- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
I fantasmi del passato tornano in vita attraverso le penne USB
Informazioni sulla sicurezza, settimana 46, 2008
Introduzione
L'uso sempre maggiore di penne USB e la loro elevata capacità di storage costituiscono seri problemi per la sicurezza. I problemi di sicurezza legati all'uso dei floppy disk (qualcuno si ricorda ancora cosa siano?) si ripresentano. I floppy erano i principali vettori di diffusione di software dannoso (principalmente virus) ai primordi dei personal computer. Oggi si assiste a una forte crescita di malware laddove le penne USB vengono usate come uno dei meccanismi principali di diffusione. Tuttavia, diversamente dai floppy disk, le penne USB costituiscono un meccanismo di diffusione molto più potente.
Per ridurre i rischi è possibile intraprendere delle azioni preventive. Talvolta le azioni preventive possono rallentare l'operatività, soprattutto nella risoluzione di problemi legati alla sicurezza in generale. La semplicità di utilizzo e l'ottima funzionalità, sfortunatamente, sono spesso in conflitto con la necessità di sicurezza.
Funzionamento
Una penna USB è piccola, economica e ha una considerevole capacità di storage. Tutte queste caratteristiche sono state migliorate e saranno perfezionate nel tempo, inoltre rendono la penna USB uno strumento estremamente "pratico", da utilizzare, ad esempio, per operazioni quali:
- installazione dei programmi all'interno dell'azienda
- trasferimento dei dati tra i computer dell'azienda (ad esempio, tra l'ufficio e casa)
- trasferimento temporaneo dei dati dal computer utilizzato ad un altro (ad esempio, per mostrare una presentazione ad un audience esterno)
- esecuzione del backup del dispositivo per piccole quantità di dati
Gli utilizzi possibili hanno come unico limite l'immaginazione.
I moderni sistemi operativi Windows dispongono di una "funzione" che permette, in determinate condizioni, di eseguire automaticamente i programmi direttamente da CD, DVD, penne USB, ecc. Si tratta di un'impostazione predefinita del sistema operativo che fa sì che il CD audio si avvii automaticamente quando viene inserito nell'unità CD. Affinché ciò sia possibile, è necessario un file speciale, denominato autorun.inf, disponibile nella directory principale del dispositivo connesso al computer. Tale file contiene informazioni relative ai comandi da eseguire.
Non c'è bisogno di aggiungere altro…
Questo rappresenta chiaramente un serio rischio per la sicurezza poiché la tecnica utilizzata abilita anche software nocivi presenti sul dispositivo da utilizzare. Il PC a cui è connesso il dispositivo potrebbe quindi essere infettato.
Ai "tempi dei floppy disk", lo scenario normale di infezione era quello in cui il PC poteva essere infettato solo da un floppy disk dannoso. All'epoca, il programma maligno aveva un payload particolare che mirava al PC infettato.
È risaputo che al giorno d'oggi il malware è spesso costituito da diverse parti e include diverse tecniche di propagazione. Il primo PC infettato dalla penna USB potrebbe quindi infettare l'intera rete e le penne USB pulite che vengono successivamente connesse. Naturalmente, il malware può eseguire anche tutti gli altri tipi di azioni che l'autore aveva previsto durante la scrittura del codice di programmazione nocivo.
Un piccolo case-study
Recentemente Norman aveva un cliente molto meticoloso riguardo alla sicurezza nella configurazione della sua rete. Nessun computer della rete era connesso a Internet. Ciononostante, improvvisamente l'intera rete si è infettata.
Il lettore attento sa già quale può essere stata la causa.
È risultato che la causa era una penna USB infettata connessa a uno dei PC della rete.
Un singolare tipo di malware: lo "slurping"
Un particolare tipo di malware che utilizza la penna USB è il cosiddetto "slurping". Si tratta di un malware che viene eseguito da una penna USB e che copia (in modo clandestino) i dati da un PC o una rete alla penna USB. Spesso, questo tipo di perdita di dati potrebbe essere un attacco mirato e, ovviamente, potrebbe risultare molto pericoloso per l'azienda che ne viene colpita.
Lo slurping verrà esaminato più approfonditamente in un altro articolo sulla sicurezza.
Altri tipi di diffusione non intenzionale delle informazioni
Si potrebbe sostenere che probabilmente il pericolo maggiore delle penne USB deriva da un utilizzo non attento. Poiché le penne sono molto piccole e hanno una capacità di storage piuttosto elevata, vengono utilizzate soprattutto per trasferire i dati da un computer a un altro. Date le dimensioni, è possibile che vengano perse o dimenticate in luoghi poco sicuri e che i dati riservati finiscano nelle mani di chiunque, all'interno o all'esterno dell'azienda.
La perdita di dati verrà esaminata più approfonditamente in uno speciale articolo più avanti.
Tecniche di protezione
Come affermato in precedenza, sono disponibili diverse tecniche che possono essere utilizzate per proteggere l'utente e la propria azienda dai pericoli che le penne USB rappresentano. Sfortunatamente, spesso tali tecniche potrebbero essere in conflitto con le esigenze degli utenti che desiderano svolgere le attività quotidiane nel modo più semplice possibile. Come al solito, l'azienda cercherà l'equilibrio migliore tra sicurezza, diverse necessità degli utenti ed efficienza aziendale.
Ecco alcune azioni da eseguire per ridurre i pericoli che le penne USB rappresentano:
- Disposizioni aziendali che proibiscono il collegamento di dispositivi di storage alle porte USB
- Prodotti software che consentono di collegare alle porte della rete aziendale solo i dispositivi predefiniti o nessun dispositivo
- Disattivazione dei programmi di esecuzione automatica sui dispositivi USB. Ciò richiede di apportare modifiche alle impostazioni nel Registro, operazione che molti utenti potrebbero ritenere faticosa e perfino pericolosa. Tuttavia, è piuttosto semplice per un'azienda creare un programma che modifichi le chiavi necessarie. Microsoft include diversi articoli tecnici utili su come apportare le modifiche, come disattivare l'avvio automatico delle penne USB in Microsoft TechNet , come selezionare il sistema operativo, ecc. Anche qualsiasi altro motore di ricerca fornisce una serie di risultati inserendo i termini in questione.
- Disattivazione fisica delle porte USB. Si tratta di una misura piuttosto drastica che tuttavia fornisce maggiore sicurezza.