HomeNotíciasGeralComo um colaborador infiltrado pode colocar em risco uma rede corporativa apenas com um dispositivo de 18€

Como um colaborador infiltrado pode colocar em risco uma rede corporativa apenas com um dispositivo de 18€

 

· Dispositivos de interceção de palavras-passe podem ser construídos por 18€ e conhecimentos básicos de programação.

·  Na experiência, os investigadores conseguiram recolher informações não só dentro do computador atacado mas também de outros conectados na mesma rede corporativa.

· Os investigadores conseguiram recolher secretamente informações de autenticação de utilizadores de redes corporativas ao ritmo de 50 password hashes por hora.

Investigadores da Kaspersky Lab examinaram equipamentos de hardware e software para interceção de palavras-passe e descobriram uma ferramenta de hacking que pode ser desenvolvida por apenas 18€, e por alguém com conhecimentos básicos de programação. Numa experiência, foi utilizado um dispositivo móvel de tipo DIY Raspberry Pi, com configurações específicas e não infetado com software malicioso. Utilizando apenas este dispositivo, os investigadores conseguiram recolher secretamente informações de autenticação de utilizadores de redes corporativas ao ritmo de 50 password hashes por hora.

A pesquisa foi baseada numa história real: uma investigação onde os especialistas da Kaspersky Lab participaram, em que um colaborador de uma empresa (neste caso um membro da equipa de limpeza) utilizou um dispositivo USB para infetar com malware a rede de trabalho dentro de uma organização-alvo. Com base neste cenário, os especialistas de segurança da Kaspersky Lab quiseram perceber que outros instrumentos poderiam ser utilizados por estes agentes para comprometerem uma rede e como poderiam fazê-lo sem um malware.

Os investigadores utilizaram um microcomputador Raspberry-Pi configurado como um adaptador Ethernet com algumas alterações adicionais no sistema operativo do microcomputador e instalaram ferramentas de acesso público de procura, recolha e processamento de informações. Por último, os investigadores instalaram um servidor para recolher os dados intercetados. O dispositivo foi de seguida conectado ao computador e transmitiu imediatamente a informação obtida.

Isto aconteceu porque o SO do computador infetado identificou o dispositivo Raspberry-Pi como um adaptador LAN e imediatamente lhe atribuiu uma prioridade mais elevada que outras conexões de rede e, mais importante, garantiu-lhe acesso à troca de informações na rede. A rede era uma simulação de um segmento de uma rede corporativa real. Como resultado, os investigadores conseguiram recolher informações de autenticação enviadas pelo computador atacado e pelas suas aplicações quando tentavam autenticar domínios e servidores remotos. Adicionalmente, os investigadores conseguiram também obter informações de outros computadores dentro da rede.

As especificações do ataque permitiram que as informações intercetadas fossem enviadas pela rede de comunicações em tempo real, quanto mais tempo o dispositivo estivesse conectado ao computador, mais informação conseguia recolher e transferir para o servidor remoto. Após meia hora de testes, os investigadores recolheram cerca de 30 password hashes transferidas através da rede atacada, sendo fácil imaginar a informação que poderia ser recolhida num único dia. No pior dos cenários, os dados de autenticação do administrador poderiam ser obtidos caso este acedesse às suas contas enquanto o dispositivo estivesse ligado ao computador dentro da rede.

A probabilidade de ataques através deste método é grande: a experiência foi replicada com sucesso em computadores bloqueados e desbloqueados tanto em sistemas operativos Windows e MAC. No entanto, os investigadores não conseguiram levar a cabo o ataque em sistemas Linux.

“Existem duas preocupações principais que resultaram desta experiência: a primeira – o facto de não ser necessário desenvolver o software, foram utilizadas apenas ferramentas disponíveis gratuitamente na internet. Em segundo lugar, – o quão fácil foi comprovar o conceito do nosso dispositivo de hacking. Isto significa que qualquer pessoa, familiarizada com a internet e com conhecimentos básicos de programação, poderia replicar esta experiência. E é fácil prever o que pode acontecer quando este método é utilizado por pessoas com más intenções. Esta é a principal razão pela qual decidimos alertar utilizadores para este risco. Utilizadores e administradores deveriam estar preparados contra este tipo de ataque”, comenta Sergey Lurye, entusiasta de Segurança e co-autor da pesquisa da Kaspersky Lab.

Apesar do ataque permitir a interceção das palavras-passe ofuscadas é possível fazer-se um ataque para decifrar as palavras-passe originais e conhecer o algoritmo utilizado para a ofuscação.

De forma a proteger o computador e a rede de ataques em dispositivos DIY semelhantes, os especialistas de segurança da Kaspersky Lab security recomendam:

Para utilizadores regulares:

  1. Ao regressar ao computador, verifique se não existem dispositivos USB a mais nas várias entradas.
  2. Evite aceitar dispositivos que não reconhece. Podem na verdade ser intercetores de palavras-passe.
  3. Tenha o hábito de terminar sessões nos sites que requerem autentificações. Normalmente isso significa fazer “log out”.
  4. Altere as palavras-passe com regularidade – tanto a do seu computador como dos sites que utiliza frequentemente. Nem todos os websites utilizam mecanismos de proteção contra a substituição de informação de cookies. É aconselhável recorrer a software de gestão de palavras-passe para conseguir palavras-passe mais fortes e seguras, com o Kaspersky Palavra-passe Manager, gratuito.
  5. Permita a autenticação de dois fatores, como por exemplo requisitar uma confirmação de log in ou um código de autenticação.
  6. Instale e atualize regularmente uma solução de segurança de um fabricante de confiança.

Para administradores de sistema:

  1. Se a tipologia da rede permitir, aconselha-se a utilização única de protocolos Kerberos para a autenticação de utilizadores.
  2. Restringir utilizadores privilegiados de aceder aos sistemas antigos, principalmente os administradores.
  3. As palavras-passe dos utilizadores devem ser alteradas regularmente. Se, por qualquer razão, a política da companhia não inclui este processo, aconselha-se a alteração da política.
  4. Todos os computadores dentro de uma rede corporativa têm de ser protegidos com um sistema de segurança e atualizados regularmente.
  5. De forma a prevenir a conexão de dispositivos USB não-autorizados, um sistema de Controlo de Dispositivos deve ser instalado, como o disponível na solução de segurança Kaspersky Endpoint Security for Business.
  6. Se é o proprietário do domínio, é recomendável a ativação do HSTS (os padrões de segurança rígidos de HTTP) que previne a alteração dos protocolos de HTTPS para HTTP e a falsificação de credenciais de uma cookie roubada.
  7. Se possível, desative o modo de escuta e ative o protocolo de isolação de cliente (AP) no router de Wi-Fi, impossibilitando-o de controlar o tráfego de outras redes.
  1. Ative o sistema DHCP Snooping para proteger utilizadores de redes corporativas de receberem pedidos DHCP de falsos servidores.

Além de intercetar os dados de autentificação de redes corporativas, o dispositivo experimental pode ser utilizado para recolher cookies de motores de busca dos computadores atacados.

Saiba mais sobre a experiência e sobre as medidas de segurança que podem proteger redes corporativas e pessoais deste tipo de ataques em Securelist.com.

 

 

 

doc icon 170620_PR_50_passwords_per_hour_PT.docx