Redes corporativas podem ser comprometidas com dispositivo de 18€

Mafalda Freire,

Os investigadores da Kaspersky Lab descobriram uma ferramenta de hacking para interceção de palavras-passe que pode ser desenvolvida por apenas 18€, com recurso a dispositivo móvel de tipo DIY Raspberry Pi, e por alguém com conhecimentos básicos de programação. A pesquisa conseguiu recolher secretamente informações de autenticação de utilizadores de redes corporativas ao ritmo de 50 password hashes por hora.

A experiência foi baseada num caso real em que um colaborador de uma empresa,  um membro da equipa de limpeza, utilizou um dispositivo USB para infetar com malware a rede corporativa. Com base neste cenário, os especialistas de segurança da Kaspersky Lab quiseram perceber que outros instrumentos poderiam ser utilizados.

Assim, foi usado um microcomputador Raspberry-Pi configurado como um adaptador Ethernet com algumas alterações no sistema operativo e ferramentas de acesso público de procura, recolha e processamento de informações. Por último, os investigadores instalaram um servidor para recolher os dados intercetados.

O dispositivo foi conectado ao computador e transmitiu imediatamente a informação obtida. Isto aconteceu porque o SO do computador infetado identificou o dispositivo Raspberry-Pi como um adaptador LAN e imediatamente lhe atribuiu uma prioridade mais elevada que outras conexões de rede e, mais importante, garantiu-lhe acesso à troca de informações na rede.

Segundo a empresa de cibersegurança, o resultado foi a recolha de informações de autenticação enviadas pelo computador atacado e pelas suas aplicações quando tentavam autenticar domínios e servidores remotos, assim como de outros computadores dentro da rede.

As especificações do ataque permitiram que as informações intercetadas fossem enviadas pela rede de comunicações em tempo real, quanto mais tempo o dispositivo estivesse conectado ao computador, mais informação conseguia recolher e transferir para o servidor remoto.

Após meia hora de testes, os investigadores recolheram cerca de 30 password hashes transferidas através da rede atacada, sendo fácil imaginar a informação que poderia ser recolhida num único dia. 

A probabilidade de ataques através deste método é grande visto que experiência foi replicada com sucesso em computadores bloqueados e desbloqueados tanto em sistemas operativos Windows e Mac. O único sistema imune foi o Linux.

“Existem duas preocupações principais que resultaram desta experiência: a primeira – o facto de não ser necessário desenvolver o software, foram utilizadas apenas ferramentas disponíveis gratuitamente na internet. Em segundo lugar, – o quão fácil foi comprovar o conceito do nosso dispositivo de hacking. Isto significa que qualquer pessoa, familiarizada com a internet e com conhecimentos básicos de programação, poderia replicar esta experiência. E é fácil prever o que pode acontecer quando este método é utilizado por pessoas com más intenções. Esta é a principal razão pela qual decidimos alertar utilizadores para este risco. Utilizadores e administradores deveriam estar preparados contra este tipo de ataque”, referiu em comunicado, Sergey Lurye, entusiasta de Segurança e co-autor da pesquisa da Kaspersky Lab.

De forma a proteger o computador e a rede de ataques em dispositivos DIY semelhantes, os especialistas de segurança da Kaspersky Lab security recomendam aos administradores de sistema que:

  • se a tipologia da rede permitir, façam utilização única de protocolos Kerberos para a autenticação de utilizadores.
  • restrinjam utilizadores privilegiados de aceder aos sistemas antigos, principalmente os administradores.
  • tomem providências para que as palavras-passe dos utilizadores sejam alteradas regularmente. Se, por qualquer razão, a política da companhia não inclui este processo, aconselha-se a alteração da política.
  • todos os computadores dentro de uma rede corporativa estejam protegidos com um sistema de segurança e atualizados regularmente.
  • instalem de um sistema de Controlo de Dispositivos, de forma a prevenir a conexão de dispositivos USB não-autorizados.
  • se são os proprietários do domínio, efetuem a ativação do HSTS (os padrões de segurança rígidos de HTTP) que previne a alteração dos protocolos de HTTPS para HTTP e a falsificação de credenciais de uma cookie roubada.
  • se possível, desativem o modo de escuta e ativem o protocolo de isolação de cliente (AP) no router de Wi-Fi, impossibilitando-o de controlar o tráfego de outras redes.
  • ativem o sistema DHCP Snooping para proteger utilizadores de redes corporativas de receberem pedidos DHCP de falsos servidores.