Kaspersky: è possibile compromettere una rete con 20 Dollari

Kaspersky, è possibile compromettere una rete con 20 dollari

Kaspersky Lab mette in guardia contro l'esistenza in rete di strumenti di hacking che consentono di "bucare" una rete aziendale con soli 20 dollari di investimento.

I ricercatori di Kaspersky Lab hanno esaminato i tool hardware e software disponibili online per intercettare password segrete. L'analisi ha rivelato che è possibile creare un potente strumento di hacking con poche ore di lavoro: questo, da chiunque abbia conoscenze di programmazione anche di base, e al costo di soli 20 dollari.

L'esperimento ha utilizzato un dispositivo USB "fatto in casa" basato su Raspberry Pi, e privo di software dannosi. Con questo dispositivo, i ricercatori Kaspersky sono stati in grado di sottrarre i dati di autenticazione degli utenti di una rete aziendale al ritmo di 50 password all'ora.

In maggiori dettagli, i ricercatori hanno utilizzato un microcomputer Raspberry-Pi configurato come un adattatore Ethernet, al quale sono state apportate alcune modifiche di configurazione del sistema operativo in esecuzione. Dopodiché, hanno installato alcuni tool facilmente reperibili per il packet sniffing, la raccolta e l'elaborazione dei dati. Infine, hanno creato un server per raccogliere i dati intercettati.

Il sistema operativo attaccato ha identificato il dispositivo Raspberry-Pi come una scheda LAN cablata ed ha consentito l'accesso allo scambio di dati nel network: la rete sperimentale simulava il segmento di una rete aziendale. I ricercatori hanno quindi raccolto i dati di autenticazione "sotto attacco", sono riusciti ad autenticare i server di dominio e remoti, e hanno raccolto dati chiave anche da altri computer presenti nel network.

L'esperimento ha interessato computer locked e unlocked con sistemi operativi Windows e Mac (ma non Linux). Sebbene l’attacco consenta l'intercettazione dei soli hash delle password, questi ultimi potrebbero essere utilizzati per identificare le password in chiaro in quanto gli algoritmi delle funzioni per l’hashing sono noti, oppure potrebbero essere utilizzati in attacchi pass-the-hash. Il dispositivo sperimentale può essere utilizzato anche per raccogliere i cookie dai browser.

Cosa fare per proteggersi

Utenti comuni:

  • Controllare che non ci siano dispositivi USB extra inseriti nel PC
  • Non accettare flash drive da fonti inattendibili: potrebbero essere intercettatori di password
  • Terminare le sessioni su siti che richiedono l'autenticazione: spesso è sufficiente cliccare su "log out"
  • Cambiare regolarmente le password. Ricordarsi che non tutti i siti web utilizzano meccanismi di protezione contro la sostituzione dei dati dei cookie
  • Utilizzare specifici software di password management per gestire facilmente password forti e sicure; un esempio è il software gratuito Kaspersky Password Manager
  • Abilitare l'autenticazione a due fattori richiedendo, ad esempio, la conferma dell'accesso o l'utilizzo di un token
  • Installare e aggiornare una soluzione di sicurezza di un vendoraffidabile

Amministratori di sistema:

  • Se la topologia del network lo consente, utilizzare esclusivamente il protocollo Kerberos per l'autenticazione dei domain user
  • Limitare ai soli utenti di dominio con privilegi l’accesso ai sistemi legacy
  • Le password dei domain user devono essere modificate regolarmente
  • I computer che fanno parte di una rete aziendale dovrebbero essere protetti da una soluzione di sicurezza aggiornata
  • Per impedire la connessione di dispositivi USB non autorizzati, utilizzare una funzionalità di Device Control, come quella disponibile nella suite Kaspersky Endpoint Security per Business
  • Se si è proprietari della risorsa web, attivare l'HSTS (sicurezza rigida per il trasporto di HTTP), che impedisce la commutazione da HTTPS a protocollo HTTP e la manipolazione delle credenziali di un cookie rubato
  • Se possibile, disattivare la modalità di listening e attivare l'impostazione di isolamento Client (AP) nei router Wi-Fi e negli switch, disattivando l’ascolto del traffico di altre workstation
  • Attivare l'impostazione DHCP Snooping per proteggere gli utenti della rete aziendale dalla possibilità di bloccare le richieste DHCP da falsi server DHCP

Kaspersky: è possibile compromettere una rete con 20 Dollari

Morten Lehn, General Manager Italy, Kaspersky Lab
Dopo aver eseguito questo esperimento ci sono due cose importanti che ci preoccupano maggiormente: in primo luogo il fatto che non sia stato necessario sviluppare un software ma è bastato utilizzare strumenti facilmente reperibili in Internet. In secondo luogo ci preoccupa la facilità con cui siamo stati in grado di preparare il proof of concept del nostro dispositivo di hacking. Ciò significa che potenzialmente chiunque abbia familiarità con Internet e abbia una capacità di programmazione di base, può riprodurre questo esperimento. È facile prevedere che cosa potrebbe succedere se questo venisse fatto con intenzioni dannose. Quest'ultimo è il motivo principale per cui abbiamo deciso di richiamare l'attenzione pubblica su questo problema. Gli utenti e gli amministratori aziendali dovrebbero essere preparati a questo tipo di attacchi.