pondelok 12. júna 2017

Bezpečnosť: Len 20 eur stačí na ohrozenie firemnej siete 
Bezpečnostní experti uskutočnili experiment inšpirovaný skutočným prípadom, kedy zamestnanec upratovacej spoločnosti infikoval firemnú sieť len s použitím klasického USB kľúča. Výsledok? Stačí menej ako 20 eur, niekoľko hodín práce a základné programátorské znalosti, aby vznikol veľmi silný a účinný nástroj na „hacknutie“ firemnej siete.

Pri experimente použili vlastnoručne vyrobené USB zariadenie z voľne dostupných nástrojov. Využili mikropočítač Raspberry Pi nakonfigurovaný ako Ethernet adaptér, urobili zopár ďalších konfiguračných zmien v operačnom systéme a nainštalovali niekoľko verejne dostupných nástrojov na sledovanie, zhromaždenie a spracovanie dát. Nakoniec zariadenie pripojili k cieľovej sieti, a to začalo automaticky kŕmiť ich server ukradnutými prihlasovacími dátami. Operačný systém na napadnutom počítači identifikoval pripojené Raspbery Pi zariadenie ako sieťový LAN adaptér a automaticky mu priradil vyššiu prioritu ako ostatným dostupným sieťam. Navyše mu umožnil prístup k výmene dát v sieti.

Výskumníci takto mohli zhromažďovať dáta aj z ďalších počítačov v danej časti siete. Tento útok bol založený na zachytení dát a ich odosielaní cez sieť v reálnom čase. Preto, čím dlhšie bolo zariadenie pripojené k počítaču, tým viac dát bolo možné zhromaždiť a preniesť na vzdialený server. Len po hodine experimentu boli vedci schopní zozbierať okolo 50 reťazcov (hašov) hesiel. V najhoršom prípade by mohli byť zachytené aj autentifikačné údaje správcu domény. Stačilo by, aby sa správca prihlasoval v čase, kedy bolo  zariadenie pripojené k jednému z počítačov v rámci domény.

Experiment bol úspešne vykonaný na zamknutých aj nezamknutých počítačoch s operačným systémom Windows a Mac. Experti však neboli schopní tento útok zopakovať pri zariadeniach, ktoré boli vybavené systémom Linux. Odporúča sa dodržiavať základné bezpečnostné pravidlá, pričom bežní používatelia by nemali zabúdať na pravidelnú aktualizáciu systému, aplikácií a predovšetkým hesiel.