přes sedm tisíc USB flash disků, které vypadly z kapes praných oděvů. Jen výjimečně se přitom podaří dohledat majitele a drobné zařízení pro velkokapacitní přenos dat mu vrátit.

Tyto produkty zapomenuté v kapsách oděvu přitom nejsou jedinými, kterým hrozí riziko ztráty či odcizení. Je to logické: jedná se o velmi malá zařízení, které je možné ztratit nebo zapomenout stejně snadno jako třeba klíče či propisku. Přitom se primárně využívají pro přenos různých dokumentů. A i když by citlivá data na těchto zařízeních rozhodně být neměla, ne vždy je tato základní premisa informační bezpečnosti dodržována.

Pokud ještě na chvíli zůstaneme ve Velké Británii, pak zdejší Ministerstvo obrany připustilo, že za posledních šest let přišlo o 121 USB flash disků obsahujících citlivé nebo tajné informace. O médiích s informacemi netajného charakteru zpráva raději taktně pomlčela.

 

Zapomnětlivá armáda

USB disky se stávají noční můrou organizací a bezpečnostních firem po celém světě. V Japonsku nedávno vzbudil pozornost případ, při němž došlo ke ztrátě jednoho takového disku, který obsahoval detailní informace o společném cvičení japonských a amerických vojenských sil. Informace přitom byly velmi detailní: hovořily o počtech jednotek, jejich vybavení, úkolech, taktice, zdrojích apod. Prostě radost pro každého vyzvědače.

Následné vyšetřování ovšem ukázalo, že disk nebyl ztracen, ale odcizen. Společně s několika tisíci jeny jej ukradl 33letý kapitán japonských pozemních sebeobranných sil. Za to byl odsouzen ke dvouměsíčnímu trestu.

Příběh ovšem měl zvláštní dohru. Znovunalezený USB flash disk byl jistým podplukovníkem zapůjčený k detailní analýze četaři, který jej nezajištěný odložil na svém pracovním stole – a odtud opět zmizel. Podruhé už armáda takové štěstí neměla a inkriminovaný disk se nenašel. Existuje důvodné podezření, že skončil v odpadcích, ale přímý důkaz chybí. Každopádně padaly další kázeňské tresty...

Armády jsou asi vůbec specialisty na ztrácení USB flash disků. V Afghánistánu se před několika lety podařilo jisté americké jednotce ztratit zařízení s extrémně citlivými informacemi o ochranných systémech a předpisech jisté vojenské základny, o bezpečnostních opatřeních v jejím okolí apod.

Případ měl lehce úsměvnou dohru: zařízení se vojákům podařilo za symbolický peníz zakoupit zpátky na místním tržišti. Prodávající evidentně netušil, jaký poklad měl v ruce: bezesporu jsou v Afghánistánu síly, které by disk s podobnými informacemi mnohonásobně vyvážily zlatem.

 

Dostupná privátní data

Nejen armáda je ale specialistou na ztrácení či zapomínání USB flash disků. Své o tom ví jistý Octavius Durdley, povoláním záchranář z Bradford County Emergency Services (BCES) na Floridě. Ten pravidelně využíval sdílený počítač svého zaměstnavatele k přístupu na internet a práci (stejně jako jiní pracovníci), a to až do června loňského roku.

Tehdy v počítači zapomněl svůj soukromý USB flash disk. Nadřízený jej zde našel, a přestože se domníval, že jde o Durdleyho majetek, zkontroloval obsah. Hned první soubory mu potvrdily, že podezření je správné a disk skutečně patří Durdleymu. Nadřízený ale byl zvídavý, takže se jal disk prozkoumávat detailněji. Ke svému překvapení na něm našel složku s obrázky a videosekvencemi dětské pornografie.

Nelenil a předal disk policii. Ta Durdleyho ještě tentýž den uvěznila. Následovala domovní prohlídka, která odhalila tisíce dalších souborů s dětskou pornografií.

Tady by případ zapomnětlivého Octavius Durdleyho mohl skončit konstatováním, že zapomínat se prostě nevyplácí. On se ale rozhodl bránit s tím, že důkazy proti němu byly získané nezákonně a že jeho USB flash disk měl z podstaty věci soukromou povahu – takže nadřízený, který tušil, že je zařízení jeho, neměl vůbec právo na disk přistupovat.

Soudce ale nakonec protest v patnáctistránkovém zdůvodnění zamítl s tím, že nadřízení „neměl důvod předpokládat soukromý charakter předmětu, který podrobil prohlídce". Jinými slovy: Durdley nechal své soubory veřejně přístupné každému, kdo zasedl k počítači. „Každý, kdo usedl k počítači, si mohl soubory prohlédnout, a to s pomocí zcela běžných způsobů otevírání a prohlížení souborů," konstatoval soudce.

 

Riziko malwaru

Ovšem rizika plynoucí z USB flash disků nepředstavují jen zapomenutí, ztrátu nebo krádež. Velmi názorně to ilustruje pokus z Velké Británie, kde konzultační skupina NCC nakoupila a rozeslal pět set USB disků finančním ředitelům velkých firem. Připojila k nim přitom dopis s nabídkou, že se mohou zúčastnit největšího mejdanu svého života (For Your Chance to Attend the Party of a Lifetime). Každé zařízení ovšem obsahovalo spustitelný skript, který se do počítače instaloval a podal zprávu skupině NCC.

Výsledek testu? Jedním slovem: tragický. Plných 47 procent finančních ředitelů vložilo USB flash disk do svého počítače a program si nainstalovalo. Že šlo o médium z totálně neznámého zdroje a že mohlo obsahovat jakýkoliv škodlivý kód, asi netřeba zdůrazňovat...

ICTS24

 

Tento článek vyšel v tištěném SecurityWorldu 3/2010.