Chiavette USB: innocue scatolette o untori 4.0?
Provate ad immaginare questa situazione: vostra figlia ha ricevuto per compito la stesura di una tesina di una ventina di pagine, che dovrà consegnare il lunedì mattina, ma a casa non avete una stampante.
Oppure, un vostro amico vorrebbe passarvi le foto dell’ultima vacanza che avete fatto assieme, e sono veramente troppe per potervele inviare su WhatsApp!
O ancora, state andando in ufficio e inciampate in un’anonima chiavetta USB abbandonata sul marciapiede, e vorreste provare a capire di chi è per poterla restituire.
In tutti e tre i casi, probabilmente finireste per inserire un dispositivo USB privato nel computer aziendale…
Ma vi sconsigliamo vivamente di farlo.
Cosa potrebbe succedere?
Nell’ambito della Cyber Security, le chiavette USB possono diventare delle vere bombe a orologeria per le aziende. Grandi aziende (come IBM, per citarne una) ne hanno già vietato l’uso ai propri dipendenti, perché considerate una delle principali cause delle infezioni da malware.
La prima criticità che balza all’occhio è il fatto che, per loro natura, le pendrive USB vengono connesse a differenti computer: il nostro PC privato ha delle misure di sicurezza molto inferiori rispetto a quelle aziendali o peggio, se la chiavetta arriva da un conoscente, non possiamo neanche essere sicuri che ne utilizzi! Data questa premessa, questo piccolo ed apparentemente innocuo dispositivo potrebbe veicolare la trasmissione di virus e malware, diventando un tecnologico cavallo di Troia.
E’ rilevante sapere che, di norma, i sistemi Microsoft vanno a verificare l’eventuale presenza di un file chiamato Autorun.inf, che contiene i comandi atti ad eseguire in automatico i contenuti presenti nella chiavetta USB.
Questa funzionalità può essere utilizzata da malintenzionati per installare ed eseguire sul PC delle loro vittime un qualsivoglia codice malevolo, con conseguenze spesso disastrose.
Vi ricordiamo che anche gli Apple users non sono esenti da questi consigli! Pure se il virus non si manifestasse sui dispositivi IOs, si rischierebbe di diventare dei “portatori sani” ed infettare gli altri utenti non IOs collegati alla rete.
Il caso Stuxnet
Vi sembra che stiamo quasi demonizzando questo piccolo ammasso di plastica e circuiti, grande appena il nostro pollice? Per farvi capire che non è “tutta teoria”, vorremmo riportarvi alla memoria il caso Stuxnet.
Correva l’anno 2010 e nella centrale di Natanz, in Iran, le centrifughe dedicate all’arricchimento dell’uranio impazzirono, andando fuori controllo.
L’incidente dovrebbe aver messo fuori uso almeno 1.000 delle 5.000 centrifughe, causando un ritardo di alcuni anni nel programma nucleare iraniano.
Già dal 2006 preoccupava Stati Uniti ed Israele, perciò il presidente Bush diede l’ordine segreto di pianificare un cyber attacco contro le centrali iraniane, per danneggiarne il programma atomico senza scatenare una guerra convenzionale (l’operazione “Giochi Olimpici”).
L’impianto di arricchimento dell’uranio di Natanz era sotterraneo e ben protetto, le centrali disconnesse dal web… Come fare quindi ad introdurre nella loro rete Stuxnet, un virus creato specificamente per sabotare il funzionamento dei macchinari?
Avete indovinato, proprio con una chiavetta USB: l'inizio del contagio è avvenuto dall'interno del sistema industriale stesso, tramite una chiavetta USB infetta in mano ad un ignaro ingegnere iraniano.
Essendo un malware con un funzionamento così mirato, è bastato metterlo in circolazione ed… aspettare.
Conclusioni
Dal caso Stuxnet impariamo che anche un piccolo strumento, se usato ingenuamente, può portare ad una serie di radicali stravolgimenti: anche se infettando la vostra azienda non si parlerebbe sicuramente di un impatto sulla situazione politica mondiale, vale la pena di fare un piccolo sacrificio e prestare attenzione a cosa si collega alla vostra rete.
Non ci stancheremo di ripetere che tutelare i vostri dati, ed adottare misure ponderate di Cyber Security, può evitarvi una serie di disagi, e dei danni economici inquantificabili.
Alla fine, in un’ottica di prevenzione, non utilizzare dispositivi USB privati non è un così grande sacrificio, se paragonato ai rischi a cui vi esporrebbe!
