O inimigo mora em casa

O inimigo mora em casa

 

Normalmente, as investigações sobre incidentes cibernéticos começam pela busca de uma fonte de infecção. Geralmente não é difícil encontrar um e-mail com um malware, um link malicioso ou mesmo um servidor hackeado. Existem processos descritos a respeito de procedimentos a serem tomados após um incidente. E se após varrer toda a infraestrutura não for achado nenhum indicio, e as atividades maliciosas ainda acontecerem?

Recentemente, técnicos investigaram uma situação exatamente assim. Os criminosos conectaram fisicamente seu próprio equipamento à rede corporativa.

Esse tipo de ataque começa com um criminoso que traz um dispositivo para o escritório de uma vítima para conectá-lo à rede corporativa. Com o aparelho, consegue explorar remotamente a infraestrutura de TI da empresa, interceptar senhas, ler informações de pastas públicas, e muito mais.

bash bunny

Dispositivos

Existem dispositivos já desenhados para esse fim, como o Bash Bunny da Hack5 (foto ao lado), mas também é possível desenvolver a partir de equipamentos simples e baratos envolvidos eram:

  • Um laptop ou netbook barato. Criminosos não precisam de um modelo de qualidade; podem comprar um usado, conectar um modem 3G e instalar um programa de controle remoto. Então podem simplesmente esconder o dispositivo para que ninguém o veja e utilizar dois cabos – um conectado à rede e outro à uma fonte de energia.
  • Um Raspberry Pi. Um computador miniatura alimentado por uma conexão USB, o Raspberry Pi é barato e discreto – mais fácil de comprar e de esconder em um escritório do que um laptop. Pode ser ligado em um computador, onde estará camuflado entre os fios ou, por exemplo, em uma porta USB de uma TV na recepção ou sala de espera.
  • Um Bash Bunny. Feito para ser utilizado como uma ferramenta de testes de penetração, o Bash Bunny é vendido livremente em fóruns de hackers. Não precisa de uma conexão de rede dedicada; funciona por qualquer porta USB de um computador. Por um lado, isso faz com que seja fácil de esconder – parece um pendrive. Por outro, tecnologias de controle de dispositivos podem reagir a ele imediatamente, o que diminui as chances de sucesso.

Como são conectados?

Até mesmo em empresas nas quais  as questões de segurança são levadas a sério, implantar esses dispositivos não é impossível. O acesso de entregadores, candidatos de emprego e representantes de clientes e parceiros é geralmente permitido nos escritórios, de forma que os malfeitores podem tentar se passar por qualquer um deles.

Outro risco: tomadas Ethernet são instaladas por toda a parte nas empresas – em corredores, salas de reunião, átrios e assim por diante. Olhe à sua volta em qualquer centro de negócios comum e provavelmente vai encontrar um lugar para esconder um pequeno dispositivo conectado à rede e à uma fonte de energia.

O que você pode fazer?

Esse ataque tem pelo menos um ponto fraco – um criminoso precisa ir ao escritório e anexar fisicamente o dispositivo. Por isso, comece a restringir o acesso à rede em lugares acessíveis aos visitantes.

  • Desconecte as saídas Ethernet de áreas públicas que não são utilizadas. Caso não seja possível, ao menos isole-as em um segmento de rede separado.
  • Posicione as tomadas Ethernet na área de cobertura das câmeras de segurança (isso pode inibir as ações ou, pelo menos, será útil caso precise investigar um incidente).
  • Utilize uma solução de segurança com tecnologias de controle de dispositivos confiáveis.
  • Considere utilizar uma solução especializada para monitorar anomalias e atividades suspeitas na rede.

Esse como todos os outros tipos de invasões técnicas são combatidas com simples procedimento de segurança.

Ricardo Esper