by |

USB raziskava

Ekipa Safe Mode je v sodelovanju s Fakulteto za varnostne vede, Univerza v Mariboru, izvedla eksperiment na temo socialnega inženiringa in njegovega vpliva na informacijsko varnost. Želeli smo preveriti kako šibek je človeški faktor z vidika varnosti v slovenskih podjetjih. Poleg človeškega faktorja smo si pri eksperimentu pomagali še z zelo poznanim in razširjenim medijem, ki ga dnevno uporabljamo tako v poslovnem kot domačem okolju. To je USB ključ.

USB struktura

Primer strukture dokumentov na USB ključu, ki je bil priložen pismu.

V eksperimentu je nevede sodelovalo 25 slovenskih podjetij. Podjetja smo izbrali po naslednjih kriterijih: število zaposlenih v podjetju se giba med 25 in 150, vsa podjetja pa so iz osrednjeslovenske regije s pozitivnim poslovnim izidom v letu 2014.

USB ključ je vseboval več datotek in dve mapi. Ena od map je bila poimenovana “Slike”, ki je vsebovala nekaj naključnih fotografij, ki smo jih našli na internetu. Druga mapa je bila poimenovana z imenom podjetja kateremu smo pismo poslali, vsebovala pa je datoteko “Gesla.html”. V osnovni mapi sta se nahajali še datoteki “Mail-dostop.html” in “SluzbeniDokumenti.html”. Mapa “Slike” je imela funkcijo, da ustvari lažno domačnost pomnilnega medija, ostale datoteke pa so se ob kliku odprle v brskalniku. Pri tem se je z našega strežnika poleg logotipa naložila tudi majhna (nevidna) slika. Z njeno pomočjo smo pridobili podatek v katerem podjetju je bil USB ključ uporabljen. Podatke, ki smo jih zbirali so šifra pod katero smo v tem eksperimentu vodili določeno podjetje, katera datoteko s končnico .html je sprožila ukaz in ime podjetja ter IP naslov iz katerega je bil ukaz izvršen.

Primer pisma, ki smo ga poslali 25 slovenskim podjetjem.

Primer pisma, ki smo ga poslali 25 slovenskim podjetjem.

Podjetja so prejela pisemsko pošiljko z dopisom, ki smo ga napisali ročno, ga skopirali in natisnili v 25 izvodih. Na dopis smo z lepilnim trakom prilepili USB ključ. V dopisu je pisalo, da smo priloženi USB ključ našli pred vhodom v njihovo podjetje in glede na vsebino ključa menimo, da le-ta vsebuje pomembne dokumente ter da verjetno pripada enemu od njihovih zaposlenih. V dobri veri ga želimo vrniti lastniku.

 

Zbiranje rezultatov

Eksperiment je potekal v dveh delih. V prvem delu smo želeli ugotoviti koliko podjetij bo USB ključ uporabilo, v drugem delu pa smo vsa sodelujoča podjetja poklicali in od njih želeli izvedeti:

  • kaj se je s pošto oz. USB ključem dogajalo v podjetju,
  • ali imajo podjetja notranji ali zunanji IT,
  • ali ima določeno podjetje vpeljano varnostno politiko za področje informacijske varnosti ali vsaj pravilnik o ravnanju z določenimi napravami, kot so pomnilni mediji in druge naprave,
  • ali v podjetju izvajajo izobraževanja na področju informacijske varnosti in kako pogosto to počnejo,
  • ali bi želeli brezplačno izvedbo delavnice z naše strani, na sedežu njihovega podjetja?

Ob začetku eksperimenta nismo vedeli kakšne rezultate naj pričakujemo. Želeli smo si dobrih rezultatov v smislu da USB ključki ne bi bili velikokrat uporabljeni, saj bi to pomenilo, da je ozaveščenost uporabnikov v obravnavanih slovenskih podjetjih dobra. Preden razkrijemo rezultate lahko sami poskusite uganiti koliko izmed 25 podjetij je USB ključ uporabilo?

 

Rezultati raziskave

Rezultati so zaskrbljujoči in malce presenetljivi. Kar 23 od 25 podjetij (92%) je poslani USB ključ uporabilo. Z drugimi besedami to pomeni, da je 92% zajetih podjetij možno izpostavljenih različnim tveganjem, saj bi se v primeru, da bi naši pomnilni mediji da-ne vsebovali zlonamerno kodo, lahko znašli v velikih težavah, kjer bi lahko bila ogrožena celotna informacijska infrastruktura podjetja.

Kot smo že omenili, smo na USB ključ namestili tri datoteke, ki so imele enako funkcijo, da nam sporočijo katero podjetje je ključ uporabilo in katero od datotek je uporabilo za izvedbo ukaza s katerim smo pridobili podatke za analizo. S tremi različnimi datotekami smo želeli ugotoviti tudi katero izmed njih uporabniki kliknejo z večjo verjetnostjo. Rezultati so pokazali, da v tem pogledu ni razlik, saj so vsako izmed datotek uporabniki uporabili v 84% odpiranj. V primeru enega podjetja uporabnik sicer ni uporabil nobene od .html datotek, smo pa iz telefonskega pogovora ugotovili, da je ključ bil vstavljen v delovno postajo in da so pregledali samo slike, kar pa samega dejanja ne omili.

V 24% primerov so USB ključek pregledali IT strokovnjaki v podjetjih, vendar so v dveh primerih ključek dobili v pregled šele po tem ko je ta bil uporabljen s strani zaposlenih, v treh primerih so IT strokovnjaki sami uporabili ključek, le eden pa je vsebino ključkaizobraz pravilno uničil brez odpiranja .html datotek. V 84% primerov so tajnice  oziroma ostali zaposleni USB ključ uporabili na lastno pest, v dveh primerih kot že rečeno pa je po uporabi prišel na IT oddelek v podjetju. Od podjetij, ki so nam posredovali dodatne informacije smo izvedeli, da v 32% imajo vpeljane razne varnostne politike, 16% jih ima vpeljane različne tehnične rešitve in le 20% jih v rednih intervalih izvaja izobraževanja za zaposlene. Dodatne informacije smo uspeli pridobiti od 18 podjetij, kjer smo ugotovili tudi, da imajo v 32% notranji IT in v 36% zunanji IT, ostala podjetja podatka niso delila z nami.

Pri telefonskem pogovoru smo naleteli na različne odzive. Enim se je eksperiment zdel odlična ideja, drugi so imeli negativen odnos, ker smo jih zaposlili z iskanjem lastnika  USB ključa, tretjim ni bilo do pogovora o tej tematiki, v enem primeru pa je celo prišel odgovor, da oseba na IT oddelku nima nič z informacijsko varnostjo oziroma se je ne tiče.

IT grafEksperiment je kljub izvedbi v omejenem obsegu pokazal resnično stanje v zajetih slovenskih podjetjih, ki je precej zaskrbljujoče. Menimo, da bomo s tem ljudem pokazali kako pomemben je človeški faktor in da je potrebno vire usmeriti tudi na to področje. K varnosti določene organizacije moramo pristopiti sistematično in pokriti vsa področja delovanja. Če zanemarimo samo eno področje, je to dovolj da je organizacija izpostavljena tveganjem. Le s kontinuiranim izobraževanjem kadra bomo lahko k varovanju informacij pristopili efektivno.

Prav s sistematičnim pristopom k varovanju informacij se ukvarjamo v ekipi Safe Mode, kjer se osredotočamo predvsem na uporabnike, s svežim pristopom pa omogočamo cenovno sprejemljivost storitev, ki si jih lahko privoščijo tudi mala in srednje velika podjetja.

Ekipa Safe Mode nudi brezplačno svetovanje organizacijam, z namenom ozaveščanja vodstva o pomenu celovitega pravilnega ravnanja z informacijami. Na delavnici predstavimo primere zlorabe informacij v slovenskih podjetjih, praktične načine tehničnih in socialnih zlorab ter predstavimo rešitve, ki bi lahko znatno pripomogle k dvigu zavesti in ravni varnega dela z informacijami.

 

Za brezplačno svetovanje nas lahko kontaktirate:

– Tel: 080 1235

– E-pošta: info@safe-mode.net

in rezervirate termin, ki vam ustreza.

Ekipa Safe Mode

V želji po izboljšanju varovanja informacij v slovenskih organizacijah smo v skupini Safe Mode združena tako zasebna podjetja, ki nudimo svetovalne, tehnične in pravne rešitve, kot tudi javne izobraževalne ustanove.

Published