jueves, 12 de abril de 2012

USB con malware dirigido


Si un atacante desea meter un USB con un malware-dirigido (targeted atack) a una infraestructura aislada, qué opciones tiene?

Aunque lo puede lograr usando un doble agente como en el caso de StuxNet, se me ocurren otras:

+ Chica guapa esperando afuera de las oficias repartiendo USB “con ofertas de descuentos”.

+ Dejando caer los USB en las cercanías del Corporativo esperando a que algunos de ellos sean recogidos por los empleados. Se le puede poner la etiqueta de “Celebridades desnudas” o “videos porno”, aunque esto podría lograr que el USB sea visto en casa y no en la PC corporativa. Habrá que inventar mejores etiquetas.

+ Viendo las próximas conferencias de TI a donde puedan ir los empleados y ahí repartirlos; algunos llegarán a sus destinos.

+ Enviando por paquetería los USB diciendo que es un regalo o que tiene información de un producto. Más de uno dentro del corporativo lo meterá a ver qué tiene.

En fin, el chiste para el atacante es idear cómo lograr que un empleado meta un USB a su PC en la empresa. Lo bueno es que si un método falla, no estará todo perdido.

La labor de la gente de Seguridad Informática será alertar a los empleados respecto a estos riesgos, ejemplificarlo y poner controles para eliminar la posibilidad de ejecución desde los USB (Windows provee esta funcionalidad, pero también los antivirus o listas blancas podrán impedir ejecuciones desde estos dispositivos).

Y claro, lo de impedir ejecución desde los USB es necesario hoy en día en todo tipo de infraestructuras de TI, no sólo en las plantas nucleares.