خطر یو.اس.بی درایوها The Danger of USB Drives
- نوع فایل : کتاب
- زبان : فارسی
- ناشر : آی تریپل ای IEEE
- چاپ و سال / کشور: 2017
توضیحات
رشته های مرتبط: مهندسی کامپیوتر، امنیت اطلاعات، معماری سیستمهای کامپیوتری و سخت افزار کامپیوتر
آزمایش ما: مرور کلی برای اطمینان یابی از اینکه کاربران درایوهایی که روی زمین پیدا می کنند به ابزار متصل می کنند، آزموایش سطح کلان انجام دادیم که در آن حدود ۳۰۰ فلش درایو در محوطه دانشگاه ایلینویس در فضای اربانا-چمپین انداختیم. در این هجوم، فایل های مورد انتظار را در درایو با فایل های اچ.تی.ام.ال جایگزین نمودیم که حاوی تصویر نهادینه در سرور مرکزی بود که به ما اجازه می داد پیگیری کنیم که درایو به کجا متصل شده است. پی بردیم که کاربران تا ۹۸ درصد درایوها را برداشتند و ۴۵ درصد درایوها به رایانه متصل شدند. به علاوه حمله بسیار آنی بود به طوری که اولین درایو یافت شده ظرف شش دقیقه پس از زمان انداختن به ابزار متصل گردید. مغایر با عقیده عمومی، ظاهر درایو این احتمال را افزایش نداد که فرد آن را به رایانه خود متصل سازد. در عوض، کاربران همه انواع درایو ها را به ابزار متصل نمودند مگر اینکه روش تعیین محل صاحب آن وجود نداشت که نشان می داد بسیاری از شرکت کنندگان انگیزه از خود گذشتگی داشتند. به هر حال، هر چند برخی کاربران ابتدا درایو را با انگیزه از خود گذشتگی متصل نمودند، حدود نیمی از انها تحت تثیر کنجکاوی واقع شده و ابتدا فیل های فریبنده را از جمله عکس های مسافرت، را باز کردند قبل از اینکه سعی کنند صاحب درایو را بیابیند. برای درک بهتر انگیزه کاربران، این انتخاب را برای کاربران پیشنهاد دادیم که نظرسنجی کوتاهی را کامل کنند هنگامی که درایو را متصل نمودند. اکثر انها بیان داشتند که درایو را متصل نمودند تا صاحب آن را بیابند یا اینکه از سر کنجکاوی بوده است هر چند عده کمی اقرار نمودند که برنامه ریزی کرده بودند که درایو را نزد خود نگه دارند. دانشجویان و کارکنان که درایو را متصل کرده بودند، چندان سواد رایانه ای نداشتند و تفاوت عمده ای با هم نظیران خود نداشتند. هنگامی که تحریک شدند، ۶۸ درصد از شرکت کنندگان بیان نمودند که آنها هنگام اتصال درایو هیچ گونه احتیاطی به خرج ندادند. از افرادی که این کار را کردند، ۱۶ درصد درایو را با نرم افزار انتی ویروس خود اسکن کردند و ۸ درصد معتقد بودند که سیستم عامل یا نرم افزار امنیت از آنها محافظت خواهد نمود. در پایان، چند نفر از شرکت کنندگان که احتیاط کردند این کار را به طور ناکارامد انجام دادند و اکثر آنها به هیج وجه احتیاط نکردند. ما از هیئت بازبینی موسسه ای دانشگاه ایلینیوس تاییدیه را دریافت نموده و صحه گذاشتیم و با سهامداران عمده (واحدهای فناوری اطلاعات، قانونی و ایمنی عمومی) ضمن طراحی آزمایش رو به رو شدیم. ما به طور خودکار هر نوع کد را روی سیستم شرکت کنندگان اجرا نکردیم و فقط توانستیم داده ها را جمع آوری کنیم اگر شرکت کنندگان روی فایل های فلش درایو دو بار کلیک می کردند. از شرکت کنندگان اطلاعاتی کسب گردید و فرصت کشیدن درایو را به آنها دادیم.
آزمایش ما: مرور کلی برای اطمینان یابی از اینکه کاربران درایوهایی که روی زمین پیدا می کنند به ابزار متصل می کنند، آزموایش سطح کلان انجام دادیم که در آن حدود ۳۰۰ فلش درایو در محوطه دانشگاه ایلینویس در فضای اربانا-چمپین انداختیم. در این هجوم، فایل های مورد انتظار را در درایو با فایل های اچ.تی.ام.ال جایگزین نمودیم که حاوی تصویر نهادینه در سرور مرکزی بود که به ما اجازه می داد پیگیری کنیم که درایو به کجا متصل شده است. پی بردیم که کاربران تا ۹۸ درصد درایوها را برداشتند و ۴۵ درصد درایوها به رایانه متصل شدند. به علاوه حمله بسیار آنی بود به طوری که اولین درایو یافت شده ظرف شش دقیقه پس از زمان انداختن به ابزار متصل گردید. مغایر با عقیده عمومی، ظاهر درایو این احتمال را افزایش نداد که فرد آن را به رایانه خود متصل سازد. در عوض، کاربران همه انواع درایو ها را به ابزار متصل نمودند مگر اینکه روش تعیین محل صاحب آن وجود نداشت که نشان می داد بسیاری از شرکت کنندگان انگیزه از خود گذشتگی داشتند. به هر حال، هر چند برخی کاربران ابتدا درایو را با انگیزه از خود گذشتگی متصل نمودند، حدود نیمی از انها تحت تثیر کنجکاوی واقع شده و ابتدا فیل های فریبنده را از جمله عکس های مسافرت، را باز کردند قبل از اینکه سعی کنند صاحب درایو را بیابیند. برای درک بهتر انگیزه کاربران، این انتخاب را برای کاربران پیشنهاد دادیم که نظرسنجی کوتاهی را کامل کنند هنگامی که درایو را متصل نمودند. اکثر انها بیان داشتند که درایو را متصل نمودند تا صاحب آن را بیابند یا اینکه از سر کنجکاوی بوده است هر چند عده کمی اقرار نمودند که برنامه ریزی کرده بودند که درایو را نزد خود نگه دارند. دانشجویان و کارکنان که درایو را متصل کرده بودند، چندان سواد رایانه ای نداشتند و تفاوت عمده ای با هم نظیران خود نداشتند. هنگامی که تحریک شدند، ۶۸ درصد از شرکت کنندگان بیان نمودند که آنها هنگام اتصال درایو هیچ گونه احتیاطی به خرج ندادند. از افرادی که این کار را کردند، ۱۶ درصد درایو را با نرم افزار انتی ویروس خود اسکن کردند و ۸ درصد معتقد بودند که سیستم عامل یا نرم افزار امنیت از آنها محافظت خواهد نمود. در پایان، چند نفر از شرکت کنندگان که احتیاط کردند این کار را به طور ناکارامد انجام دادند و اکثر آنها به هیج وجه احتیاط نکردند. ما از هیئت بازبینی موسسه ای دانشگاه ایلینیوس تاییدیه را دریافت نموده و صحه گذاشتیم و با سهامداران عمده (واحدهای فناوری اطلاعات، قانونی و ایمنی عمومی) ضمن طراحی آزمایش رو به رو شدیم. ما به طور خودکار هر نوع کد را روی سیستم شرکت کنندگان اجرا نکردیم و فقط توانستیم داده ها را جمع آوری کنیم اگر شرکت کنندگان روی فایل های فلش درایو دو بار کلیک می کردند. از شرکت کنندگان اطلاعاتی کسب گردید و فرصت کشیدن درایو را به آنها دادیم.
Description
To measure whether users will connect drives they find on the ground, we conducted a large-scale experiment in which we dropped nearly 300 flash drives around the University of Illinois at Urbana-Champaign campus.2 In the a
ack, we replaced expected files on the drive with HTML files that contained an embedded image hosted on a central server, allowing us to track when the drive was connected without automatically executing any code. We found that users picked up 98 percent of the drives, and 45 percent of the drives were connected to a computer. Furthermore, the a
ack was expeditious, with the first drive being connected within six minutes from when it was dropped. Contrary to popular belief, the appearance of a drive didn’t increase the likelihood that someone would connect it to their computer. Instead, users connected all types of drives unless there were other means of locating the owner— indicating that many participants were altruistically motivated. However, although users initially connected the drive with altruistic intentions, nearly half were overcome with curiosity, first opening intriguing files—such as vacation photos—before trying to find the drive’s owner. To better understand users’ motivations, we offered participants the option to complete a short survey when they connected the drive. Most stated that they connected the drive to locate its owner or out of curiosity, although a handful also admitted that they had planned to keep the drive. The students and staff who connected the drives weren’t computer illiterate and weren’t significantly different from their peers. When prompted, 68 percent of the participants stated that they took no precautions when connecting the drive. For those who did, 16 percent scanned the drive with their antivirus software and 8 percent believed that their OS or security software would protect them. In the end, all but a handful of the participants who took precautions did so ineffectively, and the majority took no precautions at all. We submitted and received approval from the University of Illinois Institutional Review Board and met with key stakeholders (IT, legal, and public safety departments) while developing the experiment. We didn’t automatically execute any code on participants’ systems, and we were only able to collect data if participants double-clicked files on the flash drives. Participants were debriefed and provided with an opportunity to withdraw.
