3,3 millioner dollars. Det kan blive prisen for, at et amerikansk atomforskningslaboratorium ikke sikrede USB-portene (Universal Serial Bus) på organisationens pc'er.
Sagen handler om en medarbejder ved Los Alamos National Security, der ulovligt hentede fortrolige oplysninger om atomforsøg ned på tre USB-nøgler. De blev senere fundet i hans trailer.
Ifølge Computerworld US kræver USA's energiministerium 3 millioner dollars i bøde fra University of California, som er medejer af laboratoriet, og 300.000 dollars fra laboratoriet selv. Bøden skyldes, at de ikke har taget hånd om it-sikkerheden.
Sagen illustrerer, at USB-sikkerhed er blevet et reelt problem. I sikkerhedssammenhæng kan USB stå for "usynlig sikkerhedsbrist". De færreste tænker nemlig over, at USB-porten på pc'en kan bruges til at hente data ud fra den, når blot man har adgang til pc'en nogle få minutter.
Et andet aktuelt eksempel er ormen LiarVB-A. Den spreder sig som mange andre orme via netværksdrev. Men den bruger også flytbare lagringsenheder, herunder USB-diske. Her placerer den sig som en Autorun-fil, der automatisk bliver kørt, når disken tilsluttes.
Ind i sikkerhedspolitikken
DK-CERT anbefaler, at USB-sikkerhed skal indgå i organisationens sikkerhedspolitik. Man kan for eksempel beslutte, at kun godkendte enheder må sluttes til USB-porten.
Endvidere kan man kræve, at alle data automatisk krypteres, når de gemmes på en USB-nøgle.
Disse krav kan organisationen sikre bliver fulgt ved hjælp af tekniske løsninger, der er på markedet. De gør det muligt at styre USB-portene fra centralt hold.
Fundne USB-nøgler
Men teknikken er ikke nok. Medarbejderne skal også undervises. For et år siden prøvede et sikkerhedsfirma at lægge nogle USB-nøgler foran indgangen til en større virksomhed. På enhederne lå et spionprogram, der meldte tilbage til sikkerhedsfirmaet, når enheden blev sat i en pc.
15 af nøglerne blev fundet af medarbejdere i virksomheden – og alle 15 blev koblet til firmaets computere.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT er en tjeneste fra UNI-C, Danmarks it-center for uddannelse og forskning.
DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
