Prawdopodobnie nikogo nie zaskoczy fakt, że atakujący mogą przejąć kontrolę nad komputerem, jeśli mają do niego fizyczny dostęp nawet tylko przez chwilę. Ale co rozumiemy przez „fizyczny dostęp”? Jak się okazuje, nie zawsze musi to być laptop zostawiony na chwilę w biurze, bez zablokowanego ekranu…
W tym artykule przyjrzymy się, jak może wyglądać taki atak i jakie urządzenia są wykorzystywane do jego przeprowadzenia. Są to stosunkowo szybkie działania, podczas których hackerzy wykorzystują dostępne porty w komputerze i najsłabsze ogniwo w zabezpieczeniach firmy – pracowników. Czasami skuteczny cyberatak opiera się na wprowadzeniu prostego urządzenia do sieci przedsiębiorstwa. Jakiego? Jest tutaj kilka możliwości. Zobaczmy sami.
Prosty pendrive
Hacker może łatwo uzyskać dostęp do danych z dysku twardego komputera za pomocą pamięci flash USB z systemem operacyjnym, o ile szyfrowanie nie zostało włączone. Do ataku można wykorzystać niektóre dystrybucje Linuksa, takie jak Ubuntu lub Kali, dysk typu flash z plikami instalacyjnymi systemu Windows lub napęd DVD. Po uruchomieniu systemu operacyjnego przestępca uzyskuje dostęp do wszystkich plików na dysku lokalnym. Może nawet wyodrębnić zahashowane hasła użytkowników z plików rejestru i w ten sposób uzyskać dane dostępowe do różnorodnych części sieci lub aplikacji. Jest również w stanie modyfikować pliki na dysku lub dodać nowego administratora lokalnego do systemu zaatakowanego komputera.
Istnieje również inny typ ataku, który nawet nie wymaga uzyskania dostępu do komputera. Polega on na pozostawieniu dysku flash USB w miejscu, w którym ofiara może go znaleźć, na przykład przy firmowej drukarce. Ten rodzaj naruszenia wykorzystuje ludzką ciekawość osoby, która znajduje urządzenie, podłącza dysk do komputera, a następnie widzi plik o kuszącej nazwie, takiej jak „lista wynagrodzeń za maj”. Jego otworzenie powoduje wykonanie złośliwej akcji, na przykład wysłanie informacji na serwer atakującego lub nawiązanie połączenia w celu zdalnego kontrolowania komputera.
Klawiatura flash
Wygląda jak zwykła pamięć typu flash USB, ale po podłączeniu komputer identyfikuje ją jako klawiaturę. Ta wirtualna klawiatura bardzo szybko uruchamia zaprogramowaną sekwencję znaków. Zazwyczaj „naciska” skrót klawiaturowy WIN+r i używa powershella do pobrania oraz uruchomienia skryptu lub programu, który umożliwia zdalne sterowanie komputerem. Przykładem takiego „złego pendrive’a” jest Rubber Ducky lub różne urządzenia i płyty deweloperskie.
Aby przeprowadzić atak, wystarczy odejść od komputera i nie blokować ekranu. Atakujący po prostu podłącza urządzenie do portu USB i w kilka sekund może zdalnie kontrolować komputer lub, jak w poprzednim przypadku, podłożyć „pendrive’a” w taki sposób, aby ofiara go znalazła i podłączyła do komputera.
Jak się bronić przed tego typu rodzajem ataku? Są tutaj dwa proste rozwiązania. Po pierwsze, za każdym razem, gdy pracownik opuszcza stanowisko pracy, powinien zablokować komputer. A po drugie – nie powinien on podłączać do laptopa żadnych urządzeń, jeśli nie wie do kogo należą czy skąd pochodzą.
Sprzętowy keylogger
Keylogger USB to małe, ale jeszcze bardziej złośliwe urządzenie z dwoma portami USB, do których podłącza się klawiaturę. Urządzenie rejestruje wszystkie naciśnięcia klawiszy, w tym różne dane dostępowe. Mogą one zostać wyświetlone atakującemu po wpisaniu przezeń tajnego kodu. Bardziej zaawansowane modele mogą łączyć się zdalnie przez Wi-Fi. Keylogger może mieć również formę przedłużacza USB lub być ukryty w klawiaturze, co czyni go prawie niewykrywalnym.
Ochrona przed sprzętowymi keyloggerami jest dość złożona. Dobrym pomysłem jest, aby użytkownicy zachowywali czujność i zgłaszali obecność jakichkolwiek nieznanych urządzeń w porcie komputera.
Mały komputer na USB
Atakujący mogą również podłączyć mały komputer do portu USB – jest on tylko tylko nieco większy od zwykłego pendrive’a. Może on przedstawiać się komputerowi jako klawiatura, dysk USB, karta sieciowa, a nawet wszystko naraz. Hacker nie ma potrzeby pobierania dodatkowych skryptów lub programów z Internetu na urządzenie, do którego się podłącza. Analogicznie, uzyskane informacje nie muszą być wysyłane do przestępcy przez sieć, ale mogą być przechowywane bezpośrednio na danej maszynie. Jeśli narzędzie hackera działa w trybie karty sieciowej, hash hasła zalogowanego użytkownika może uzyskać za pomocą narzędzia responder.
Przykładem wspomnianego urządzenia jest Bash Bunny, czyli Raspberry Pi Zero, które obsługuje różne tryby OTG, w których może działać jako klawiatura, mysz lub inne urządzenie podłączone do portu USB.
Podsłuchiwanie komunikacji sieciowej
Jeśli pominiemy port USB i skupimy się na porcie LAN (RJ45), odkryjemy możliwe jest podsłuchiwanie komunikacji komputera. W celu pasywnego podsłuchiwania niezaszyfrowanego przepływu informacji wystarczy podłączyć komputer za pośrednictwem przełącznika z funkcją dublowania portów. Jeśli hacker chce spróbować zmanipulować komunikację i przeprowadzić ataki typu man-in-the-middle lub pokonać zabezpieczenia sieci za pomocą protokołu 802.1x (starsza wersja 2001), może podłączyć laptopa wyposażonego w dwie karty sieciowe. Może również użyć małego komputera wyposażonego w dwa porty sieciowe, które można pozostawić w ukryciu przez dłuższy czas.
Jak zapobiegać tego typu atakom?
Najważniejsze jest zachowanie czujności i ostrożności. Może zabrzmi to jak banał, ale prawda jest taka, że duża część naruszeń bezpieczeństwa wykorzystujących podłączenie sprzętu do komputera jest skuteczna tylko dlatego, że pracownicy nie potrafią opanować swojej ciekawości związanej z nieznanym im oprogramowaniem lub nie zadają sobie pytań typu „skąd się to wzięło?”. Zatem sprawdzają się tutaj proste zasady. Po pierwsze, zawsze wyłączaj komputer lub go blokuj – tak jak nie zostawiasz otwartych drzwi, gdy wychodzisz z domu. A po drugie, zachowaj zdrowy rozsądek i nie korzystaj z nieznanych urządzeń. Wszelkie podejrzenia czy wątpliwości zgłaszaj od razu działowi IT.
Materiał opracowany na podstawie: 5 small devices that can penetrate your company. Do you know how to defend yourself?