Kaspersky Lab mette in guardia contro l’esistenza in rete di strumenti di hacking che consentono di “bucare” una rete aziendale con soli 20 dollari di investimento.
I ricercatori di Kaspersky Lab hanno esaminato i tool hardware e software disponibili online per intercettare password segrete. L’analisi ha rivelato che è possibile creare un potente strumento di hacking con poche ore di lavoro: questo, da chiunque abbia conoscenze di programmazione anche di base, e al costo di soli 20 dollari.
L’esperimento ha utilizzato un dispositivo USB “fatto in casa” basato su Raspberry Pi, e privo di software dannosi. Con questo dispositivo, i ricercatori Kaspersky sono stati in grado di sottrarre i dati di autenticazione degli utenti di una rete aziendale al ritmo di 50 password all’ora.
In maggiori dettagli, i ricercatori hanno utilizzato un microcomputer Raspberry-Pi configurato come un adattatore Ethernet, al quale sono state apportate alcune modifiche di configurazione del sistema operativo in esecuzione. Dopodiché, hanno installato alcuni tool facilmente reperibili per il packet sniffing, la raccolta e l’elaborazione dei dati. Infine, hanno creato un server per raccogliere i dati intercettati.
Il sistema operativo attaccato ha identificato il dispositivo Raspberry-Pi come una scheda LAN cablata ed ha consentito l’accesso allo scambio di dati nel network: la rete sperimentale simulava il segmento di una rete aziendale. I ricercatori hanno quindi raccolto i dati di autenticazione “sotto attacco”, sono riusciti ad autenticare i server di dominio e remoti, e hanno raccolto dati chiave anche da altri computer presenti nel network.
L’esperimento ha interessato computer locked e unlocked con sistemi operativi Windows e Mac (ma non Linux). Sebbene l’attacco consenta l’intercettazione dei soli hash delle password, questi ultimi potrebbero essere utilizzati per identificare le password in chiaro in quanto gli algoritmi delle funzioni per l’hashing sono noti, oppure potrebbero essere utilizzati in attacchi pass-the-hash. Il dispositivo sperimentale può essere utilizzato anche per raccogliere i cookie dai browser.
Cosa fare per proteggersi
Utenti comuni:
Controllare che non ci siano dispositivi USB extra inseriti nel PC
Non accettare flash drive da fonti inattendibili: potrebbero essere intercettatori di password
Terminare le sessioni su siti che richiedono l’autenticazione: spesso è sufficiente cliccare su “log out”
Cambiare regolarmente le password. Ricordarsi che non tutti i siti web utilizzano meccanismi di protezione contro la sostituzione dei dati dei cookie
Utilizzare specifici software di password management per gestire facilmente password forti e sicure; un esempio è il software gratuito Kaspersky Password Manager
Abilitare l’autenticazione a due fattori richiedendo, ad esempio, la conferma dell’accesso o l’utilizzo di un token
Installare e aggiornare una soluzione di sicurezza di un vendoraffidabile
Amministratori di sistema:
Se la topologia del network lo consente, utilizzare esclusivamente il protocollo Kerberos per l’autenticazione dei domain user
Limitare ai soli utenti di dominio con privilegi l’accesso ai sistemi legacy
Le password dei domain user devono essere modificate regolarmente
I computer che fanno parte di una rete aziendale dovrebbero essere protetti da una soluzione di sicurezza aggiornata
Per impedire la connessione di dispositivi USB non autorizzati, utilizzare una funzionalità di Device Control, come quella disponibile nella suite Kaspersky Endpoint Security per Business
Se si è proprietari della risorsa web, attivare l’HSTS (sicurezza rigida per il trasporto di HTTP), che impedisce la commutazione da HTTPS a protocollo HTTP e la manipolazione delle credenziali di un cookie rubato
Se possibile, disattivare la modalità di listening e attivare l’impostazione di isolamento Client (AP) nei router Wi-Fi e negli switch, disattivando l’ascolto del traffico di altre workstation
Attivare l’impostazione DHCP Snooping per proteggere gli utenti della rete aziendale dalla possibilità di bloccare le richieste DHCP da falsi server DHCP
Morten Lehn, General Manager Italy, Kaspersky Lab Dopo aver eseguito questo esperimento ci sono due cose importanti che ci preoccupano maggiormente: in primo luogo il fatto che non sia stato necessario sviluppare un software ma è bastato utilizzare strumenti facilmente reperibili in Internet. In secondo luogo ci preoccupa la facilità con cui siamo stati in grado di preparare il proof of concept del nostro dispositivo di hacking. Ciò significa che potenzialmente chiunque abbia familiarità con Internet e abbia una capacità di programmazione di base, può riprodurre questo esperimento. È facile prevedere che cosa potrebbe succedere se questo venisse fatto con intenzioni dannose. Quest’ultimo è il motivo principale per cui abbiamo deciso di richiamare l’attenzione pubblica su questo problema. Gli utenti e gli amministratori aziendali dovrebbero essere preparati a questo tipo di attacchi.
