Afgelopen jaar heeft Fox-IT een
rapport uitgebracht waarin een achttal usb sticks aan de tand zijn gevoeld. Welke stick is veilig genoeg om confidentiele data te mogen bevatten? Uiteindelijk kreeg de Kobil mIDentitiy het predikaat meest veilige usb stick in een "lost-and-found scenario". De betekenis hiervan is duidelijk: zodra de stick wordt verloren zal een vinder geen mogelijkheid hebben om de data te achterhalen.
Ook Defensie heeft eindelijk
de knoop doorgehakt. Na een aantal
blunders in de afgelopen jaren heeft men nu eindelijk besloten de Kingston Data Traveller Elite Secure Privacy Edition te gaan gebruiken, zo is te lezen in de
Defensie krant van begin april.
De thuisgebruiker moet continue rekening houden met een aantal zaken. Verouderde virusscanners, updates, firewall, lekke third party applicaties. Het risico dat de thuisgebruiker loopt is aanzienlijk als hij met deze zaken geen rekening houdt.
Zodra uw pc niet meer up to date is zal ook uw beveiligde usb stick niet meer veilig zijn...
Hetzelfde geldt in principe ook voor de werkomgeving. In de meeste gevallen zullen updates wel worden uitgevoerd. Ook zal de virusscanner wel zijn voorzien van de laatste virusdefinities. Echter heeft onderzoek wel uitgewezen dat werknemers meer risico vormen dan vaak gedacht wordt. Een hacker kan natuurlijk ook van binnen uit uw organisatie komen... Daarbij zijn de werkstations binnen een bedrijf ook een belangrijk element. Als deze niet goed zijn geconfigureerd werkt dat in het voordeel van de hacker. Ook de informatie op usb sticks wordt daarbij niet ontzien.
Als voorbeeld nemen we de Kingston Data Traveller Elite. In principe maakt het niet uit welke stick gebruikt of welke vorm van encryptie gebruikt wordt. Zodra de stick door u in de pc wordt gestoken loopt u het risico dat de bestanden onder uw neus worden gekopieerd... zonder dat u het merkt.
De hacker, die reeds in een eerder stadium voldoende rechten heeft verworven op uw netwerk of uw pc, kan op afstand zien of u gebruik maakt van externe devices. De externe harddisk die aangesloten wordt, de camera, telefoon of usb stick, het maakt niets uit. De hacker ziet een nieuwe driveletter verschijnen.
Met een simpel vb script kan hij in de gaten houden of er op enig moment een nieuw device wordt aangekoppeld.
strComputer = "." '(Any computer name or address)
Set wmi = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set wmiEvent = wmi.ExecNotificationQuery("select * from __InstanceOperationEvent within 1 where TargetInstance ISA 'Win32_PnPEntity' and TargetInstance.Description='USB Mass Storage Device'")
While True
Set usb = wmiEvent.NextEvent()
Select Case usb.Path_.Class
Case "__InstanceCreationEvent" WScript.Echo("USB device found")
Case "__InstanceDeletionEvent" WScript.Echo("USB device removed")
Case "__InstanceModificationEvent" WScript.Echo("USB device modified")
End Select
Wend
Ook met DeviceLock Plug and Play Auditor kunnen in korte tijd hele netwerken gescand worden. Niet alleen de devices die aan de pc zitten kunnen worden gezien, nee, ook de devices die op enig moment in het verleden(!) aan de pc hebben gezeten worden getoond. You will be amazed what you find!
Vervolgens kan op afstand met behulp van computerbeheer het device worden benaderd.
Bij schijfbeheer kan nog even worden gecontroleerd of er inderdaad een device is aangekoppeld. In dit geval wordt er als E volume een removable device gevonden met een capaciteit van 498 Mb.
Om het device ook te kunnen benaderen wordt er een nieuwe bestandsshare aangemaakt. Wel hidden, zodat deze verborgen blijft voor de gebruiker.
De map wordt gedeeld...
Waarna vervolgens de bestanden bekeken en gekopieerd kunnen worden...
