USB - en Usynlig SikkerhedsBrist

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

3,3 millioner dollars. Det kan blive prisen for, at et amerikansk atomforskningslaboratorium ikke sikrede USB-portene (Universal Serial Bus) på organisationens pc'er.

Sagen handler om en medarbejder ved Los Alamos National Security, der ulovligt hentede fortrolige oplysninger om atomforsøg ned på tre USB-nøgler. De blev senere fundet i hans trailer.

Ifølge Computerworld US kræver USA's energiministerium 3 millioner dollars i bøde fra University of California, som er medejer af laboratoriet, og 300.000 dollars fra laboratoriet selv. Bøden skyldes, at de ikke har taget hånd om it-sikkerheden.

Sagen illustrerer, at USB-sikkerhed er blevet et reelt problem. I sikkerhedssammenhæng kan USB stå for "usynlig sikkerhedsbrist". De færreste tænker nemlig over, at USB-porten på pc'en kan bruges til at hente data ud fra den, når blot man har adgang til pc'en nogle få minutter.

Et andet aktuelt eksempel er ormen LiarVB-A. Den spreder sig som mange andre orme via netværksdrev. Men den bruger også flytbare lagringsenheder, herunder USB-diske. Her placerer den sig som en Autorun-fil, der automatisk bliver kørt, når disken tilsluttes.

Ind i sikkerhedspolitikken
DK•CERT anbefaler, at USB-sikkerhed skal indgå i organisationens sikkerhedspolitik. Man kan for eksempel beslutte, at kun godkendte enheder må sluttes til USB-porten.

Endvidere kan man kræve, at alle data automatisk krypteres, når de gemmes på en USB-nøgle.

Disse krav kan organisationen sikre bliver fulgt ved hjælp af tekniske løsninger, der er på markedet. De gør det muligt at styre USB-portene fra centralt hold.

Fundne USB-nøgler
Men teknikken er ikke nok. Medarbejderne skal også undervises. For et år siden prøvede et sikkerhedsfirma at lægge nogle USB-nøgler foran indgangen til en større virksomhed. På enhederne lå et spionprogram, der meldte tilbage til sikkerhedsfirmaet, når enheden blev sat i en pc.

15 af nøglerne blev fundet af medarbejdere i virksomheden – og alle 15 blev koblet til firmaets computere.

Oprindelig bragt på Computerworld Online fredag den 27. juli 2007

LINKS

Keywords: