Kaspersky Lab: solo 20 dollari per compromettere una rete aziendale
I ricercatori di Kaspersky Lab hanno esaminato i tool hardware e software disponibili online che consentono di intercettare password segrete e compromettere una rete aziendale. Da questa analisi è emerso che un potente strumento di hacking può essere creato con 20 dollari e poche ore di lavoro da chiunque abbia conoscenze di programmazione anche di base.
I ricercatori hanno utilizzato un microcomputer Raspberry-Pi configurato come un adattatore Ethernet al quale sono state apportate alcune modifiche di configurazione del sistema operativo in esecuzione. Dopodiché, hanno installato alcuni tool facilmente reperibili per il packet sniffing. Infine hanno creato un server per raccogliere i dati intercettati. Quando il dispositivo è stato connesso alla macchina presa di mira, ha cominciato a caricare automaticamente nel server le informazioni relative alle credenziali rubate.
Il motivo per cui questo è stato possibile è che il sistema operativo presente sul computer attaccato ha identificato il dispositivo Raspberry-Pi connesso come una scheda LAN cablata e ha automaticamente assegnato una priorità superiore a quella di altre connessioni di rete disponibili e, soprattutto, ha consentito l’accesso allo scambio di dati all’interno del network.
La rete sperimentale simulava il segmento di una vera e propria rete aziendale. Di conseguenza, i ricercatori sono stati in grado di raccogliere i dati di autenticazione inviati dal PC attaccato e dalle sue applicazioni e di autenticare i server di dominio e remoti. Inoltre, i ricercatori sono stati anche in grado di raccogliere questi dati da altri computer presenti nel segmento del network.
Dopo solo mezz’ora dall’inizio dell’esperimento i ricercatori sono stati in grado di identificare quasi 30 password trasferite attraverso la rete attaccata. È facile immaginare quanti dati potrebbero essere raccolti in un solo giorno. Nel peggiore dei casi, potrebbero essere intercettati anche i dati di autenticazione dell’amministratore di dominio e si potrebbe avere accesso al loro account mentre il dispositivo è collegato a uno dei PC all’interno del dominio.
L’esperimento è stato riprodotto con successo su computer locked e unlocked con sistemi operativi Windows e Mac. I ricercatori non sono stati in grado, però, di riprodurre l’attacco su dispositivi basati su Linux.
Sebbene l’attacco consenta l’intercettazione dei soli hash delle password (stringhe ottenute elaborando le password con una funzione di offuscamento non invertibile), quest’ultimi potrebbero essere utilizzati per identificare le password in chiaro in quanto gli algoritmi delle funzioni per l’hashing sono noti, oppure potrebbero essere utilizzati in attacchi pass-the-hash.
Al fine di proteggere i PC o le reti da attacchi perpetrati con l’aiuto di dispositivi DIY, gli esperti di Kaspersky Lab hanno fornito alcuni consigli rivolti agli amministratori di sistema.
- Se la topologia del network lo consente, è necessario utilizzare esclusivamente il protocollo Kerberos per l’autenticazione dei domain user.
- Limitare ai soli utenti di dominio con privilegi l’accesso ai sistemi legacy, in particolare agli amministratori di dominio.
- Le password dei domain user devono essere modificate regolarmente. Se per qualsiasi motivo la politicy dell’organizzazione non richiedesse la modifica regolare delle password, è importante assicurarsi che venga inclusa.
- Anche i computer che fanno parte di una rete aziendale dovrebbero essere protetti da una soluzione di sicurezza regolarmente aggiornata.
- Per impedire la connessione di dispositivi USB non autorizzati, può essere utile una funzionalità di Device Control.
- Se si è proprietari della risorsa web, si consiglia di attivare l’HSTS (sicurezza rigida per il trasporto di HTTP) che impedisce la commutazione da HTTPS a protocollo HTTP e la manipolazione delle credenziali di un cookie rubato.
- Attivare l’impostazione DHCP Snooping per proteggere gli utenti della rete aziendale dalla possibilità di bloccare le richieste DHCP da falsi server DHCP.