Presne tak.

V okamziku, kdy sedim u PC, tak jsou jeho data moje. At jsem u tucnaka nebo windows. To uz nehraje roli.
Takze peknej flame clanek.

staci nabootovat z klicenky a kopcit a vo co go ... moc se v tom nevyznam, ale dal by se zkopcit mozna i klic ;-)

Problem je v tom, ze tahle chyba je za urcitych okolnosti zneuzitelna, i kdyz mate zasifrovana data! Priklad - necham bezet masinu (ale zamcu konzoli) a odejdu na obed, nekdo prijde s timto USB "hackem" a obejde uzamcenou konzoli a ma pristup k datum (pochopitelne se da proti tomu branit odpojenim zasifrovaneho svazku po urcite dobe neaktivity, ale...)

Ono je spousta moznosti jak USB diru nebezpecne zneuzit. Treba do ni nalit vodu...

Možná se ta díra vztahuje i na jiné hw způsoby připojení hot-plug zařízení, než jen usb...

Mám-li fyzický přístup k počítači, tak mi prakticky nic nemůže zabránit data z něj získat.
Asi úplně nejjednodušší metoda by byla poté co dotyčný odejde na oběd mu pod konektor klávesnice píchnout keylogger, no a první co po návratu z oběda napíše je ctrl-alt-del a svoje heslo.
Další primitivní metoda je přinést si CD s vlastním systémem a nabootovat z něj. V těch vzácných případech kdy je v BIOSu nastavený boot jen z C: a BIOS je zaheslovaný, holt vyzkratuju CMOS (CMOS discharge) a nastavím si co potřebuju. Pravda že na tohle se možná časem přijde, ale pravděpodobně až za měsíce nebo roky.

Domnívám se, že pokud přijde člověk s úmyslem dostat data z průměrného PC, není již žádný problém ani heslo Administratora ve WXP SP2. Nedávno jsem objevil Linuxové BOOT CD, jehož obsah dokáže krom jiného i resetovat heslo Administrátora (vše se zvládne do 2 minut). (řešení problému zapomenutého hesla)
Celkem chápu v čem problém spočívá. Jakmile přijdete fyzicky k PC a máte šanci zabootovat z něčeho jiného než z disku, tak není žádný problém udělat v podstatě cokoli. Pokud si někdo nechá strkat cizí USB Flash či jiná zařízení do svého PC, tak je to jeho problém a musí si zvážit rizika sám. To samé platí o bezdrátové komunikaci.
Problém periferií na rizikových pracovištích se řeší jejich neexistencí či zákazem.

to Joker a jak tohle udelas treba u notebooku?
 
Shaquille

U notebooku by to nebylo tak snadné ani s tou USB klíčenkou, přece jen dotyčný si asi všimne že mu na boku něco přibylo ;-) Fakt je že z notebooku by se data těmihle způsoby kradly dost blbě.
V případě notebooku je ale nejjednodušší si ho prostě celý odnést ;) (mimochodem, šlohnout notebook není zas tak nemožné i přímo z kanceláře, jednomu bývalému kolegovi se to stalo, prostě jsme odešli na oběd, mezitím někdo přišel, nějak prošel přes vstupní dveře, vešel do kanceláře, sebral notebook a zase odešel)

Joker: No ono nic pribyvat nemusi, proste zasunes klicenku, pockas az prestane blikat LEDka, zase ji vytahnes a odejdes i s daty, IMHO otazka par minut ;-)

To by si pak clovek pripadal jak v tech filmech kde se nekdo dostane k nejakymu supertajnymu pocitaci, vrazi do nej maly CDcko a pak kouka jak nabihaji procenta, ceka az se mu data vypali a trne hruzou ;-)

Pokud to dobře chápu, tak to ani nemusím dělat moc tajně. Prostě si řeknu šéfovi, ať mi nahraje nějaký dokument a podám mu upravenou flashku. On mi to tam nakopší, ale mezi tím se mi tam zkopírovalo ještě spousta jiných věcí. Šéf samozřejmě o tom neví. Přitom mě nezachití asi ani žádné logování apod., protože vše se děje na nízké provni (ringu 0).

RadekN: S tim autorun.inf to funguje jenom na CD/DVD na USB to nejde, vyzkouseno, overeno.

Ve firme to resim zakazem USB portu, pokud jej uzivatel presto potrebuje, tak ma navic zablokovany pristup k souborum, ktere inicializuji ovladac USBstorage ve winech. Pripojeni USB klicenky ma povoleno jen minimum uzivatelu prislusnym opravnenim. Jinak bios hesluji a case plombujeme proti otevreni.

morph: no to je jasne, to je predevsim psychologicka obrana. Pokud bude nekdo chtit z PC neco vzit nebo zmenit, tak to otevre tak ci tak..

Pokud není USB mass storage device v PC nainstalováno, tj. user s právy driver-install nestrčil do PC toto zařízení, tak to nefunguje. Tj. pokud jste přihlášení s právy user (a ne jak je ve zvyku Administrator) a neměli jste nikdy připojenou klíčenku, nic Vám (=běžným zamům) nehrozí a přesto můžete používat např. USB myš apod.

Jira: A co když chceš zaměstnancům umožnit používání mass storage zařízení, ale nechceš aby se tamtudy někdo naboural kam nemá? Myslím si že je lepší bezpečnostní díru nemít, než to prohlásit za featuru a říkat něco o všemocném fyzickém přístupu. Buffer overflow ve zpracování PnP informací je pochybení, nikoli záměr.

používání jakýchkoli médií musí podléhat pravidlům v dané společnosti. Pokud budou mít zaměstnanci k dispozici média určitého typu a bude vystaven zákaz používání jiných médií, nevidím problém se zabezpečením USB. Je to více méně také organizační záležitost a odpovědnost jednotlivců.
Předpokládám, že podobný problém může být s dalšími zařízeními jako jsou externí S-ATA FireWire apod.
 

Zerryk: Samozřejmě je to, že se tím musí patřičné týmy zabývat. Mám takový pocit, že je to vše běh na dlouhou trať.  Je totiž otázkou, do jaké míry je to bezpečnostní díra HW (tentokráte USB) a do jaké míry je to bezp. díra lidské podstaty.