Atak offline – to możliwe (i często skuteczne)

 

– Przytłaczająca większość ataków hakerskich ma miejsce przez Internet. Nie oznacza to jednak, że całkowite odcięcie kluczowych zasobów firmy od światowej sieci czyni ją bezpieczną – uważa Adam Wódz, IT Security Manager z firmy Cybercom.

Zdaniem eksperta, oprócz standardowych narzędzi podsłuchu i szpiegowania przemysłowego, takich jak spyware czy keyloggery (oprogramowanie przechwytujące treści wprowadzane przy użyciu klawiatury), firmy, które chcą zapewnić sobie bezpieczeństwo muszą zatroszczyć się także o ochronę przed atakami przeprowadzanymi przy użyciu mniej oczywistych metod.

– W formie anegdot krążą opowieści o drzwiach otwieranych kodem. Każdy przycisk na panelu z cyframi wydawał inny dźwięk. Osoby o wrażliwym słuchu były w stanie później otwierać te drzwi dzięki powtarzaniu w głowie lub gwizdaniu melodii, jaką „wygrała” wchodząca osoba na klawiszach – opowiada Adam Wódz. – Jednak współcześni szpiedzy, zarówno przemysłowi jak i rządowi, sięgają po znacznie bardziej wyrafinowane metody wykradania danych.

Nasłuch elektromagnetyczny[1]

Każde urządzenie podłączone do sieci elektrycznej generuje promieniowanie, które może być przechwycone przez urządzenia nasłuchowe. Jeszcze kilka lat temu popularne były niezabezpieczone kable VGA. W tej chwili, dzięki rosnącej popularności światłowodów, coraz częściej celem nasłuchu elektromagnetycznego są klawiatury.

– Możliwe jest skonstruowanie narzędzia, które pozwala „podsłuchać ruch” w kablu łączącym klawiaturę z komputerem. Przy odpowiedniej mocy nasłuchu wykonalne jest nawet  szpiegowanie laptopów, bez konieczności infekowania ich czy choćby podłączenia do internetu – wskazuje Adam Wódz – Urządzenie pozwalające w ten sposób podsłuchiwać klawiaturę z odległości nawet 20 metrów kosztuje 5 tysięcy dolarów. Dla szpiegów, czy to gospodarczych czy państwowych, jest to śmiesznie niska kwota.

Atak jest jeszcze łatwiejszy, jeśli komputer podłączony jest do zasilania. W takiej sytuacji każde naciśnięcie klawisza powoduje fluktuacje w linii zasilającej, a podsłuchać je można podłączając się do sąsiedniego gniazdka.

– Dla osoby przeprowadzającej atak socjotechniczny, przebranego np. za sprzątacza czy konserwatora, dostęp do gniazdka może być bardzo łatwy. Przecież ekipa sprzątająca od czasu do czasu musi odkurzyć pod biurkiem czy za szafką nie wzbudzając podejrzeń – komentuje Adam Wódz.

Czciciele radia i fizyki[2]

Oprócz pola elektromagnetycznego, komputery generują również fale radiowe, które można podsłuchać dzięki urządzeniom wyposażonym w antenę. W szczególności dotyczy to kart graficznych.

Uczeni na izraelskim Uniwersytecie Ben Guriona opracowali malware, które poprzez modulację tych fal pozwala przekazywać dane, na przykład wprowadzane hasła[3].

– Wyzwaniem jest zarażenie komputera złośliwym oprogramowaniem, jednak gdy to się uda, możliwe jest w zasadzie niewykrywalne podsłuchiwanie wszystkiego przy użyciu odbiorników fal radiowych. W czasach, gdy każdy ma w kieszeni telefon komórkowy, jest to stosunkowo proste – komentuje Adam Wódz.

Atak socjotechniczny

Poprzez ataki socjotechniczne rozumiana jest sytuacja, gdy przestępcy lub szpiedzy atakują pracowników, a nie infrastrukturę technologiczną.

– Atak socjotechniczny może być manipulacją, oszustwem lub inną formą wyłudzenia dostępu. Przestępcy są coraz sprytniejsi, a ich ataki są coraz bardziej wyrafinowane, choć czasami skutkują nawet najprostsze, wręcz prostackie sztuczki – wskazuje Adam Wódz. – Zdarza się telefon do głównej księgowej od „szefa” z prośbą o szybki przelew na wskazane konto. Czasem udaje się w ten sposób wyłudzić nawet 7 milionów dolarów[4].

Ekspert podkreśla jednocześnie, że ataki socjotechniczne są również zagrożeniem dla danych osobowych.

– Wystarczy, że przestępcy poznają hasło dostępu do firmowego systemu CMS. Jeśli mogą po nim buszować do woli z uprawnieniami pracownika, dane wszystkich klientów są w zasięgu ręki.

Zasada ograniczonego zaufania

– Trwa nieustanny wyścig między przestępcami a specjalistami od ochrony. W przypadku opisanych metod ataków najważniejsze są odpowiednie procedury zabezpieczające system, np. zakaz wnoszenia telefonów komórkowych do serwerowni, ograniczony, ściśle kontrolowany dostęp do infrastruktury – wskazuje Adam Wódz. – Aby obronić się przed atakami socjotechnicznymi ważne jest ciągłe szkolenie personelu i uświadamianie zagrożeń. Warto mieć na uwadze, że w momencie wycieku konieczne jest wykazanie, że dochowana została wszelka możliwa staranność i zastosowane zostały najlepsze środki – podsumowuje ekspert.

 

[1]     https://www.kaspersky.com/blog/when-going-offline-doesnt-help/9078/

[2]     https://www.kaspersky.com/blog/when-going-offline-doesnt-help/9078/

[3]     https://www.wired.com/2014/11/airhopper-hack/

[4]     http://www.tvp.info/20433113/zadzwonil-do-firmy-z-usa-podal-sie-za-prezesa-i-zlecil-przelewy-na-7-mln-dolarow-48latkowi-z-jastrzebia-grozi-10-lat