קספרסקי - כך יכול עובד לפגוע ברשת הארגונית

יום ה', 8 ביוני 2017
 
חוקרי מעבדת קספרסקי בחנו כלי חומרה ותוכנה הזמינים לציבור הרחב ואשר יכולים להפוך לכלי נשק סמויים ליירוט סיסמאות בארגונים.
 
החוקרים גילו כי ניתן ליצור כלי פריצה חזקים בסכום נמוך של 20 דולר, ובכמה שעות עבודה של אדם עם ידע בסיסי בתכנות. בניסוי שנערך, עשו החוקרים שימוש במכשיר Raspberry Pi USB שהוגדר בצורה מסוימת ומבלי שיכיל קוד זדוני. כשהם חמושים במכשיר זה, הם הצליחו לאסוף באופן סמוי נתוני אימות משתמשים מרשת ארגונית, בקצב של 50 סיסמאות מוסוות (Hash) בשעה
 
המחקר החל בסיפור אמיתי: באחת החקירות שמומחי מעבדת קספרסקי השתתפו בה, עובד בחברת סליקה השתמש בזיכרון USB עם קוד זדוני כדי להדביק תחנות עבודה בתוך הארגון. כששמעו את הסיפור, החליטו חוקרי קספרסקי לבדוק באילו דברים נוספים אפשר לעשות שימוש כדי לתקוף רשת מבפנים. והאם יהיה אפשר לסכן רשת מבלי לעשות שימוש בקוד זדוני?
 
הם לקוח מיקרו מחשב מסוג Raspberry-Pi, הגדירו אותו כמתאם Ethernet, עשו שינויי הגדרה נוספים במערכת ההפעלה שרצה על המיקרו מחשב, והתקינו מספר כלים הזמינים לציבור של בדיקת פאקט (packet sniffing), איסוף נתונים ועיבוד. בשלב הבא, החוקרים הציבו שרת שיאסוף את הנתונים שיורטו. לאחר מכן, המכשיר חובר למכונת המטרה ובאופן אוטומטי החל לשלוח לשרת סיסמאות של משתמשים. 
 
פעולה התקפית זו התאפשרה מכיוון שמערכת ההפעלה במחשב המותקף זיהתה את מכשיר ה- Raspberry-Pi כמתאם LAN אלחוטי, ונתנה לו באופן אוטומטי עדיפות גבוהה יותר מאשר חיבורי רשת אחרים – וחשוב מכך – היא סיפקה לו גישה להחלפת נתונים ברשת. הרשת בה נערך הניסוי היא סימולציה של חלק מרשת ארגונית אמיתית. בהמשך, החוקרים הצליחו לאסוף נתוני אימות זהות שנשלחו על ידי המחשב המותקף והאפליקציות שלו, בזמן בו הוא מנסה לאמת דומיין ושרתים מרוחקים. בנוסף, החוקרים הצליחו לאסוף נתונים אלה ממחשבים אחרים ברשת שהוקמה.
 
יותר מכך, מאחר ושיטת התקפה זו מאפשרת לנתונים שנאספו להישלח דרך הרשת בזמן אמת, ככל שהמכשיר יהיה מחובר זמן יותר למחשב, כך יאספו יותר נתונים וישלחו לשרת מרוחק. אחרי קצת יותר מחצי שעה של הניסוי, החוקרים הצליחו לאסוף כמעט 30 סיסמאות שהועברו דרך הרשת המותקפת, כך שקל לדמיין כמה נתונים אפשר לאסוף במהלך יום שלם. בתרחיש הגרוע ביותר, מצליחים התוקפים ליירט נתוני אימות של מנהל דומיין, אם הוא נכנס לחשבון שלו בזמן שהמכשיר מחובר לאחד מהמחשבים באותו דומיין. 
 
מישור ההתקפה האפשרי לשיטה זו של יירוט נתונים הוא נרחב: הניסוי שוכפל בהצלחה במחשבים נעולים ושאינם נעולים, המריצים חלונות ו- Mac OS. עם זאת, החוקרים לא הצליחו ליצור את ההתקפה על מכשירים מבוססי לינוקס. 
 
"ישנם שני דברים שמטרידים אותנו מאוד לגבי תוצאות הניסוי: ראשית, העובדה שלא היינו צריכים לפתח את התוכנה -השתמשנו בכלים זמינים מהרשת. שנית, אנו מודאגים מהקלות בה ניתן היה להכין את הוכחת ההתכנות הזו  של מכשיר הפריצה. המשמעות היא שכל אחד, אשר מכיר את האינטרנט ויש לו יכולות תכנות בסיסיות, יכול לשכפל את הניסוי. קל לחזות מה יקרה אם הדבר נעשה מתוך כוונת זדון. לכן החלטנו להפנות תשומת לב ציבורית לבעיה. משתמשים ומנהלים בארגונים צריכים להתכונן לסוג זה של התקפה", אמר סרגיי לוריה, מחבר משותף של המחקר במעבדת קספרסקי.