Em um estudo recente, pesquisadores do Google e das universidades de Illinois e Michigan deixaram cair cerca de 300 memórias USB no campus da Universidade de Illinois em Urbana e Champaign (Estados Unidos) e observaram quantas seriam efetivamente conectadas aos computadores de outros estudantes.
Disponibilizar dispositivos infectados esperando que alguém os conecte é uma técnica clássica de pentesting, e se você acompanha a série Mr. Robot lembrará que Darlene colocou isso em prática para que Elliot pudesse acessar ao sistema da prisão.
Os resultados do estudo foram alarmantes e demostraram como os dispositivos USB podem ser perigosos. “Descobrimos que os usuários encontraram, conectaram e deram clique nos arquivos de 48% dos pendrives”, comentaram os autores do relatório. “E não pensaram muito: a primeira unidade UBS foi conectada em menos de seis minutos”.
Um pequeno número, apenas 32%, tomou precauções para proteger-se de possíveis ameaças. Entre os que consideraram usar medidas de proteção, 16% analisaram a unidade com software antivírus, enquanto que 8% confiaram que o sistema operativo ou software de segurança os manteriam protegidos.
Talvez o mais surpreendente seja o fato de que os outros 8% “sacrificaram” um computador pessoal ou utilizaram equipamentos da Universidade para proteger o próprio equipamento.
“Essas pessoas não são tecnicamente incompetentes; mas poderíamos dizer que são membros típicos da comunidade que se arrisca um pouco mais que seus pares”, explicaram os autores do relatório.
“Concluímos com uma lição e com a discussão de que as táticas de Engenharia Social (embora menos técnicas) continuam sendo um vetor de ataque efetivo que nossa comunidade ainda não conseguiu abordar com sucesso”, destacou.
A segurança das memórias USB é defeituosa por natureza
Este estudo demonstra claramente que a curiosidade continua estando em primeiro lugar, já que as pessoas conectam memórias USB sem se preocupar com as possíveis consequências.
Já ocorreram alguns exemplos de ataques notáveis que causaram prejuízos significativos: o infame malware Stuxnet realizou um ataque as usinas de centrífugas de enriquecimento de urânio iranianas por meio de unidades USB infectadas, enquanto que, em março deste ano, encontraram 18 unidades com malware em uma usina nuclear na Alemanha.
O problema é que os ataques de malware iniciados por meio de unidades USB são cada vez mais populares no mercado negro. Os cibercriminosos reconhecem que é uma forma fácil de infectar pessoas ou empresas.
Uma tática comum entre eles é ocultar o código malicioso no dispositivo, de modo que, quando alguém conecta a unidade USB, o código se executa e se instala no computador sem que o usuário perceba. De imediato, o malware se propaga por meio dos equipamentos conectados e os criminosos obtém acesso aos dados da vítima ou usam os computadores infectados para atacar ao alvo final.
Alguns códigos maliciosos em USB são mais perigosos que outros. Por exemplo, o malware BadUSB permite ao cibercriminoso tomar o controle do computador, alterar arquivos sem ser detectado e inclusive dominar o tráfego da Internet do usuário: uma forma muito útil de baixar um payload adicional.
Uma versão mais recente, denominada USB Killer e desenvolvida pelos pesquisadores Dark Purple, parece ser capaz de “fritar” a placa base de um equipamento em apenas alguns segundos depois de inserir o dispositivo no USB.
Alguns chegaram a argumentar que as unidades USB são inseguras pela mesma natureza de seu projeto. Karsten Nohl, o fundador e diretor científico dos Security Research Labs com sede em Berlim, já havia comentado que a maioria das unidades flash USB não contam com proteção para firmware (ou seja, o software que se executa em seu interior, no microcontrolador).
Isso significa que um programa malicioso pode substituir o firmware e, por exemplo, enviar seus próprios comandos às unidades USB como se fosse um teclado.
A perda de unidades USB não é um problema novo
O fato dos ataques serem uma tática cada vez mais comum entre os diferentes tipos de cibercriminosos não é o único problema. Além disso, a situação se agrava ainda mais porque as memórias USB podem ser perdidas ou roubadas com facilidade, terminando em qualquer lugar.
Um estudo realizado pela ESET, no início do ano, revelou que mais de 22.000 memórias USB acabaram em lavanderias e 45% delas nunca foram devolvidas aos proprietários.
Outras ficaram esquecidas em meios de transporte público, principalmente em trens. Embora muitas delas permanecem perdidas, algumas terminaram nas mãos de criminosos e indivíduos oportunistas.
A importância da educação
O problema mais grave que enfrentamos é que as pessoas ainda desconhecem os perigos implicados. Este também é o caso das empresas.
Em 2011, um estudo realizado pelo Instituto Ponemon demonstrou que uma quantidade alarmante de empresas não acredita que a proteção da informação nas unidades USB seja uma medida de alta prioridade. Além disso, menos de um terço das organizações acreditam que tenham as políticas adequadas para prevenir o mal uso das memórias USB.
Ao contrário, quase a metade das grandes organizações perderam informações deliciadas ou confidenciais armazenadas em unidades USB nos últimos dois anos e a taxa continua crescendo significativamente. De acordo com as estatísticas, as organizações perdem em média 12.000 registros de clientes como resultado de unidades USB extraviadas.
Os especialistas em segurança dizem que é imprescindível informar e capacitar aos usuários finais sobre o perigo e as boas práticas a respeito do uso das unidades USB. As campanhas de conscientização sobre segurança são uma boa forma de manter as pessoas informadas.
Algumas empresas adotam um enfoque mais agressivo e proíbe o uso de unidades USB no ambiente corporativo, inclusive fecham as entradas USB, ou proíbem a conexão com dispositivos externos que não são de confiança.
Também é possível criptografar a informação nas unidades USB para protegê-las em caso de perda, embora esta medida não proteja à empresa contra ataques externos.
Lamentavelmente, os dispositivos USB continuam sendo um risco para a segurança. As pessoas são propensas a perdê-los e, além disso, observando o sucesso dos ataques de Engenharia Social por meio de unidades USB (como “esquecer” dispositivos em estacionamentos) significa que os cibercriminosos continuam considerando essa técnica uma forma mais fácil de ter acesso à infomação das organizações.
No entanto, com uma melhor capacitação sobre segurança, mais proteção nas unidades USB e uma melhor consciência com relação as táticas empregadas pelos cibercriminosos, poderá evitar que você seja outra vítima destes ciberataques tão comuns e cada vez mais surpreendentes.