Asi nikoho nepřekvapí, že útočník může ovládnout váš počítač, pokud k němu bude mít aspoň na chvíli fyzický přístup. Co si však pod „fyzickým přístupem“ můžeme představit? Ne vždy to totiž musí být odemknutý počítač zapomenutý v kanceláři. 

V tomto článku se podíváme, jak takový útok může vypadat a jaká zařízení útočníci využívají. Jde o relativně rychlé útoky, při kterých nemusí rozebírat hardware, ale vystačí si s dostupnými porty a častokrát zneužijí i nejslabší článek zabezpečení firmy – její zaměstnance. Většinou jim stačí jen připojit jednoduché zařízení.

Je třeba zmínit, že útočník neoprávněným přístupem k počítačovému systému bez svolení vlastníka  porušuje zákon, za což mu v krajním případě hrozí až osm let vězení. Uvedené postupy ale mohou mít své uplatnění i při některých typech penetračních testů, které v Axians provádíme.

Obyčejná fleška

K datům z pevného disku počítače se může útočník jednoduše dostat pomocí USB flash disku s nahraným operačním systémem, pokud není zapnuté šifrování disku. K útoku lze použít některé přímo spustitelné (live) linuxové distribuce jako je Ubuntu nebo Kali, flešku s instalačními soubory Windows, případně DVD disk, pokud zařízení disponuje příslušnou mechanikou. Po spuštění daného operačního systému získá přístup ke všem souborům na lokálním disku. Ze souborů s registry může dokonce vytáhnout otisky (hashe) uživatelských hesel a často zjistit i samotná hesla. Také je schopen měnit soubory na disku nebo do systému napadeného počítače přidat nového lokálního administrátora.

Jiný typ útoku s „obyčejnou fleškou“ nevyžaduje ani přítomnost útočníka u napadeného počítače. Útok spočívá v zanechání USB flash disku na místě, kde jej najde vhodná oběť, například u kopírky. Tento útok spoléhá na zvědavost oběti, která disk připojí k počítači a následně otevře soubor s lákavým názvem jako třeba „odměny vedení“. Tím (podle typu otevřeného souboru) dojde k provedení škodlivé akce. Například odeslání informací na server útočníka nebo navázání spojení pro vzdálené ovládání počítače, případně musí oběť před tím ještě povolit spuštění makra.

Fleška-klávesnice

Vypadá jako obyčejný USB flash disk, ale po zapojení ho počítač identifikuje jako klávesnici. Tato virtuální klávesnice velmi rychle vychrlí naprogramovanou sekvenci znaků. Typicky „stiskne“ klávesovou zkratku WIN+r a pomocí powershellu stáhne a spustí skript nebo program umožňující vzdálené ovládání počítače. Příkladem takové „zlé flešky“ je Rubber Ducky, nebo různá zařízení a vývojářské destičky z čínských e-shopů.

Pro provedení útoku stačí, když odejdete od počítače a nezamknete obrazovku. Útočník jen připojí zařízení do USB portu a za pár sekund může počítač vzdáleně ovládat, nebo stejně jako v předchozím případě nastraží „flešku“ tak, aby ji oběť našla a připojila k počítači. Takto navíc proběhne útok po připojení zcela automaticky.

Obrana je přitom jednoduchá. Pokud se k vašemu počítači může dostat potenciální útočník (včetně škodolibých kolegů), zamykejte  obrazovku kdykoliv se vzdálíte, a nepřipojujte k počítači pochybná zařízení.

Malý počítač do USB

Do USB portu mohou útočníci také připojit malý počítač, který je jen o trochu větší než běžná fleška. Umí se však tvářit jako klávesnice, USB disk, síťová karta, nebo klidně všechno současně. Tímto způsobem lze zefektivnit výše zmíněný útok prostřednictvím virtuální klávesnice, protože není potřeba z internetu stahovat další skripty nebo programy, které mohou být dostupné přímo z připojeného zařízení. Stejně tak není potřeba získané informace odesílat prostřednictvím sítě útočníkovi, ale mohou být rovnou uloženy. Pokud je zařízení připojeno v módu síťové karty, lze pomocí nástroje responder získat otisk hesla přihlášeného uživatele.

Příkladem zmíněného zařízení je Bash Bunny, nebo Raspberry Pi Zero, které podporuje různé OTG módy, kdy dokáže fungovat jako klávesnice, myš nebo jiná zařízení připojená do USB portu.

Hardwarový keylogger

USB keylogger je malé, ale o to zákeřnější zařízení s dvěma USB porty, do kterého se připojí klávesnice. Zařízení potom zaznamenává všechny stisknuté klávesy, včetně různých přihlašovacích údajů. Ty mohou být následně útočníkovi zobrazeny po napsání tajného kódu. K pokročilejším modelům je možno se připojit vzdáleně přes wifi. Keylogger může mít i podobu prodlužovacího USB kabelu nebo může být ukryt v těle klávesnice, kdy je běžnou kontrolou téměř nezjistitelný.

Ochrana před hardwarovými keyloggery je poměrně složitá. Je dobré, aby uživatelé byli všímaví a nahlásili, pokud jim v portu počítače přibude nějaké neznámé zařízení.

Odposlouchávání síťové komunikace

Pokud opustíme USB port a zaměříme pozornost na LAN (RJ45) port, je možné odposlouchávat komunikaci daného počítače. Pro pasivní odposlech nešifrované komunikace stačí například počítač zapojit přes switch disponující funkcí port mirroring. Pokud chce útočník zkusit manipulovat s komunikací a provádět některé útoky typu man-in-the-middle nebo překonat zabezpečení sítě prostřednictvím protokolu 802.1x (starší verze 2001), může do cesty připojit notebook vybavený dvěma síťovými kartami. Použít může i malý počítač vybavený dvěma síťovými porty, který lze nechat na místě ukrytý i delší dobu.

Jak těmto útokům předcházet?

  • Buďte obezřetní a opatrní. Je to sice poněkud otřepané sdělení, ale pravdou je, že za velkou část útoků prostřednictvím připojeného hardware může zvědavost zaměstnanců. Pamatujte, že útočník nikdy nespí a není dobrý nápad nahlížet do flešky nalezené u kopírky.
  • Vždy počítač zamykejte. Dveře od domu také nenecháváte otevřené když z něj odcházíte.
  • Buďte všímaví. Jakékoliv neznámé zařízení nebo kabely, které se záhadně objeví zapojené do vašeho počítače nahlaste někomu z IT oddělení vaší společnosti.

V rámci penetračních testů ověřujících zabezpečení koncových zařízení nebo testů s prvky sociálního inženýrství se používají i tato zařízení. Pokud vás téma zaujalo, přečtete si více o penetračním testování v jednom z našich článků. A nebo rovnou udělejte první krok k lepšímu zabezpečení vaší organizace a kontaktujte nás. Naši specialisté na kybernetickou bezpečnost vám pomohou objevit slabá místa v zabezpečení vaší infrastruktury včas.