Taggat med: social engineering

TV4 Nyheterna granskar IT-säkerheten med USB-minne

TV4 nyheterna

Under föregående vecka så genomförde TV4 Nyheterna en granskning på ett antal olika myndigheter samt sjukhus. Granskningen gick ut på att en reporter besökte dessa ställen med ett USB-minne och sedan frågade om de kunde skriva ut ett dokument som låg på minnet.

Attacken är allmänt känd sedan tidigare för oss som jobbar med cybersäkerhet och går ut på att antagonisten kombinerar två olika förfaranden, dels social engineering där en individ utnyttjas och luras att stoppa in minnet i en dator. Den delen av attacken använder USB-minnet som en bärare av skadlig kod eller emulerar ett tangentbord (rubber ducky attack).

Även om inslaget lyfter upp en viktig poäng så brister själva förfarandet från TV4. Det är också tråkigt att en av myndigheterna i en intervju påpekar att en individ som har gjort fel.

Om du använder Social Engineering som en attackvektor så kommer alltid en individ att göra fel förr eller senare, därför bör det förutom administrativa rutiner finnas övriga säkerhetshöjande åtgärder som försvårar social engineering-attacker.

Även att påstå som TV4 gör ”ett USB-minne med skadlig kod”, vad för typ av skadlig kod? Tänker de lura någon att klicka på skadlig Exe-program? Öppna ett Word-dokument med makron?

De myndigheter som stoppa in ett USB-minne i en dator är rödmarkerade här:

tv4-granskar-usb

Men hur kan det bli så att myndigheter och sjukhus brister i sina rutiner, om de har några överhuvudtaget gällande USB-stickor.

Jag tror nämligen att dessa undersökta organisationer inte har genomfört följande:

  • Utbildat sina anställda och konsulter/leverantörer om säkerhetspolicys, om sådana överhuvudtaget finns. Vi ser exempelvis i TV4-inslaget att ett annat företag har hand om receptionen.
  • Övat och testat att rutiner fungerar. När testade Er organisation hur många som går på phishing-mail senast?
  • Införa tekniska metoder att försvåra Social Engineering och USB-attacker.

Viktigt också är att poängtera att bara för att någon pluggar in ett USB-minne i en dator så betyder det inte att systemet är sårbart. Det kan finnas ytterligare åtgärder såsom nedlåsningar, antivirus, vitlistning och fristående system som gör svårt att utnyttja USB-attacker.

Organisationer med höga assuranskrav bör givetvis använda ett ett fristående system för USB-överföringar som ökar säkerheten. Sådana system heter bla. Hunna och Impex från Sysctl AB.

Här kan du se inslagen från TV4: