» »

Dva izmed treh USB-ključev okužena, pazite na osebne podatke!

Dva izmed treh USB-ključev okužena, pazite na osebne podatke!

Sophos - Sophos je izvedel zanimivo raziskavo stanja USB-ključev, ki je pokazala zaskrbljujočo pogostnost okužb in malomarnost lastnikov pri zaščiti osebnih podatkov. Od avstralskega upravljavca železnic so na dražbi kupili 57 najdenih USB-ključev, ki so jih nevestni lastniki izgubili in jih niso prišli iskat. To je sicer razumljivo, saj nov ključ stane zgolj nekaj dolarjev, a kaj ko z izgubo v neznano izpostavijo tudi svoje podatke.

Sophos je analiziral 57 kupljenih USB-ključev in ugotovil, da je večina okuženih. Izmed kupljenih ključev jih je bilo sedem neuporabnih, tako da so preizkus izvedli le na preostalih 50, ki so imeli skupaj 137 GB kapacitete. Kar 33 izmed 50 ključev je bilo okuženih s tako ali drugačno verzijo škodljive programske opreme (malware), mnogi so jih imeli kar več vrst in verzij. Pri tem je zanimivo, da je bila vsa nesnaga prilagojena za Windows, čeprav so bili med predhodnimi lastniki tudi uporabniki macov. Še bolj zanimivo je bilo, da je bil na sedmih izmed devetih ključev, ki so bili sicer v uporabi na macih, malware za Windows.

Na ključih so seveda našli tudi kopico osebnih podatkov, pri čemer sploh niso izvajali forenzične analize, ampak so zgolj pregledani dostopne datoteke. Našli so zapisnike službenih sestankov, podatke o dohodnini, šolske seminarje, prijave za delovno mesto z življenjepisom, zasebne slike itd. Na nobenem izmed ključev ni bilo prav nikakršne zaščite, kaj šele resnega šifriranja podatkov.

Pridobljeni podatki niso novi ali presenetljivi, ponujajo pa mnogo smernic za preventivno vedenje. Vrednost USB-ključa je izključno v podatkih na njem, saj je bila cena za kos na dražbi višja od cene novega. Ker jih zaradi majhnosti zlahka založimo ali izgubimo, je nadvse pomembno, da so podatki na njih zaščiteni. Šifriranje je enostavno, brezplačno in ne vpliva na hitrost (najbolj priljubljen program je TrueCrypt), zato ni prav nobenega razloga, da ga ne uporabljate. Drugi pomemben nauk pa je, da so USB-ključi še slabši od starih disket, kar se tiče varnosti. Predpostavljati je treba, da je za vsak USB-ključ bolj verjetno, da je okužen kakor obratno, in tako tudi ravnati. Prva postaja po vstavitvi neznanega ali znanega ključa prijateljev mora biti protivirusni program.

42 komentarjev

win64 ::

Jst se bom spotaknu ob del, ki pravi da truecrypt ne vpliva na hitrost? Bi mi avtor novice kako nek program/storitev/gonilnik, ki vsak blok preden ga zapiše na medij šifrira ne vpliva na hitrost?

Sicer pa se bolj pazite vstavljanja ključkov v fotokopirnicah, tam dobiš vsega boga na ključ.

MrStein ::

Izklopiš "Automatic Virus Execution" service v winsih, pa si rešil 90% problema.

Iz neznanega razloga se ta servis v GUI označuje z "AutoPlay".
Verjetno zaradi R-ratinga...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

RejZoR ::

Jezst ponavadi najprej sformatiram disk, pol pa spustim čez celotni medij random data scrambler, ki povozi vse podatke z naključnim garbage podatki. Lahko bi uporabil DoD class, ampak za domače potrebe traja mnogo predolgo, sploh pa preveč obrabi flash čipe z večkratnim prepisovanjem. Pač tolk, da ne mor eglih vsak drekač pobrskat vsega kar sem imel gor. Če pa se bo kdo tolk potrudil, pol pa naj vidi tisti pr0n in druge neumnosti. Na medijih, kjer pa nosim osebne podatke pa vse brišem z DoD class metodami.
RejZoR's Flock of Sheep @ www.rejzor.tk

N4g4c3N ::

Kolikor vem je autorun za USB kluče na Win 7 po defaultu izklopljen? Pri XPjih se spomnim, da izklop niti ni bil tako trivialen (potrebnega je bilo nekaj čaranja po registru).

Zanimivo je to, da so železnice prenosne medije kar dale na dražbo, kljub temu da so na njih bili osebni podatki.

RejZoR ::

Če nisi izklapljal UAC je vbistvu vseeno al imaš AUtoPlay omogočen ali ne. Ker ti bo itaq UAC javil, da se hoče nekaj pognati iz ključka.
RejZoR's Flock of Sheep @ www.rejzor.tk

technolog ::

50 ključkov?

Res reprezentativen vzorec, bravo.

Zgodovina sprememb…

McLuzo ::

RejZoR je izjavil:

Jezst ponavadi najprej sformatiram disk, pol pa spustim čez celotni medij random data scrambler, ki povozi vse podatke z naključnim garbage podatki...


Aha, torej ti razmišljaš vnaprej, ker čutiš na vodi da boš izgubil USB ključ al kaj... Prodajajo NAJDENE USB ključe, še s tem se nej ubadajo za varno brisanje podatkov.

5er--> ::

On to naredi po tem, ko je že nekaj časa ključek uporabljal brez kriptiranja.
Nato pa na ključku ustvari truecrypt container in vse stare podatke prenese vanj.

Blisk ::

Vključiš prikaz skritih datotek in če najdeš gor autorun.inf in pa neke exe fajle potem je virus gor....

user1618 ::

TrueCrypt ipd. komu se sploh da ukvarjat s tem. Naj naredijo ključke take, da te bo povprašal po geslu, ko ga priklopiš. Ali vsaj pin. Enostavno in totalno nezahtevno za uporabo.

levaky ::

Mislm da ima Sandisk nekaj takega.
---
http://www.zunaj.si - outdoor blog

mrtnxii ::

Blisk je izjavil:

Vključiš prikaz skritih datotek in če najdeš gor autorun.inf in pa neke exe fajle potem je virus gor....

Saj ima (skoraj) vsak CD ki ga kupiš .inf in .exe datoteko. Če sta ta dva fajla na USB ni nič drugače. Sploh pa autorun.inf datoteko lahko odpreš z beležnico in vidiš kaj je notri...

matejdro ::

N4g4c3N je izjavil:

Kolikor vem je autorun za USB kluče na Win 7 po defaultu izklopljen? Pri XPjih se spomnim, da izklop niti ni bil tako trivialen (potrebnega je bilo nekaj čaranja po registru).


Tudi na XP ni popolnoma avtomatskega autplaya na ključekih (moreš kliknit "launch application" ali nekaj takega)

sammy73 ::

Jaz sem si ključe sformatiral v ext4 in mi jih 95% folka ne more ne prebrati in ne okužiti.

matejdro ::

Samo problem je potem, da tudi ti na 90% računalnikov teh ključev ne moreš uporabljati.

Zgodovina sprememb…

  • spremenil: matejdro ()

sammy73 ::

Saj TrueCryptanih tudi ne moreš.

Tomay ::

Tudi jaz sem začuden nad velikostjo vzorca. Je pa res, da na šolskih ali kakih "javnih" računalnikih hitro stakneš mallware, ki ti ga tudi vsi protivirusni programi ne odkrijejo.

Če uporabljaš linux lahko ključek pustiš v fat, ker linuxa ne boš tako hitro okužil. Truecrypt pa snameš z interneta in so za razliko od ext4 datoteke kriptirane.
Voodoo 4Ever

matejdro ::

sammy73 je izjavil:

Saj TrueCryptanih tudi ne moreš.


A ni tako, da pri TrueCryptu samo vpišeš geslo? Pri ext pa si moraš še dolpotegnit razne dodatne programe (ali pa uporabit linuxe).

lobo_feroz ::

matejdro je izjavil:


Tudi na XP ni popolnoma avtomatskega autplaya na ključekih (moreš kliknit "launch application" ali nekaj takega)


Če se prav spomnim, je dovolj da klikneš na ikono od ključka pod my computer in zadeva se zažene. Da to izklopiš je pa potrebno nekaj šarjenja po registru. En povprečen uporabnik je tako brez problemov okužil računalnik potem, ko je nesel ključek v kopirnico.:|

boogie_xlr ::

Zakaj nimajo ključki read only stikalo, tako kot ga imajo sd kartice?

MrStein ::

Izklop AutoPlay pod XP je "en klik" (torej ena nastavitev v Group Policy oziroma je nekje tudi v registru).

Glede enkripcije je zelo priročen EFS vgrajen v NTFS. Če instaliraš certifikat na PC, so avtomatsko vidni vsi fajli. Slabe strani:
- imena fajlov so vedno vidna
- nima vsaki "edition" Windows to podprto
- lahko se zavozla pri kreiranju novih fajlov (mimogrede upoorabi na novo kreiran certifikat, ki ga seveda na drugem PC nimaš in ne moreš prebrati fajle)


TrueCrypt pa je 3rd party program in ga je treba pred uporabo instalirati (kot administrator).

boogie_xlr je izjavil:

Zakaj nimajo ključki read only stikalo, tako kot ga imajo sd kartice?

Nekateri redki ga imajo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

levaky ::

MrStein je izjavil:


TrueCrypt pa je 3rd party program in ga je treba pred uporabo instalirati (kot administrator).


Verjetno obstaja Portable verzija ravno v te namene.
---
http://www.zunaj.si - outdoor blog

MrStein ::

Ki prav tako zahteva klikanje in Administratorske pravice.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

NSA Agent ::

To pomoje malo pretiravajo "Dva izmed treh USB-ključev okužena"

Pomoje je bil en kluč okužen. Ta jim je potem okužil testni sistem.
In zaradi tega so bili vsi naslednji ključi tudi okuženi. ;)

SkipEU ::

user1618 je izjavil:

TrueCrypt ipd. komu se sploh da ukvarjat s tem. Naj naredijo ključke take, da te bo povprašal po geslu, ko ga priklopiš. Ali vsaj pin. Enostavno in totalno nezahtevno za uporabo.


Komu se da vpisovat neko geslo. Ključek je moj in ko ga vtaknem, zahtevam da takoj dela, ne pa da paranoično čakam, da vpišem kodo.

Bor H ::

Vse je odvisno od tega kaj na klučku prenašaš, slik iz potovanja ne mislm kriptirat, arhiv mailov pa verjetno bi.

RejZoR ::

Mislim, a ni očitno, da sem govoril o prodaji rablenih tovrstnih naprav? Ne vem kdaj si lahko sformatiral napravo, ki je nimaš več, ker si jo izgubil. A folk sploh še zna kej razmišljat al ste že vsi rastlince, ki kr neki klofajo v polje za text?
RejZoR's Flock of Sheep @ www.rejzor.tk

[D]emon ::

boogie_xlr je izjavil:

Zakaj nimajo ključki read only stikalo, tako kot ga imajo sd kartice?


Vcasih (years ago) so ga imeli. Imam 32MB unknown brand (z natisnjenim Microsoft logotipom) in Canyon 128MB se od zacetkov tega in imata oba stikalo za onemogocanje pisanja. Na novejsih pa zal tega vec ni. Najverjetneje zato, ker je folk neumen in bi ob vsakem problemu tezili tech supportu ali cemu podobnemu.
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

ingo ::

Pa lahko USB kljuc na katerem tece ta TrueCrypt uporabljas na win in linuxu?

5er--> ::

cryptozaver ::

Vsekakor nepoznanih USB pomnilnikov ni pametno priključevat na produkcijsko mašino. Tut AV ti kaj dosti ne pomaga.

Izi ::

Jaz povsem verjame, da je bilo 7 izmed 9 ključev okuženih in enaka ali pa še večja številka velja tudi za osebne računalnike. Seveda so lastniki vedno 100%, da oni pa že nimajo okuženih računalnikov, pa sem VEDNO na vsakem računalniku, ki sem ga do sedaj "čistil" našel med 20 in 30 različnih okužb.
In to lastnikom nekako uspe okužiti kljub temu, da jim na računalnik naložim najnovejši antivirus, ki se stalno posodablja in še vsaj dva antimalware programa, ki stalno tečeta v ozadju in se tudi stalno posodabljata. Povprečno pa ti uporabniki po mojih izkušnjah naberejo po 10 različnih okužb na mesec. Pa so to vsi uporabniki, ki sebe smatrajo za bolj usposobljene in ozaveščene uporabnike. Ti so pravzaprav najhujši, ker "znajo" že sami nameščati in odstranjevati nove programe.

Z disketami pa jaz USB ključkov vseeno nebi primerjal. Diskete so bile vedno okužene prav vse. V času, ko so bile diskete najbolj razširjene, si disketo okužil, samo če si jo vtaknil v okužen računalnik, brez da bi nanjo karkoli zapisal in potem obratno, ko si disketo vtaknil v drug računalnik je bil ta v hipu okužen brez da bi karkoli poganjal iz diskete. Takrat operacijski sistemi niso sami po sebi nudili nobene zaščite proti avtomatskemu zaganjanju sumljivih programčkov tako kot danes, ko je vse zaščiteno na 100 načinov in moraš desetkrat potrditi in klikniti "Yes" preden si okužiš računalnik, kar pa okužb ne zmanjša kaj dosti.
Že samo iz prebiranja foruma za pomoč na Slo-Techu, je jasno, da ima vsaj polovica uporabnikov precej okužene računalnike.

Blisk ::

mrtnxii je izjavil:

Blisk je izjavil:

Vključiš prikaz skritih datotek in če najdeš gor autorun.inf in pa neke exe fajle potem je virus gor....

Saj ima (skoraj) vsak CD ki ga kupiš .inf in .exe datoteko. Če sta ta dva fajla na USB ni nič drugače. Sploh pa autorun.inf datoteko lahko odpreš z beležnico in vidiš kaj je notri...


CD ja ne pa USB ključ. Ko ga kupiš, če ima to gor takoj brišeš, ker se je že zgodilo, da so prodajali okužene ključe.
Pa tudi tako lahko potem vidiš če je ključ okužen.

Sploh je najbolj pametno ko dobiš USB ključ, da ga najprej formatiraš. Kdor tega ne naredi naj potem ne jamra zakaj in kako!
Pa če imaš kake osebne podatke daš še truecrypt gor...

Izi je izjavil:

Jaz povsem verjame, da je bilo 7 izmed 9 ključev okuženih in enaka ali pa še večja številka velja tudi za osebne računalnike. Seveda so lastniki vedno 100%, da oni pa že nimajo okuženih računalnikov, pa sem VEDNO na vsakem računalniku, ki sem ga do sedaj "čistil" našel med 20 in 30 različnih okužb.
In to lastnikom nekako uspe okužiti kljub temu, da jim na računalnik naložim najnovejši antivirus, ki se stalno posodablja in še vsaj dva antimalware programa, ki stalno tečeta v ozadju in se tudi stalno posodabljata. Povprečno pa ti uporabniki po mojih izkušnjah naberejo po 10 različnih okužb na mesec. Pa so to vsi uporabniki, ki sebe smatrajo za bolj usposobljene in ozaveščene uporabnike. Ti so pravzaprav najhujši, ker "znajo" že sami nameščati in odstranjevati nove programe.

Že samo iz prebiranja foruma za pomoč na Slo-Techu, je jasno, da ima vsaj polovica uporabnikov precej okužene računalnike.

No to me pa zanima kake okužbe ti najdeš gor? Pri vsej tej zaščiti PCja????

Najboljša zaščita PCja je dober antivirusni program in posebej firewall.

Zgodovina sprememb…

  • spremenil: Blisk ()

satfinder ::

Se vedno veliko ljudi klika samo yes ... -)
Nic NE razmisljajo, nic ne berejo, ... kaj sploh potrdijo ... -)
in "zbirajo" toolbare kot posledico neodkljukovanja
..., ko namescajo programe ...
Korak do konca in Naprej :).

Zgodovina sprememb…

MrStein ::

Izi je izjavil:


In to lastnikom nekako uspe okužiti kljub temu, da jim na računalnik naložim najnovejši antivirus, ki se stalno posodablja in še vsaj dva antimalware programa, ki stalno tečeta v ozadju in se tudi stalno posodabljata.

Potem verjetno že refleksno klikajo "Yes" na vsa opozorila, če jim jih servirajo kar trije programi... ;)


V času, ko so bile diskete najbolj razširjene, si disketo okužil, samo če si jo vtaknil v okužen računalnik, brez da bi nanjo karkoli zapisal in potem obratno, ko si disketo vtaknil v drug računalnik je bil ta v hipu okužen brez da bi karkoli poganjal iz diskete.

PC sploh ne reagira na vstavljeno disketo. Mogoče si z Amigami zamešal.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Izi ::

MrStein je izjavil:

PC sploh ne reagira na vstavljeno disketo. Mogoče si z Amigami zamešal.

Mislil sem na Amigo, ja. Prav vse diskete do zadnje sem imel okužene.

BaToCarx ::

MrStein je izjavil:


PC sploh ne reagira na vstavljeno disketo. Mogoče si z Amigami zamešal.


Se mi zdi, mam slab spomin, samo je blo par virusov, ki so samo vsake tolk časa neki sprožli in ti je floppy blinknil, in če je bila disketa noter, je začel ružit in ti jo je okužil.

romanm ::

Od avstralskega upravljavca železnic so na dražbi kupili 57 najdenih USB-ključev, ki so jih nevestni lastniki izgubili in jih niso prišli iskat.

So razmislili o možnosti, da so jih "nevestni lastniki" namenoma pustili okužene na javnem kraju?

Zgodovina sprememb…

  • spremenil: romanm ()

Izi ::

romanm je izjavil:

So razmislili o možnosti, da so jih "nevestni lastniki" namenoma pustili okužene na javnem kraju?
S svojimi življenjepisi za iskanje službe, s fotkami z dopusta in s službenimi dokument? Ne, ni bilo namenoma :P

Zgodovina sprememb…

  • spremenil: Izi ()

mkljun ::

Izi je izjavil:

S svojimi življenjepisi za iskanje službe, s fotkami z dopusta in s službenimi dokument? Ne, ni bilo namenoma :P


To vse se da namenoma naložit na ključek. Tako izgleda bolj "izgubljen" in manj sumljiv. Kaj bi mi brez socialnega inženiringa.

Matevžk ::

romanm je izjavil:

Od avstralskega upravljavca železnic so na dražbi kupili 57 najdenih USB-ključev, ki so jih nevestni lastniki izgubili in jih niso prišli iskat.

So razmislili o možnosti, da so jih "nevestni lastniki" namenoma pustili okužene na javnem kraju?

Prva stvar, ki je meni prišla na misel po branju novice: njihovo vzorčenje sucks, dobili bodo pristranske rezultate. :)
lp, Matevžk

fosil ::

Truecrypt je sicer fajn in zaščiti podatke če ga zgubiš, ampak ne prepreči pa okužbe ključka.
Ko ga odkleneš lahko virus piše noter ravno tako kot ti.
Tako je!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

USB napetost

Oddelek: Strojna oprema
6423 (252) hojnikb
»

odstranjevanje usb ključa

Oddelek: Strojna oprema
222112 (1600) vostok_1
»

Zaščita USB ključa pred pisanjem

Oddelek: Strojna oprema
132582 (1902) MIHAc27
»

Dva izmed treh USB-ključev okužena, pazite na osebne podatke!

Oddelek: Novice / Varnost
4210352 (7283) fosil
»

"Skriti" podatki v avtomobilih (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
14313064 (7084) Utk

Več podobnih tem