Włamali się do firmy przez drukarkę

05-07-2019, 19:55

Każde urządzenie znajdujące się w firmie niezależnie od tego, czy jest to zamek na kartę magnetyczną, inteligentny włącznik światła czy bezprzewodowa drukarka, może stać się furtką dla cyberprzestępcy. Testy pokazały, że aż 5 na 10 popularnych sprzętów IoT ma dziury w systemach bezpieczeństwa.

Zgodnie z szacunkami IDC, w 2019 roku światowe wydatki na Internet Rzeczy mają wynieść 745 mld dolarów, czyli o 15,4% więcej niż w roku ubiegłym. Jednocześnie na zabezpieczanie inteligentnych urządzeń nadal przeznaczany jest zaledwie ułamek tej kwoty (1,5 mld dolarów w 2018 roku). Trudno się więc dziwić, że blisko 20% organizacji w ciągu ostatnich trzech lat zaobserwowało przynajmniej jeden atak oparty na IoT (raport Gartner: „Forecast: IoT Security, Worldwide, 2018”), a Internet Rzeczy niezmiennie uznawany jest za jeden z najbardziej zagrożonych sektorów technologii. 

Szymon Chruścicki, ekspert z firmy TestArmy CyberForces, która przebadała popularne urządzenia IoT pod kątem ich podatności na cyberwłamanie, twierdzi, że dobry firewall czy monitoring infrastruktury sieciowej to obecnie zbyt mało, aby mówić o efektywnej ochronie przed cyberzagrożeniami. Jeżeli firma chce korzystać z inteligentnych urządzeń, a przy tym eliminować ryzyko skutecznie przeprowadzanych cyberataków, konieczna jest dokładna analiza wszystkich wykorzystywanych przez nią systemów, zarówno tych fizycznych, jak i wirtualnych. 

Drukarka z jedną ważną wadą

Aby udowodnić ryzyko związane z korzystaniem z nieodpowiednio zabezpieczonych urządzeń podłączanych do sieci, eksperci z TestArmy CyberForces przeprowadzili dwa testy penetracyjne. W pierwszym zbadali poziom zabezpieczeń popularnych sprzętów IoT dostępnych w sklepach. W drugim podjęli próbę włamania się do systemu znanej korporacji obracającej setkami tysięcy danych osobowych pochodzących ze zgód marketingowych. Wyniki obu testów dały do myślenia:

  • Połowa przebadanych urządzeń IoT posiada luki w systemach bezpieczeństwa

Pod lupą ekspertów od cyberbezpieczeństwa znalazły się popularne urządzenia wykorzystywane w smart firmach i smart domach - m.in. inteligentne przełączniki i włączniki światła, inteligentne żarówki, programowalne termostaty, słuchawki czy lampki na USB. Okazało się, że aż 5 na 10 z przetestowanych urządzeń IoT posiadało dziury w oprogramowaniu. Złamanie systemu i dostanie się do sieci bezprzewodowej, do której były podłączone, zajmowało ekspertom nie więcej niż kilkadziesiąt minut (ok. 30 minut w przypadku najtańszych urządzeń).

  • Drukarka otwiera dostęp do wrażliwych danych i... gabinetu prezesa

Każda firma wyposażona w urządzenia podłączane do sieci narażona jest na atak cyberprzestępcy, szczególnie gdy korzysta z niezweryfikowanych pod kątem bezpieczeństwa sprzętów. Do takiej sytuacji doszło w korporacji, zajmującej się przetwarzaniem wrażliwych danych osobowych pochodzących ze zgód marketingowych.

Podczas zaplanowanych testów infrastruktury bezpieczeństwa eksperci odkryli, że firmowy system posiada lukę pozwalającą na uzyskanie zdalnego połączenia z bezprzewodową, zintegrowaną z laptopami pracowników drukarką. Odkryli też możliwość podłączenia się do firmowych kamer bezpieczeństwa, sterowania nimi, a nawet odbierania obrazu “na żywo”. Po podejrzeniu wprowadzanych przez pracowników 6-cio cyfrowych kodów do zamków magnetycznych, przeprowadzili więc udany atak socjotechniczny. Po godzinach pracy, posługując się uzyskanymi kodami, weszli do biura, zostawiając tajemniczą kartkę i wizytówkę.

Prezes zaatakowanej spółki twierdzi, że wychodzi z firmy jako ostatni, więc był mocno zdziwiony, gdy rano zobaczył na biurku kartkę z informacją, że “test socjotechniczny firmy został ukończony” oraz wizytówkę do eksperta od cyberbezpieczeństwa. Po nawiązaniu kontaktu okazało się, że cała sytuacja była prowokacją, a jej celem ukazanie katastrofalnych konsekwencji, do których mogłoby dojść, gdyby luka w systemach bezpieczeństwa nie została wykryta i załatana. 

Niewierne karty magnetyczne

Jakie jeszcze urządzenia IoT mogą zawieść? Zobaczmy najprostsze i najtańsze czytniki kart magnetycznych, które mają chronić pomieszczenia przed dostępem osób nieupoważnionych. Choć wydają się bezpieczne, tak naprawdę są bardzo łatwe do złamania. Karty magnetyczne posiadają swoje ID, najczęściej nadrukowywane na ich wierzchniej części. Wystarczy więc aparat fotograficzny z dobrym zoomem lub bezpośredni kontakt z posiadaczem, aby poznać numer i zakodować go na własnej karcie, zyskując dostęp do chronionej przestrzeni.

Oczywiście, bardziej zaawansowane karty posiadają wewnętrzny mikroprocesor, a sklonowanie sygnału otwierającego zamek wymaga umiejętności technicznych. Niemniej koszt całego przedsięwzięcia to ok. 30 zł. Wystarczy bowiem zakupić moduł WiFi oparty na chipie ESP8266 (ok. 12 zł), odpowiednio go zaprogramować i podpiąć pod niego moduł czytnika kart RFID (ok. 15 zł). Poza tym urządzenie musi znajdować się blisko czytnika, co nie jest trudne, bo jest tylko trochę większe od pendrive i można je dodatkowo spłaszczyć. 

Sebastian Gilon, twórca takich urządzeń, ekspert ds. cybersecurity w TestArmy CyberForces, tłumaczy, że zasięg przesyłania sklonowanego sygnału w przestrzeni biurowej wynosi ok. 20 m, więc wystarczy przejść się po klatce schodowej, aby urządzenie bezprzewodowo odczytało numery kart należących do osób przebywających w biurze. 

Nieodpowiednio zabezpieczonych urządzeń IoT na rynku jest mnóstwo. Nie ucichła jeszcze afera po tym, jak ujawniono, że australijskie smartwatche TicTocTrac oraz inteligentne zegarki Enox z Islandii posiadają luki w oprogramowaniu, które pozwalają cyberprzestępcom na śledzenie używających ich dzieci. Nie zapominając o dużej aferze ostatnich lat, kiedy lalka My Friend Cayla od Genesis Toys została wycofana z rynku niemieckiego po tym, jak okazało się, że zabawka bez wiedzy innych nagrywała i transmitowała rozmowy.

Źródło: TestArmy CyberForces


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930