Är detta ett troligt scenario? Kan du i så fall skydda dig? Det finns flera tänkbara typer av USB-attacker. Den kanske vanligaste bygger på att du ska klicka på någon form av fil som till exempel kan försöka fånga in dina användaruppgifter, plantera en trojan eller som exekverar kod för att till exempel kryptera dina filer. Dessa filer har ofta namn för att locka dig klicka på dem, t.ex. Konfidentiellt, xxx-bilder, marknadsplan, produktidé eller CV.
Den andra vanliga typen av attack bygger på att detta inte är en vanlig USB-sticka, utan en så kallad BadUSB. En vanlig typ är HID USB, Human Interface Device, som innehåller en sinnrik krets som får USB-stickan att verka som ett tangentbord. Så snart du sticker in stickan i din USB-port så aktiveras tangentbordsprogrammet och börjar automatiskt skriva kommandon. Det går blixtsnabbt och du kommer troligen inte se mer än en blinkning. Det kan till exempel vara kod som etablerar en spegling av din dator till en utomstående som nu ser allt på din dator, ungefär som när du delar skärm i Teams eller zoom. Angriparens kod kan även skapa ett reverse shell där din dator kopplar upp sig mot angriparens dator och ger på så sätt angriparen möjlighet att styra din dator utan att du ser det. Allt du kan gör med ditt användarkonto är nu öppet och tillgängligt för angriparen.
Vid ett experiment som gjorts med denna typ av attacker av ett stort, där stickor lagts ut på olika platser som parkeringsplatser, i kaféer, etc. så visade det sig att 95% hittades och hela 75% av de som hittade stickan klickade på filerna och triggade den fingerade attacken. Så uppenbarligen är det en effektiv attackmetod.
Kan du då skydda dig och din organisation? Det kan tyckas att det säkraste vore att ställa in alla datorer i organisationen att inte acceptera externa lagringsenheter Som USB-stickor. Det gör man genom att sätta säkerhetspolicys för organisationens datorer att inte tillåta USB-stickor eller externa lagringsenheter. Det löser troligen den första typen av attack, men troligen inte den andra typen HID attacken. Problemet är att en HID ses som ett tangentbord och kan slinka igenom en sådan policy.
Om användaren skulle stoppa in en HID sticka i sin arbetsdator så kan man även försöka minska effekterna av det. Ett sätt är att inte tillåta användare att Installera programvara eller att vara lokala administratörer på sin dator. Generellt bör man alltid sträva efter att inte ge mer behörighet till en användare än de absolut måste ha på nätverket eller i olika IT-system för att kunna utföra sina arbetsuppgifter. På det viset minskas risken att programvara kan exekveras eller installeras. Om användaren drabbas så minskas även effekten på vad angriparen kan åstadkomma.
Inget vanligt användarkonto ska heller ha administratörsrättigheter i nätverket. Se till att de som arbetar som administratörer i organisationen enbart loggar in med administratörsbehörighet när det är nödvändigt. Många av dessa HID-skript arbetar även genom att aktivera Powershell, Bash eller kommando prompten på användarens dator och skriva programkod och kommandon där. Genom att inte tillåta vanliga användare att starta dessa verktyg så minskas riskerna ytterligare. För de som ändå behöver dessa verktyg i sitt jobb så kan man uppdatera policyn för ConsentPromptBehaviourAdmin till att kräva lösenord om någon försöker starta program med administratörsbehörighet.
Det finns även programvara man kan installera på alla användarens datorer som monitorerar hur många tecken per minut som kommer in från tangentbordet. En HID USB skriver mycket snabbt, runt 60 tecken per sekund medan en snabbskrivande människa kanske kan komma upp i ett par tecken per sekund. Om programvaran detekterar onormalt hög teckenhastighet på tangentbordet så kan tangentbordet, den misstänkta HID USB-stickan, blockeras. En sådan programvara är duckhunt.
Det bästa komplementet är sedan att utbilda din personal i allmänt säkerhetsmedvetande. I det ingår att aldrig stoppa in främmande utrustning i organisationens datorer. Utbildningen bör vara årligt återkommande, repetition är ju som vi vet inlärningens moder.
Ett sätt att ändå kunna titta på innehållet i en USB sticka på ett säkert sätt är att använda en dator som inte är inkopplad på nätverket. Det kan med fördel vara en enkel dator som en Raspberry PI eller en gammal pensionerad dator. Lär personalen att de ska lämna in upphittad utrustning till säkerhetsansvarig som kan följa strikta instruktioner i hur man hanterar dem.