Badacze z Kaspersky Lab przyjrzeli si? publicznie dost?pnym narz?dziom sprz?towym i programowym s?u??cym do przechwytywania hase?, dochodz?c do wniosku, ?e osoba z podstawow? wiedz? programistyczn? mo?e w ci?gu kilku godzin stworzy? pot??ne narz?dzie hakerskie, maj?c do dyspozycji jedynie oko?o 100 z?. W eksperymencie wykorzystano urz?dzenie USB oparte na minikomputerze Raspberry Pi, które zosta?o skonfigurowane w okre?lony sposób i nie zawiera?o ?adnego szkodliwego oprogramowania. Tak wyposa?eni badacze byli w stanie potajemnie gromadzi? dane uwierzytelniaj?ce u?ytkowników z sieci korporacyjnej z pr?dko?ci? 50 hase? na godzin?.

Badanie zosta?o zainspirowane prawdziw? histori?: w innym dochodzeniu, w którym uczestniczyli eksperci z Kaspersky Lab, wewn?trzny szpieg (pracownik firmy sprz?taj?cej) u?y? no?nika USB do zainfekowania szkodliwym oprogramowaniem stacji roboczej znajduj?cej si? w atakowanej organizacji. Po us?yszeniu tej historii entuzja?ci bezpiecze?stwa z Kaspersky Lab zacz?li si? zastanawia?, czego jeszcze mogliby u?y? szpiedzy, aby w?ama? si? do sieci. Czy mo?na tego dokona?, nie wykorzystuj?c ?adnego szkodliwego oprogramowania?

Badacze wykorzystali minikomputer Raspberry Pi, który skonfigurowali jako kart? sieci Ethernet, dokonali dodatkowych zmian konfiguracyjnych w systemie operacyjnym komputera i zainstalowali kilka publicznie dost?pnych narz?dzi s?u??cych do wykrywania pakietów oraz gromadzenia i przetwarzania danych. Na koniec badacze skonfigurowali serwer s?u??cy do gromadzenia przechwyconych danych. Nast?pnie urz?dzenie to zosta?o pod??czone do atakowanej maszyny i zacz??o automatycznie przekazywa? do serwera skradzione dane uwierzytelniaj?ce.

By?o to mo?liwe dzi?ki temu, ?e system operacyjny na zaatakowanym komputerze zidentyfikowa? pod??czone urz?dzenie Raspberry Pi jako przewodow? kart? sieciow? (LAN) i automatycznie przydzieli? mu wy?szy priorytet ni? innym dost?pnym po??czeniom sieciowym, a tak?e – co wa?niejsze – zapewni? mu dost?p do wymiany danych w sieci. Eksperymentalna sie? stanowi?a symulacj? segmentu rzeczywistej sieci korporacyjnej. Badacze zdo?ali zebra? dane uwierzytelniaj?ce wysy?ane przez atakowany komputer PC i jego aplikacje podczas prób uwierzytelnienia serwera domeny i serwera zdalnego. Uda?o im si? tak?e zebra? tego rodzaju dane z innych komputerów w segmencie sieci.

Co wi?cej, poniewa? scenariusz ataku pozwala? na przes?anie przechwyconych danych za po?rednictwem sieci w czasie rzeczywistym, im d?u?ej urz?dzenie by?o po??czone z komputerem PC, tym wi?cej danych zdo?a?o zebra? i przes?a? do zdalnego serwera. W ci?gu zaledwie pó? godziny trwania eksperymentu badaczom uda?o si? zebra? prawie 30 skrótów hase? przes?anych za po?rednictwem zaatakowanej sieci. Nietrudno zatem wyobrazi? sobie, ile danych mo?na zebra? w ci?gu zaledwie jednego dnia. W najgorszym wypadku przechwycone mog?yby zosta? równie? dane uwierzytelniaj?ce administratora domeny. Aby tak si? sta?o, musia?by on zalogowa? si? na swoje konto, w czasie gdy urz?dzenie by?oby wpi?te do jednego z komputerów PC wewn?trz domeny.

Potencjalna powierzchnia ataków w przypadku tej metody przechwytywania danych jest du?a: eksperyment uda?o si? odtworzy? zarówno na zablokowanych, jak i niezablokowanych komputerach dzia?aj?cych pod kontrol? systemów Windows i macOS. Badacze nie zdo?ali odtworzy? ataku na urz?dzeniach opartych na systemie Linux.

Po przeprowadzeniu tego eksperymentu zaniepokoi?y nas g?ównie dwie kwestie: po pierwsze – w ogóle nie musieli?my tworzy? oprogramowania – skorzystali?my z narz?dzi publicznie dost?pnych w internecie. Po drugie – uderzy?a nas ?atwo??, z jak? mogli?my przygotowa? weryfikacj? koncepcji dla naszego narz?dzia. To oznacza, ?e eksperyment ten móg?by zosta? odtworzony potencjalnie przez ka?d? osob?, która potrafi porusza? si? po internecie i posiada podstawow? wiedz? techniczn?. Nietrudno przewidzie?, jak mog?oby si? to sko?czy?, gdyby atak ten przeprowadzili cyberprzest?pcy. W?a?nie z tego powodu zdecydowali?my si? zwróci? uwag? na ten problem. Zarówno u?ytkownicy, jak i administratorzy sieci firmowych powinni by? przygotowani na tego rodzaju atak — powiedzia? Siergiej Lurje z Kaspersky Lab, entuzjasta bezpiecze?stwa oraz wspó?autor badania.

Mimo ?e atak nie pozwala na przechwytywanie samych hase?, a jedynie skrótów (ang. hash), stanowi?cych ich interpretacj? w czystym tek?cie po tym, jak zosta?y przetworzone przez okre?lony algorytm, skróty te mog? zosta? odszyfrowane do postaci pierwotnych hase?.

Aby zabezpieczy? swój komputer lub sie? przed atakami przy pomocy podobnych urz?dze?, eksperci ds. bezpiecze?stwa z Kaspersky Lab zalecaj? nast?puj?ce dzia?ania:

W przypadku u?ytkowników:

1. Po powrocie do komputera sprawd?, czy z portów nie wystaj? ?adne dodatkowe urz?dzenia USB.
2. Nie przyjmuj wymiennych no?ników danych pochodz?cych z niezaufanych ?róde?. W rzeczywisto?ci mo?e to by? narz?dzie do przechwytywania hase?.
3. Wyrób w sobie nawyk ko?czenia sesji na stronach, które wymagaj? uwierzytelnienia. Zwykle oznacza to klikni?cie przycisku wylogowania.
4. Regularnie zmieniaj has?a – zarówno na swoim komputerze, jak i cz?sto odwiedzanych stronach internetowych. Pami?taj, ?e nie wszystkie Twoje ulubione strony internetowe b?d? posiada?y mechanizmy zabezpieczaj?ce przed podmian? danych dotycz?cych ciasteczek. Mo?esz stosowa? wyspecjalizowane oprogramowanie do zarz?dzania has?ami, które zapewnia ?atwe zarz?dzanie silnymi i bezpiecznymi has?ami.
5. W??cz uwierzytelnianie dwusk?adnikowe, na przyk?ad w formie ??dania potwierdzenia loginu przez SMS.
6. Zainstaluj i regularnie aktualizuj rozwi?zanie bezpiecze?stwa oferowane przez sprawdzonego i zaufanego dostawc?.

W przypadku administratorów:

1. Je?li pozwala na to topologia sieci, zalecamy wykorzystywanie wy??cznie protoko?u Kerberos w celu uwierzytelnienia u?ytkowników domeny.
2. Ogranicz uprzywilejowanym u?ytkownikom domen mo?liwo?? logowania si? do przestarza?ych systemów, zw?aszcza administratorom domen.
3. Has?a u?ytkowników domen powinny by? regularnie zmieniane. Je?li z jakiego? powodu polityka organizacji nie przewiduje regularnej zmiany hase?, nale?y j? w tym kontek?cie zmodyfikowa?.
4. Wszystkie komputery w sieci firmowej powinny by? chronione przy pomocy rozwi?za? bezpiecze?stwa i regularnie aktualizowane.
5. W celu uniemo?liwienia pod??czania nieautoryzowanych urz?dze? USB mo?na zastosowa? funkcj? kontroli urz?dze?.
6. W przypadku posiadania danego zasobu sieciowego zalecamy aktywowanie HSTS (HTTP Strict Transport Security) w celu uniemo?liwienia prze??czania si? z protoko?u HTTPS na HTTP i fa?szowania danych uwierzytelniaj?cych ze skradzionych ciasteczek.
7. W miar? mo?liwo?ci nale?y wy??czy? tryb nas?uchiwania i aktywowa? ustawienie izolacji klienta (AP) w ruterach i switchach Wi-Fi, uniemo?liwiaj?c nas?uchiwanie ruchu przep?ywaj?cego przez inn? stacj? robocz?.
8. Nale?y w??czy? ustawienie DHCP Snooping, aby chroni? u?ytkowników sieci firmowej przed przechwyceniem ich ??da? DHCP przez fa?szywe serwery DHCP.

Oprócz przechwytywania danych uwierzytelniaj?cych z sieci firmowej eksperymentalne urz?dzenie mo?e by? wykorzystywane do gromadzenia ciasteczek z przegl?darek na zaatakowanych maszynach.