Det amerikanske sikkerhetsselskapet Comptia gjennomførte i fjor høst et eksperiment hvor selskapet utplasserte 200 USB-minnepinne på flere offentlige og travle steder, blant annet flyplasser og kafeer, i fire amerikanske storbyer.
Innen en ukes tid hadde 17 prosent av minnepinnene ikke bare blitt plukket opp og plugget til pc-er. Personene hadde også åpnet en tekstfil som var lagret i enhetene og enheten åpnet spesiell nettadresse som var oppgitt der, eller sendt en e-post til en oppgitt adresse.
Ved hjelp av disse tilbakemeldingene kunne Comptia registrere hva som hadde skjedd med hver minnepinne. Men tenk om minnepinnene hadde inneholdt potent skadevare?
IT-kompetanse ingen hindring
Av resultatene kunne Comptia se at personenes IT-kompetanse ikke var avgjørende for om personene plukket opp og plugget inn minnepinnen. Blant annet var det flere IT-medarbeidere som gjorde dette med flere av minnepinnene som var blitt utplassert ved San Francisco International Airport.
Comptia fikk også en e-post som stammet fra et sikkerhetskontor i en kontorbygning som tilhører et multinasjonalt selskap. Dessuten var det flere av dem som sendte e-post som i e-post spurte om minnepinne hadde skadevare, noe som tyder på at de forstod at det kunne være en risiko for dette. Likevel tok nysgjerrigheten tydeligvis overhånd.
Ifølge Comptia var det en overvekt av unge mennesker som plugget inn USB-pinnene. Selskapet, som blant annet tilbyr bedrifter opplæring i IT-sikkerhet, mener ikke overraskende at unge IT-brukere oftere mangler opplæring på dette området. Dette til tross for at mange av dem har brukt datamaskiner omtrent siden de ble født.
Hyppig brukt angrepsvektor
Svært mange av IT-angrepene som skjer rundt om i verden, skyldes at IT-systemer blir infisert via USB-baserte minnepinner som inneholder skadevare. Dette gjør det også mulig å infisere systemer ikke er knyttet til noe nettverk. Derfor er det god grunn til å være forsiktig med innholdet på slike enheter, i alle fall dersom man ikke vet hvor det stammer fra.
I en større rapport hvor minnepinne-eksperimentet omtales, forteller det også om en undersøkelse blant 1200 fulltidsansatte i USA. 45 prosent av disse oppgir at de aldri har fått noen IT-sikkerhetsopplæring på jobben.
Undersøkelsen viste også at 94 prosent av de intervjuede i blant kobler sine mobile enheter til offentlige WLAN-soner, og at 69 prosent i denne grunnen også håndterer jobbrelaterte data mens bruker slike åpne, trådløse nett.
Det er relativt enkelt for en angriper å sette opp en falsk WLAN-sone og kontrollere all trafikk som går gjennom denne. For å sikre seg mot dette, kan man for eksempel bruke en VPN-forbindelse.
