Cum ar putea un angajat să compromită rețeaua companiei, fără să fie un geniu în programare

De multe ori, cercetătorii în securitate IT spun că infractorii cibernetici nu au nevoie de foarte multe cunoștințe sau resurse pentru a ataca un sistem. Pentru cei mai sceptici, colegii mei au vrut să testeze adevărul acestor afirmații. Experimentul a fost inspirat de un caz real: un angajat al unei companii a folosit un USB pentru a infecta cu malware un dispozitiv din organizația respectivă. În mod natural, au apărut apoi alte întrebări: ce instrumente ar putea folosi o persoană din interior care ar urmări să compromită rețeaua unei companii și dacă e posibil să facă acest lucru fără un malware.

Ce a presupus experimentul, mai exact? Cercetătorii au configurat un mini-calculator Raspberry ca adaptor Ethernet, au făcut o serie de schimbări de configurare în sistemul de operare și i-au instalat câteva programe disponibile “la liber” pentru interceptarea, colectarea și procesarea transmisiilor de date prin rețea. Pasul următor a fost să seteze un server care să primească informațiile interceptate. Pe scurt, au conectat dispozitivul la calculatorul țintă, iar după aproximativ două minute au început să intercepteze date prin rețea.

Acest lucru a fost posibil pentru că sistemul de operare de pe computerul atacat identifica dispozitivul Raspberry-Pi ca un adaptor LAN și i-a acordat automat o importanță mai mare decât oricăror altor conexiuni de rețea disponibile. Mai mult, i-a dat acces la schimbul de date. Rețeaua respectivă simula un segment dintr-o rețea a unei companii reale, prin urmare, cercetătorii au putut colecta datele de autentificare trimise de computerul atacat și aplicațiile lui. În plus, au reușit să obțină acest tip de date și de pe alte computere din acel segment de rețea, precum și cookie-urile din browser-ele dispozitivelor atacate.

Datele sunt trimise în timp real și prin urmare, cu cât e mai mare durata în care dispozitivul stă conectat la PC, cu atât mai multe date poate colecta. Care au fost roadele acestui experiment? După o jumătate de oră, colegii mei au strâns  aproximativ 50 de parole, transferate prin intermediul rețelei controlate, așa că e ușor să ne imaginăm ce pradă bogată ar putea fi colectată într-o zi întreagă. Mai exact, datele interceptate sunt, de fapt, hash-urile parolelor, care ulterior pot fi sparte.

Cel mai pesimist scenariu al unui astfel de atac ar fi să obțină și datele de autentificare ale administratorului de rețea, ceea ce este perfect posibil, dacă acesta se loghează pe un calculator în timp ce dispozitivul este conectat la el. Un aspect important: atacul s-a derulat cu succes pe computere cu sisteme de operare Windows si Mac.

Reușita acestui experiment este îngrijorătoare din două puncte de vedere: mai întâi, pentru că nu e nevoie de programe speciale sau costisitoare, ci, pur și simplu, de unele disponibile pe Internet în mod gratuit. În al doilea rând, pentru că nu este deloc complicat pentru cineva care are cunoștințe elementare de programare să îl pună în practică.

Având în vedere că un astfel de atac este posibil oricând, utilizatorii individuali și companiile ar trebui să fie conștienți de pericole și să ia măsuri. De exemplu, angajaților le recomandăm:

  1. Să nu folosească niciodată USB-uri de a căror proveniență nu sunt siguri.
  2. După ce revin la computer – din pauza de masă sau de la o întâlnire – să verifice dacă nu este vreun USB legat la el. Chiar și în cazul unui laptop, acest lucru poate să treacă neobservat, deoarece de cele mai multe ori laptopul este conectat la un docking station.
  3. Să își activeze autentificarea în doi pași.
  4. Să își facă un obicei din a-și schimba periodic parolele.
  5. Să se delogheze de fiecare dată din conturile care necesită autentificare.

De cealaltă parte, iată și câteva măsuri pe care le-ar putea lua administratorii, în a căror responsabilitate este, de fapt, integritatea rețelei:

  1. Să restricționeze logarea utilizatorilor privilegiați, mai ales a administratorilor, la stațiile care nu au un sistem de operare modern sau actualizările făcute la zi.
  2. Să introducă în politica de securitate a companiei regula ca parolele utilizatorilor să fie schimbate periodic.
  3. Să instaleze o soluție de securitate eficientă și să se asigure că este actualizată.
  4. Dacă site-ul aparține companiei, noi recomandăm activarea HSTS, care împiedică trecerea de la protocolul HTTPS la HTTP și, implicit, interceptarea datelor de autentificare.
  5. Dacă este posibil, recomandăm folosirea doar a protocolului Kerberos 5.1, pentru autentificarea utilizatorilor.
  6. Să activeze setarea DHCP Snooping, pentru ca utilizatorilor rețelei să nu le fie capturate solicitările DHCP de către servere controlate de atacatori.

Desigur, cele mai importante măsuri sunt monitorizarea constantă a întregii rețele (atât traficul, cât și alertele generate de dispozitivele conectate) și o bună instruire a utilizatorilor din cadrul companiei: să fie tot timpul atenți la ce dispozitive sunt conectate la stațiile de lucru, iar dacă există suspiciuni, să alerteze ofițerul de securitate sau administratorul de rețea.

Dan Demeter
Articol scris de
Demeter Dan
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Etichete:
Comentarii
Dan Demeter
16:40 / 23.06.2017