Si un atacante desea meter un USB con un malware-dirigido (targeted atack) a una infraestructura
aislada, qué opciones tiene?
Aunque lo puede lograr usando un doble agente como en el caso
de StuxNet, se me ocurren otras:
+ Chica guapa esperando afuera de las oficias repartiendo USB
“con ofertas de descuentos”.
+ Dejando caer los USB en las cercanías del Corporativo
esperando a que algunos de ellos sean recogidos por los empleados. Se le puede
poner la etiqueta de “Celebridades desnudas” o “videos porno”, aunque esto
podría lograr que el USB sea visto en casa y no en la PC corporativa. Habrá que
inventar mejores etiquetas.
+ Viendo las próximas conferencias de TI a donde puedan ir
los empleados y ahí repartirlos; algunos llegarán a sus destinos.
+ Enviando por paquetería los USB diciendo que es un regalo o
que tiene información de un producto. Más de uno dentro del corporativo lo
meterá a ver qué tiene.
En fin, el chiste para el atacante es idear cómo lograr que
un empleado meta un USB a su PC en la empresa. Lo bueno es que si un método
falla, no estará todo perdido.
La labor de la gente de Seguridad Informática será alertar a
los empleados respecto a estos riesgos, ejemplificarlo y poner controles para
eliminar la posibilidad de ejecución desde los USB (Windows provee esta
funcionalidad, pero también los antivirus o listas blancas podrán impedir
ejecuciones desde estos dispositivos).
Y claro, lo de impedir ejecución desde los USB es necesario hoy
en día en todo tipo de infraestructuras de TI, no sólo en las plantas
nucleares.
No hay comentarios:
Publicar un comentario