Cartões de memória: vector de infecção e perda de dados

Os cartões de memória flash podem espalhar código malicioso? Sim, podem, e em muitos casos os utilizadores não os analisam em busca de vírus e outro malware. A disseminação de software malicioso através de sistemas de armazenamento amovíveis continua a ser um problema sério para empresas e consumidores, embora seja um vector de infecção tão antigo como o Elk Cloner, um vírus observado nos primeiros computadores da Apple em 1982. À semelhança da maioria dos vírus nos anos oitenta, o Elk Cloner espalhava-se através de disquetes, flexíveis e de armazenamento magnético que agora parecem artefactos da história antiga.

Nos últimos anos, os dispositivos de armazenamento USB tornaram-se nos sucessores de alta capacidade das disquetes e obtiveram notoriedade como um meio de propagação de vírus para computadores e cavalos de Tróia. Isto já para não falar do facto de serem uma forma prática de se retirar dados de um computador.

Mas o que dizer dos cartões de memória, essas pequenas peças amovíveis de armazenamento flash que surgem no computador como uma unidade de disco, mas que não são USB (a menos que os utilize através de um leitor de cartões de memória flash USB)? Muitas vezes estes cartões são negligenciados quando as empresas falam acerca dos seus programas de prevenção anti-malware e perda de dados. Por exemplo, uma política de segurança pode indicar “todas as portas USB devem ser monitorizadas de forma a que se bloqueie a entrada de malware”, não mencionando porém os slots que permitem a leitura dos cartões de memória, mesmo que estes tenham normalmente letras de unidade atribuídas.

Recentemente, algumas empresas aderiram a sistemas de encriptação de modo a forçar-se a protecção dos dados em toda a empresa, incluindo a utilização de dispositivos amovíveis, porém em alguns casos não foi possível incluir-se neste processo os leitores de cartões de memória.

Estas pequenas peças de armazenamento são amplamente utilizadas, e por isso têm surgido novas formas de ataque de onde não escapam os dispositivos móveis como smartphones e tablets. Mas nem as empresas ficam de fora uma vez que um pequeno cartão infectado inserido num computador de trabalho, poderá causar danos avultados. 

Tanto ao nível doméstico, como empresarial, tudo se propaga com muita velocidade. Considere este cenário: Um amigo seu tirou muitas fotografias alusivas a uma actividade que realizou em grupo e gostaria de ter uma cópia. Não há qualquer problema. O seu amigo abre a câmara e tira um cartão SD. Posteriormente, você introduz este cartão num tablet e copia os ficheiros de fotografias. Se o programa antivírus que tem instalado no seu tablet – Tem AV no seu tablet, correcto? – não estiver configurado correctamente, não irá fazer a análise do cartão quando o inserir, e deste modo não irá verificar os ficheiros quando os copiar. Assim, não irá perceber que o cartão do seu amigo tinha um vírus, que chegou provavelmente a partir de um computador infectado e o seu tablet passará a ser um elemento de distribuição de malware.

1. Se ligar esse tablet a uma rede que não analisa endpoints, pode infectar essa rede.

2. Se colocar outro cartão SD no seu tablet enquanto o mesmo ainda estiver infectado, o novo cartão poderá ficar comprometido e ir infectar outros utilizadores.

Estas coisas podem acontecer e acontecem, tanto com cartões SD, como com pendrives USB. Eis o link para um relatório que inclui um bom case study acerca de como ficheiros de apresentação utilizados numa conferência e partilhados através de dispositivos de armazenamento flash infectaram mais de 100 endpoints na rede empresarial de alguém no sector de energia nuclear dos EUA: Resumo ICS-CERT Relatório de Incidente, 28 de junho de 2012 (ficheiro PDF).

Felizmente, a propagação de código malicioso através de cartões de memória flash pode ser bloqueada se combinar estratégias de proteção de endpoints desta forma:

  • No Windows desactive o Autorun e o Autoplay
  • Active a análise automática de dispositivos amovíveis no seu AV.
  • Execute um bom software antivírus em dispositivos móveis.
  • Bloqueie o acesso aos leitores de cartões de armazenamento utilizando o AV
  • Exija a encriptação de todos os cartões utilizados nos seus sistemas (aqui está um produto para isso).
  • Instale um software antivírus em dispositivos amovíveis que sejam utilizados em ambientes não confiáveis ​​(aqui está um exemplo).
  • Execute regularmente verificações de malware nos seus servidores e certifique-se que os mesmos não estão a espalhar código malicioso pelos endpoints.
  • Considere a utilização de uma protecção de gateway para todas as ligações HTTP e FTP dentro e fora da sua rede (consulte o diagrama na página).

Esperamos que estas dicas o ajudem a fechar todas as possíveis portas de entradas que os cartões de armazenamento lhe criaram. Lembre-se que tem de se preocupar apenas com as pendrives USB e outros dispositivos amovíveis, mas também com os cartões de memória que por si só podem constituir uma ameaça.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

7 + 9 =