A Panda Labs cég felmérte a kis- és középméretű vállalatok biztonságát. 20 országban műkődő 10470 cég vett részt a felmérésen, melynek során a következőket állapították meg:
- a malware fertőzések 30%-a USB portokon csatlakoztatott eszközökön történik
- a 2010-ben megjelent vírusok 25%-a úgy volt kialakítva, hogy USB-n keresztül terjedjenek
- a 2009-es év folyamán a vállalatok 40%-a könyvelt el legalább egy vírusos fertőzést

Ha eddig az e-mailen továbbított vírusos fertőzések száma jóval nagyobb volt, mint a pendriveokon vagy egyéb USB-n terjedő vírusos fertőzéseké, a kutatók szerint az utóbbiak megsokszorozódtak és hamarosan felülmúlják az előzőeket.

A legismertebb USB-n terjedő vírusok közé tartozik a Conficker, Stuxnet és a Downadup.

Ezen vírusok terjedését megkönnyíti az AutoRun funkcionalitás, mely lehetővé teszi a rosszindulatú kód futtatását a felhasználó tudta nélkül. A biztonsági fejlesztők már jó ideje hangoztatják az AutoRun jelentette veszélyeket és néhány eszközt is létrehoztak a kódok automatikus elindításának megakadályozására. Egy ilyen eszköz az Endpoint Protector által fejlesztett Autorun Disable, mellyel ki lehet kapcsolni az egyes hordozható tárolók (USB, CD/DVD és egyéb belső vagy külső tárolóeszközök) Autorun funkcióját az eszköz típusa vagy a különböző lemezek betűje szerint. A szoftver védelmet nyújt az Autorun.inf-ben rejtőző vírusok ellen és ingyenesen letölthető innen.

A tanulmány során arra a következtetésre lehet jutni, hogy a hackerek egyre inkább próbálkoznak a portok és high-tech eszközök használatával támadásokat kezdeményezni, ezért a vállalatok nagyobb figyelmmel kéne kövessék a hordozható eszközök használatát.

Lehet már hallottátok, illetve olvastátatok, hogy a Stuxnet féreg (és Conficker) ámokfutás-szerűen terjed úgy a magán, mint a céges hálózatokban. Az leginkább pendriveokon, de más USB eszközökön is terjedő kártevők, mindig új fenyegetések forrását jelentik. A Stuxnet legújabb fejlesztése a zero day nevű sebezhetőséget használja ki, hogy megcélozza és ellenőrzése alá vegye az adatgyűjtő (Scada) és más ipari rendszereket. Ezek a rendszerek az iparban használt csővezetékek nyomását szabályozzák. Olajvezetékekre, erőművekre és gyárakra jellemző leginkább.

A Conficker/Stuxnet felismeri a telepített Scada rendszereket és a Windows egyik sebezhetőségét használja ki, hogy bejusson és elterjedjen a hálózatban (http://bits.blogs.nytimes.com/2010/09/24/malware-hits-computerized-industrial-equipment/). Figyelmbe véve a legújabb eseményeket és a vírusok USB meghajtókon és eszközökön való terjedését, CoSoSys, a végpont-védelmi és adatvesztés megelőzésére szakosodott fejlesztő, 4 lépésből álló könnyen végrehajtható stratégiát fejlesztett ki a Stuxnet ellen:

1) Tiltsátok le az autorun funkciót minden hordozható tárolóeszköz esetén. Ezt megtehetitek az Endpoint Protector Autorun Disable kis szoftverével, mely ingyenesen letölthető a http://download.cnet.com/AutoRun-Disable-by-Endpoint-Protector/3000-2239_4-75300368.html oldalról.

2) Blokkoljátok a hálózatban lévő számítógépek USB portjait és a csatlakoztatási felületeket. Erre több fajta végpont biztonsági megoldást lehet használni: Secure it Easyt, Endpoint Protectort vagy a felhő alapú My Endpoint Protectort, ami otthoni felahasználók számára ingyenes. Részletesebb tájékoztatás a fent említett megoldásokról itt olvasható http://www.endpointprotector.com/en/index.php/products/product_overview

3) Az antivírust tartsátok mindíg naprakészen

4) Töltsétek le mindig a legújabb Windows frissítéseket

Ha bármilyen kérdésetek van a Stuxnet féregről, hogyan terjed, hogyan lehet a terjedését megállítani (vagy más hasonló kártevőkről), lépjetek kapcsolatba az Endpoint Protector csapatával.

Az Egyesült Államok katonai számítógépeit fenyegető legnagyobb biztonsági rés 2008-ban jött létre, amikor egy külföldi titkos ügynöknek sikerült pendrive-ot csatlakoztatni egy számítógéphez, ezzel megfertőzve a rendszer számítógépeit, többek között a Központi Parancsnokságon lévőket is, melyeket az iraki és afganisztáni harcok felügyeletére használtak.
“A pendrive-ot Közép-Keleten elhelyezkedő amerikai katonai bázisban lévő laptophoz csatlakoztatták, ahonnan az adatok át lettek irányítva egy idegen kezekben lévő szerverre”, mondta William J. Lynn 3., a védelmi minisztérium titkárhelyettese.
A fertőzést egy rosszindulatú program okozta, melynek célja a katonaság terveit ismeretlen ellenség kezébe juttatni. Bár a 2008-ban történt incidens megjelent a nemzetközi sajtóban, a hivatalos visszaigazolásra csak most került sor a William J. Lynn által írt cikkben, mely a Foreign Affairs legutóbbi kiadásában jelent meg.
Az esemény bekövetkezte után a Pentagon “Buckshot Yankee” nevezetű ellentámadásba kezdett és Lynn szerint ez az Egyesült Államok cyber-védelmi stratégiájánk egy alapvetően fontos pontja. Bár eredetileg a Védelmi Minisztérium betiltotta a hordozható eszközök használatát, a tilalmat később megváltoztatták.
Lynn rámutat arra, hogy a 15.000 hálózat és 7 millió számítástechnikai eszköz segítségével végbemenő katonai kummunikáció védelme nehéz feladat és “egy tucat programozó, ha egy biztonsági rést talál, képes hatni az Egyesült Államok globális logisztikai hálózatára, ellopni az operatív terveket vagy megakadályozni a fegyverek eljutását egyik pontból a másikba”.
A katonaság cyber-védelmi erőfeszítései egyetlen szervezetbe összpontosultak, US Cyber Command, melyet Keith Alexander tábornok vezetett. Ez a divizió viszont csak az államelnök parancsára lép működésbe, azonban a jelenlegi jogszabályok szerint a polgári rendszerek védelme a Honvédelmi Minisztérium feladatkörébe tartozik.
Az említett incidens bizonyítja, hogy a legbiztonságosabb számítógép-hálózatok is ki vannak téve a malware programokkal fertőzött hordozható eszközök fenyegetésének. A megoldás nem a végpontok és adatáramlás teljes letiltásában rejlik, hanem ezek ellenőrzött és biztonságos használatában.

A cégek bizalmas adatai gyakran veszélybe kerülnek, mivel a felhasználók ellenőrízetlenül használják őket. Legtöbb esetben figyelmetlenség miatt, de vannak helyzetek, amikor az alkalmazott elhagyja a céget és másolatot készít az érzékeny adatokról, melyeket ez USB stickre tesz. Mit kezdenek ezekkel az adatokkal? Saját vállalkozást indítanak, átállnak a versenytársakhoz vagy eladják őket.

Számos megoldás létezik az adatok kiszivárogtatására, de a felmérések szerint a leginkább használtak a papírra való nyomtatás, CD/DVD-re való írás, USB stickek, bluetooth, stb.

Ezek az adatmásolási módszerek, nem hagynak nyomokat, így a cég nem kaphatja el a tettest. A biztonsági felelősöknek egyetlen egy módjuk van megakadályozni az adatvesztést és adatlopást: olyan program telepítése, mely letiltja azokat a meghajtókat, melyeken adatokat lehet kiszivárogtatni.

Az Endpoint Protectorhoz hasonló szoftverek segítségével a felhasználóknak másolási jogokat lehet adni és átlehet venni a cégen belüli adatmozgás feletti kontrollt. Az alkalmazottaknak megengedhetjük, hogy adatokat másoljanak a számítógépről a hordozható eszközökre vagy fordítva, adhatunk nekik olvasási jogot vagy letilthatjuk egészen a hordozható eszközök használatát. Ezen kívül ha Endpoint Protector mellett Easy Lock-ot is használunk, akkor a hordozható eszközökre másolt adatokat titkosíthatjuk is.

Legyünk óvatosak cégünk adataival és ne bízzuk őket bárkire.

A szakértők szerint 2010-ben az USB perifériákat használók száma robbanászerűen fog növekedni. Becsléseik szerint 2,8 milliárd ilyen eszközt fognak eladni világszerte. Ez azt jelenti, hogy a világ népességének körülbelül a fele hasonló hordozható eszköztfog birtokolni. Képzeljük csak el azt az óriási adatmennyiséget.

Ennek a globális szintű mobilitásnak számos előnye van, de egyidőben kockázatokkal is jár: az eszközök elvesztése vagy lopása, ami nagy adatvesztéshez vezet. Ezért a szakértők azt tanácsolják, hogy az USB eszközökön tárolt adatokat titksítsuk, attól függetlenül, hogy ezek szakmai vagy személyes adatok.

Egy alkalmazott USB stickének átalakítása hordozható számítógéppé nagy előnyt jelent a mobilitást igénylő vállalatoknak, de nem csak ezek élvezhetik a technológia fejlődését. A hackerek is kihasználják majd a lehetőséget, hogy egész adatlopási malware rendszert telepítsenek egy kis USB stickre. A sticket a vállalati számítógép USB meghajtójához csatlakoztatva a hackereknek érzékeny adatokhoz, bizalmas információkhoz, számlaszámokhoz és jelszavakhoz lesz hozzáférésük.

A jó hír az, hogy létezik megoldás ilyen fajta fenyegetések ellen, melyek a technológia fejlődésével folymatosan növekednek. Az eszközellenőrzésre szánt programok védik a vállalat bizalmas adatait adatlopás ellen.

Ezek a szoftverek lehetővé teszik az ismeretlen eszközök letiltását, melyeket a hálózathoz probálnak csatlakoztatni. A nem engedélyezett eszközök csatlakoztatási kísérlete bejegyzésre kerül és a kompetens személyek jelentést kapnak veszélyes hardvereszközök csatlakoztatása esetén. A cégek ki kell használják az új technológiákat, melyek növelhetik termelékenységüket, de ugyanakkor hatásosan kell védekezzenek a bűnügyi kísérletek ellen is.

3 dél-koreai férfit tartoztattak le, mivel 20 millió ember személyes adatát adták el az interneten. A 3 férfi kínai hackerektől vásárolta meg az adatokat. Az eladott információk felhasználóneveket, jelszavakat és címeket tartalmaztak.

Az adatárusításról és adatlopásról részletesebben itt lehet olvasni.

Hogy határozzuk meg az adatvesztést? Hát az adatlopást?

Elsősorban azt kell tudni, hogy a két fogalom magába foglalja az adatainkhoz (bizalmas vagy sem) való hozzáférést olyan személyek részéről, akiknek nem lenne szabad ezeket ismerni.
Az adatvesztés adataink véletlenszerű feltárását jelenti (pl. USB stick elvesztése, mely a cég alkalmazottainak személyes adatait tartalmazza).
Az adatlopás adataink szándékos feltárását jelenti (pl. valamelyik alkalmazottunk átmásolja a cég bizalmas adatait egy USB stick-re és eladja a versenytársaknak).
De mit tehetünk e kellemetlen helyzetek megakadályozására?

Az első helyzetben a legkönnyebb, ha titkosítjuk a használt USB stick-eken lévő adatokat. Eképpen ha valaki elveszti a stick-et, a tartalma titkosított és a rajta lévő információkat nem lehet felhasználni. Nagyon sok vállalat használja már ezt a megoldást. Az alkalmazottak kapnak egy stick-et, amit használhatnak a cégen belül. A stick titkosítási szoftverrel védett, mely jelszón alapszik, melyet csak a tulajdonosa ismer. Ha elveszti vagy ellopják a stick-et, a rajta lévő információk bizalmasak maradnak.
A második esetben, amikor a vesztés szándékos, az ilyen titkosítási megoldások hatástalanok, mivel az alkalmazott a jelszót is elfogja árulni.
Ebben az esetben az intézkedések szigorúbbak kell legyenek. Nem elég, ha titksítjuk a stick tartalmát, hanem ellenőrízni kell a hálózaton belüli adatáramlást, hogy megtudjuk ki milyen fájlokat másol. Ezen kívül nagyon jól jöhet egy szűrő, mely csak bizonyos dokumentumok másolását engedélyezi (fehér lista).
Ha az alkalmazott közzé teszi az átmásolt adatokat, tudni fogjuk ki felelős az adatlopásért, mivel a felügyeleti rendszerben megmarad az összes tevékenység.
A példákból azt a következtetést vonhatjuk le, hogy az adatvesztés (szándékos vagy nem) pénzügyi veszteségeket okozhat, ezért a védekezés a legjobb megoldás.

Az ISS csoporttól 9500 alkalmazott hivatalos adata szivárgott ki.
Az elveszett információk: nevek, címek és társadalombiztosítási számok. Az érintett alkalmazottakat személyazonosság lopás és csalás veszélye fenyegeti. A cég figyelmeztette alkalmazottait, de nem adott részleteket az adatveszteségről.

Az adatszivárgásról részletesebben az endpoint-security.info oldalon lehet olvasni.
http://www.endpoint-security.info/ oldalon lehet olvasni.

Endpoint Protector szoftver védi a cégek bizalmas adatait és ellenőrzi az alkalmazottak által másolt adatokat. Ezen kívül lehetővé teszi, hogy a rendszergazdák jogokat adjanak a felhasználóknak a perifériák felett vagy letiltsák ezek használatát. A fehér lista alapú alkalmazás védi az érzékeny adatokat az illetéktelen másolás ellen.

Az Endpoint Protector Windows és Linux környezetben működik (szerver), míg a kliens MAC és Windows-al is kompatibilis.

MAC Endpoint Protector-ról több információt itt lehet olvasni: http://www.cososys.com/support/pdf/datasheet/Data_Sheet_Endpoint_Protector_CoSoSys_HU.pdf