Kto przygarnie znalezionego prendrive’a?

Wyobraź sobie, że spacerujesz, łapiesz Pokémony, korzystasz z pogody, a wokół Ciebie kręcą się inni ludzie i wyprowadzają psy na spacer. Nagle coś przyciąga Twój wzrok — na środku chodnika

Wyobraź sobie, że spacerujesz, łapiesz Pokémony, korzystasz z pogody, a wokół Ciebie kręcą się inni ludzie i wyprowadzają psy na spacer. Nagle coś przyciąga Twój wzrok — na środku chodnika leży pendrive.

dangerous-usb-featured

Co za szczęście! Jak wygrana na loterii! Cieszysz się jak dziecko, ale do głowy napływają Ci kolejne myśli – co na nim jest? Zdjęcia wakacyjnych igraszek? Plan, jak zawładnąć światem? A może praca domowa jakiegoś dziecka? Nie dowiesz się, chyba że…

Tu zatrzymamy się na chwilę. Co być zrobił w takiej sytuacji? Odważyłbyś się podpiąć sprzęt do komputera czy wrzucił do najbliższego kosza? Gdybyś chciał go podpiąć, nie jesteś sam — ale lepiej tego nie robić.

Na ostatniej konferencji Black Hat Elie Burztein zaprezentował wyniki małego eksperymentu społecznego, który przeprowadził jego zespół. Badanie polegało na rozłożeniu 297 pendrive’ów na terenie miasteczka uniwersyteckiego Uniwersytetu Illinois (oczywiście po uzyskaniu na to zgody). Urządzenie zawierało nieszkodliwy skrypt, który informował badaczy, jeśli ktoś włożył je do komputera, a także wysyłał im informacje o czasie i miejscu, w którym ktoś się na to zdecydował.

Wyniki były szokujące: 48% pendrive’ów USB zostało podłączone do komputerów, w większości w ciągu 10 godzin po zabraniu ich z miejsca znalezienia. Co ciekawe, 68% ludzi, którzy je zabrali i podłączyli do komputera, przyznało (w ankiecie przeprowadzonej po teście), że chcieli zwrócić je prawowitemu właścicielowi. Jednak czasami dobrymi chęciami wybrukowana jest droga do piekła.

Wnioski z badania nie pozostawiają złudzeń: jeśli znajdziesz się w sytuacji podobnej do tej, w której znaleźli się studenci poddani eksperymentowi, i znajdziesz urządzenie USB pod swoimi stopami, zostaw je. Jasne, może są na nim czyjeś gorące zdjęcia lub deklaracje podatkowe, ale może to być także podstęp.

Burztein nie miał złych intencji: skrypt na urządzeniu USB nie był złośliwy, a test został przeprowadzony w sposób odpowiedzialny. Jednak tego samego nie można powiedzieć o każdym znalezionym urządzeniu USB.

Podłączanie takiego urządzenia do komputera może spowodować poważne szkody: może umożliwić atakującemu dostęp do komputera i śledzić uderzenia klawiszy klawiatury (także wprowadzane hasła). Może również zainfekować Twój komputer oprogramowaniem żądającym okupu.

Z punktu widzenia cyberprzestępcy jest to dosyć niezły interes: pieniądze na Twojej karcie kredytowej, które może ukraść keylogger, lub okup, którego zażąda program szyfrujący, to z pewnością znacznie więcej niż koszt poświęconego USB. A biorąc pod uwagę to, że 48% ludzi zabrało go ze sobą i podłączyło do komputera, wydaje się to być całkiem intratny biznes.

Zatem, jeszcze raz: wyobraź sobie, że podczas spaceru znalazłeś urządzenie USB. Czy go użyjesz?

A może inaczej — ile jesteś w stanie zaryzykować?

Porady