50 slaptažodžių per valandą: kaip galima sukompromituoti verslo tinklą su 20 JAV dolerių kainuojančiu įrenginiu

Publikuota: 2017 m. liepos 5 d. trečiadienis

„Kaspersky Lab“ ekspertai ištyrė viešai prieinamus aparatinės ir programinės įrangos įrankius, skirtus slapčia sulaikyti slaptažodžius, ir nustatė, kad galingą įsilaužimo įrankį per kelias valandas gali sukurti pagrindinių programavimo žinių turinti asmuo už maždaug 20 JAV dolerių. Per eksperimentą jie pasitelkė „DIY Raspberry Pi USB“ įrenginį, sukonfigūruotą tam tikru būdu ir neturintį kenksmingos programinės įrangos, ir galėjo slapčia iš korporatyvinio tinklo surinkti naudotojo autentifikavimo duomenis – 50 slaptažodžių per valandą.

Tyrimas prasidėjo tikra istorija. Kitame tyrime, kuriame dalyvavo „Kaspersky Lab“ ekspertai, įmonėje nedirbantis asmuo (valymo paslaugas teikiančios bendrovės darbuotojas) naudojo USB atmintinę, kad tikslinėje organizacijoje užkrėstų kompiuterį kenkėjiškomis programomis. Išgirdę šią istoriją, „Kaspersky Lab“ saugumo entuziastai susidomėjo, ką dar gali naudoti įmonėje nedirbantys, bet į ją patekti galintys asmenys. Ar įmanoma sukompromituoti tinklą be jokių kenkėjiškų programų?

Ekspertai paėmė „Raspberry-Pi“ mikrokompiuterį, sukonfigūravo jį kaip „Ethernet“ siejiklį, sukūrė keletą papildomų konfigūracijos pakeitimų operacinėje mikrokompiuterio sistemoje ir įdiegė keletą viešai prieinamų įrankių paketų šnipinėti, rinkti ir apdoroti duomenis. Galiausiai ekspertai sukūrė serverį surinkti užfiksuotus duomenis. Po to įrenginys buvo prijungtas prie tikslinio kompiuterio ir pradėjo automatiškai į serverį tiekti pavogtus duomenis.

Taip atsitiko dėl to, kad užpulto kompiuterio operacinė sistema aptiko prijungtą „Raspberry-Pi“ įrenginį kaip laidinį LAN siejiklį ir automatiškai jam priskyrė didesnį prioritetą nei kitiems prieinamiems tinklo jungtims, svarbiausia – suteikė prieigą prie duomenų mainų tinklo. Eksperimentinis tinklas buvo realaus verslo tinklo segmento modelis. Dėl to tyrėjai galėjo surinkti autentifikavimo duomenis, atsiųstus užpulto kompiuterio ir jo programų, nes bandė autentifikuoti domeną ir atjungti serverius. Be to, ekspertai taip pat galėjo rinkti šiuos duomenis iš kitų tinklo kompiuterių.

Be to, dėl išpuolio specifikos sulaikyti duomenys buvo perduodami per tinklą realiuoju laiku ir kuo ilgiau įrenginys buvo prijungtas prie kompiuterio, tuo daugiau duomenų ekspertai galėjo rinkti ir perduoti į nuotolinį serverį. Vos per pusvalandį tyrėjai sugebėjo surinkti beveik 30 slaptažodžių, perduotų per užpultą tinklą, todėl nesunku įsivaizduoti, kiek duomenų galima surinkti per dieną. Blogiausiu atveju domeno administratoriaus autentifikavimo duomenys taip pat gali būti perimti, jei jis prisijungtų prie savo paskyros, kai įrenginys yra prijungtas prie vieno iš domeno viduje esančių kompiuterių.

Šį duomenų perkėlimo metodą galima labai plačiai pritaikyti: eksperimentas buvo sėkmingai pakartotas tiek užrakintuose, tiek atrakintuose kompiuteriuose, veikiančiuose su „Windows“ ir „Mac“ operacinėmis sistemomis. Tačiau ekspertai negalėjo pakartoti išpuolio įrenginiuose su „Linux“ operacine sistema.

„Po šio eksperimento mes nerimaujame dėl dviejų dalykų: pirma, mes neturėjome kurti programinės įrangos, tiesiog naudojome internete laisvai prieinamus įrankius. Antra, buvo labai lengva įsilaužti į įrenginį. Tai reiškia, kad galbūt kiekvienas, naršantis internete ir turintis pagrindinių programavimo įgūdžių, gali pakartoti šį eksperimentą. Lengva nuspėti, kas atsitiktų, jei tai padarytų kenkėjai. Todėl nusprendėme atkreipti visuomenės dėmesį į šią problemą. Naudotojai ir įmonių administratoriai turėtų būti pasirengę tokio pobūdžio išpuoliams,“ – sako Sergejus Lurje (Sergey Lurye), „Kaspersky Lab“ saugumo ekspertas ir tyrimo autorius.

Nors siekiant atremti išpuolį, galima užkirsti kelią slaptažodžių išsaugojimui (paprasto teksto slaptažodžio fragmentinis abėcėlinis aiškinimas, kai jis buvo apdorotas tam tikru apsisaugojimo algoritmu), likę fragmentai gali būti iššifruoti į slaptažodžius, nes algoritmai yra žinomi arba naudojami perduodant slaptažodžius.

Šaltinis: Kaspersky Lab
Kopijuoti, platinti, skelbti bet kokią portalo News.lt informaciją be raštiško redakcijos sutikimo draudžiama.

facebook komentarai

Naujas komentaras

     

 


Captcha
 

Sustabdytas didžiausią grėsmę keliantis „botnet“ tinklas „Gamarue“

Saugumo sprendimų kompanija ESET drauge su „Microsoft“ tyrėjais, bendradarbiaujant su teisėsaugos agentūromis FTB, „Interpol“, „Europol“ ir kitais kibernetinės apsaugos ekspertais visame pasaulyje, sėkmingai sustabdė daugelį metų internete plitusį kenkėjiškų programų židinį „Gamarue“. skaityti »

Programišiai pergudravo „Google Play“ apsaugos mechanizmus

Aptikta kenkėjiška programa, galinti apeiti programėlių parduotuvės „Google Play“ apsaugos mechanizmus. skaityti »

Sukčiai savo kėslams pasitelkė SEO optimizavimą

Sukčiai pasinaudodami SEO internete platina modifikuotą „Windows Movie Maker“ versiją. skaityti »

Helsinkyje aptarta Lietuvos iniciatyva stiprinti kibernetinės gynybos sritį Europos Sąjungoje

LR Krašto apsaugos viceministras Edvinas Kerza susitikime su Suomijos gynybos ministerijos nuolatiniu sekretoriumi Jukka Juusti aptarė Lietuvos ir Suomijos bendradarbiavimą kibernetinės gynybos srityje, skaityti »

Paskelbta apie grėsmę „Wi-Fi“ tinklams: ką reikia žinoti ir kaip apsisaugoti

Spalio 16 dieną belgų mokslininkas Maty Vanhoefas viešai paskelbė apie belaidžio ryšio (angl. Wi-Fi) saugumo spragą, pavadinimu KRACK (angl. Key Reinstallation AttaCK). Ši WPA2 duomenų šifravimo protokolo apsaugos spraga yra visuose apsaugotuose „Wi-Fi“ tinkluose bei juos naudojančiuose įrenginiuose. skaityti »

Mokslininkai pasiūlė Žemę uždengti milžinišku skydu

Mūsų Visatoje yra daugybė pavojų, nuo kurių žmonija turi išmokti apsisaugoti. Nuolat kalbama apie būtinybę išmokti nukreipti asteroidus, tačiau ir be jų galime sulaukti didžiulės grėsmės iš kosmoso. skaityti »

Saugumo ekspertai iš viso pasaulio kviečiami įsilaužti į naftos perdirbimo įmonę

„Kaspersky Lab“ paskelbė tarptautinį saugumo konkursą „Capture the Flag“, kurio dalyviams suteikiama galimybė įsilaužti į naftos perdirbimo įmonę. skaityti »

15 komandų treniruojasi suvaldyti kibernetinius incidentus pratybose „Kibernetinis skydas 2017“

Šių metų spalio 2–4 d. Vilniuje, Kaune, Klaipėdoje ir kituose Lietuvos miestuose įsikūrusios 15 kibernetinio saugumo specialistų komandų treniruojasi atremti ir suvaldyti kibernetinius incidentus. skaityti »

Lietuvos bankas įspėja apie neteisėtus ir rizikingus investavimo pasiūlymus

Pastaruoju metu vis daugiau žmonių skundžiasi nukentėję nuo neteisėtai ir nelegaliai veikiančių investavimo bendrovių. skaityti »

Pirštų atspaudų nuskaitymas – tik gavus sutikimą

Technologijoms sparčiai žengiant į priekį ir populiarėjant tapatybės nustatymui pagal pirštų atspaudus, teisininkai pataria atkreipti ypatingą dėmesį į asmens duomenų apsaugą. skaityti »