A titok mint mágnes
Úgy tizenévvel ezelőtt az amerikai Belbiztonsági Minisztérium (Department of Homeland Security) egy érdekes kísérletsorozatot végzett, aminek az volt a célja, hogy feltárja, mennyire veszélyeztetettek az állami alkalmazottak a trükkös ellenséges számítógépes támadásokkal szemben.
A kísérletsorozat egyik eleme a következő volt: nemzetbiztonsági és nemzetgazdasági szempontból különösen fontosnak minősített munkahelyek és intézmények (hadsereg, bűnüldözés, titkosszolgálatok, kiemelt infrastruktúra, stb.) parkolóiban különböző digitális adathordozókat (pendrive-okat, CD-ket, DVD-ket, memóriakártyákat) helyeztek el, amelyek úgy tűntek, mintha tulajdonosuk elvesztette volna őket. Azt tesztelték, hogy a becsületes megtalálók ezeknek hány százalékát adják le a parkoló őrszemélyzetének vagy más illetékesnek anélkül, hogy megkísérelnék megnézni, mit is tartalmaznak.
Az eredmény: a megtalált adathordozók 60%-át a megtaláló behelyezte a saját gépébe és lecsekkolta, hogy mi van rajta (és persze akár azonnal települő vírus vagy trójai is lehetett volna). Ez az arány elérte a 80%-ot, ha az adathordozón céges embléma volt látható és meghaladta a 90%-ot, ha olyasmi is fel volt tüntetve rajta, hogy "Titkos!".
Mert ilyen az ember: kíváncsi. NAGYON kíváncsi. És nagyon meggondolatlan.
Régeben a CISO-k (Chief of Information Security Office) rendszeresen szórtak el az irodaházakban pen drivokat. Aztán jöt a szép új világ és a céges gépeken tiltva van auz USB használata csak billenytűzet egér meg ilyeneket lehet használni. De láttam már pen drive-ot ami billentyűzetnek hazudta magát :-)
Valamelyik amerikai nagyontitkos helyről azt olvastam, hogy a hasonló incidensket elkerülendő, a céges gépek-laptopok USB portjait egyszerűen telenyomták szilóval, az obligát szoftveres letiltások mellett...