Οι ερευνητές της Kaspersky Lab εξέτασαν τα δημοσίως διαθέσιμα εργαλεία hardware και λογισμικού για κρυφή υποκλοπή κωδικών πρόσβασης και ανακάλυψαν ότι ένα ισχυρό εργαλείο hacking μπορεί να δημιουργηθεί με μόλις 20 δολάρια και λίγες ώρες δουλειάς από κάποιον που διαθέτει βασικές γνώσεις προγραμματισμού. Σε ένα πείραμα που πραγματοποίησαν χρησιμοποίησαν μία USB συσκευή που βασίζεται σε ένα αυτοσχέδιο Raspberry Pi, ρυθμισμένο με συγκεκριμένο τρόπο και μάλιστα χωρίς να έχει εγκατεστημένο κάποιο κακόβουλο λογισμικό. Οπλισμένοι με αυτήν τη συσκευή, ήταν σε θέση να συλλέγουν κρυφά δεδομένα που σχετίζονται με την ταυτοποίηση των χρηστών από ένα εταιρικό δίκτυο, με ρυθμό 50 παραβιάσεων κωδικών πρόσβασης την ώρα.
Οι έρευνες ξεκίνησαν με μία αληθινή ιστορία: Σε άλλη έρευνα που συμμετείχαν οι ειδικοί της Kaspersky Lab, κάποιος από το εσωτερικό της επιχείρησης (υπάλληλος μιας εταιρείας καθαρισμού) χρησιμοποίησε ένα USB-stick για να «μολύνει» έναν στοχοποιημένο οργανισμό με κακόβουλο λογισμικό. Από τη στιγμή που άκουσαν την ιστορία οι ειδικοί ασφάλειας της Kaspersky Lab, ήταν περίεργοι τι άλλο θα μπορούσε να χρησιμοποιηθεί από το εσωτερικό μιας εταιρείας και να εκθέσει ένα στοχοποιημένο δίκτυο. Επίσης, θα ήταν δυνατό να εκθέσουν σε κίνδυνο ένα δίκτυο χωρίς κανένα κακόβουλο λογισμικό;
Πήραν έναν μικροϋπολογιστή Raspberry-Pi, τον ρύθμισαν σαν μετασχηματιστή Ethernet, έκαναν μερικές πρόσθετες αλλαγές στις ρυθμίσεις του λειτουργικού συστήματος που έτρεχε ο μικροϋπολογιστής και εγκατέστησαν κάποια δημοσίως διαθέσιμα εργαλεία για ανακάλυψη πακέτων και συλλογή και επεξεργασία δεδομένων. Τελικά, οι ερευνητές εγκατέστησαν και έναν server ώστε να συλλέγουν τα υποκλεμμένα δεδομένα. Έπειτα, η συσκευή συνδέθηκε στο στοχοποιημένο μηχάνημα και ξεκίνησε αυτόματα να γεμίζει τον server με κλεμμένα στοιχεία σύνδεσης.
Ο λόγος για τον οποίο συνέβη αυτό ήταν ότι το λειτουργικό σύστημα στον επιτιθέμενο υπολογιστή αναγνώρισε τη συνδεδεμένη συσκευή Raspberry-Pi ως προσαρμογέα ασύρματου LAN και αυτόματα του εκχώρησε υψηλότερη προτεραιότητα σε σχέση με τις υπόλοιπες διαθέσιμες συνδέσεις. Το σημαντικότερο όμως είναι ότι έδωσε στον μικροϋπολογιστή πρόσβαση στη διαδικασία ανταλλαγής δεδομένων στο δίκτυο. Το πειραματικό δίκτυο ήταν μία προσομοίωση ενός πραγματικού τμήματος του εταιρικού δικτύου. Σαν αποτέλεσμα, οι ερευνητές ήταν σε θέση να συλλέξουν δεδομένα ελέγχου ταυτότητας που στέλνονταν από τον υπολογιστή που δεχόταν επίθεση και τις εφαρμογές του, καθώς προσπάθησαν να πιστοποιήσουν το domain και τους απομακρυσμένους server. Επιπρόσθετα, οι ερευνητές είχαν τη δυνατότητα να συλλέξουν τα ίδια δεδομένα και από τους υπόλοιπους υπολογιστές που ήταν συνδεδεμένοι στο ίδιο τμήμα δικτύου.
Ακόμα, καθώς οι προδιαγραφές της επίθεσης επέτρεπαν την αποστολή των υποκλεμμένων δεδομένων μέσω του δικτύου σε πραγματικό χρόνο, όσο περισσότερο η συσκευή παρέμενε συνδεδεμένη στον υπολογιστή τόσα περισσότερα δεδομένα ήταν σε θέση να συλλεχθούν και να μεταφερθούν σε έναν εξωτερικό server. Μετά από μόλις μισή ώρα πειραματισμών, οι ερευνητές μπορούσαν να συλλέξουν περίπου 30 διαφορετικούς κωδικούς πρόσβασης, που μεταφέρονταν μέσω τον επιτιθέμενων δικτύων, οπότε είναι εύκολο να φανταστείτε πόσα πολλά δεδομένα μπορούν να συλλεχθούν μέσα σε μόνο μία ημέρα. Στο χειρότερο σενάριο, τα δεδομένα ελέγχου ταυτότητας του διαχειριστή μπορούν επίσης να κλαπούν κατά την προσπάθεια σύνδεσης στους λογαριασμούς τους και εφόσον η συσκευή είναι συνδεδεμένη σε έναν από τους υπολογιστές του συστήματος – δικτύου.
Η πιθανή επιφάνεια επίθεσης για αυτή τη μέθοδο υποκλοπής δεδομένων είναι μεγάλη: το πείραμα αναπαράχθηκε επιτυχώς τόσο σε κλειδωμένους όσο και σε ξεκλείδωτους υπολογιστές Windows και Mac OS. Ωστόσο, οι ερευνητές δεν μπόρεσαν να αναπαράγουν την επίθεση σε συσκευές που βασίζονται σε Linux.
«Υπάρχουν δύο βασικά πράγματα που μας ανησυχούν ως αποτέλεσμα αυτού του πειράματος: πρώτον - το γεγονός ότι δε χρειάστηκε στην πραγματικότητα να αναπτύξουμε το λογισμικό - χρησιμοποιήσαμε εργαλεία ελεύθερα διαθέσιμα στο Διαδίκτυο. Δεύτερον - ανησυχούμε για το πόσο εύκολο ήταν να προετοιμάσουμε την επικύρωση της ιδέας για τη hacking συσκευή μας. Αυτό σημαίνει ότι ενδεχομένως οποιοσδήποτε, που είναι εξοικειωμένος με το Διαδίκτυο και έχει βασικές δεξιότητες προγραμματισμού, θα μπορούσε να αναπαράγει αυτό το πείραμα. Και είναι εύκολο να προβλέψουμε τι θα μπορούσε να συμβεί εάν αυτό γινόταν με κακόβουλη πρόθεση. Ο τελευταίος είναι ο κύριος λόγος για τον οποίο αποφασίσαμε να επιστήσουμε την προσοχή του κοινού σε αυτό το πρόβλημα. Οι χρήστες και οι εταιρικοί διαχειριστές θα πρέπει να είναι προετοιμασμένοι για τέτοιου είδους επίθεση», δήλωσε ο Sergey Lurye, security enthusiast και συν-συγγραφέας της έρευνας της Kaspersky Lab.
Παρόλο που η επίθεση επιτρέπει την υποκλοπή των τιμών κατατεμαχισμού (hashes) των κωδικών (δηλ. μία κρυπτογραφική αλφαβητική ερμηνεία ενός κειμένου κωδικού πρόσβασης μετά την επεξεργασία του από έναν συγκεκριμένο αλγόριθμο κατατεμαχισμού), τα hashes μπορούν να αποκρυπτογραφηθούν σε κωδικούς πρόσβασης, δεδομένου ότι οι αλγόριθμοι είναι γνωστοί ή χρησιμοποιούνται σε pass-the-hash επιθέσεις.