30 секунд и 50 долларов – все, что нужно, чтобы украсть ваши учетные данные

blog_main_login

Представьте, что вы в офисе уже несколько часов, работая без перерыва. Пришло время немного размять ноги и выпить чашечку чая или кофе. Вы отойдете от своего компьютера всего минут на десять, и вы знаете, что вам намного проще заблокировать компьютер вместо того, что полностью выключить компьютер и затем снова ждать загрузки. Ведь ни у кого нет вашего пароля, а значит, ваш компьютер в безопасности, правда?

Многие пользователи полагают, что они могут спокойно отойти от своего компьютера и не беспокоиться ни о чем, если они заблокируют свое устройство. Тем не менее, исследователь Роб Фуллер (Rob Fuller), ведущий специалист по защите информации компании R5 Industries, продемонстрировал, как  злоумышленник с физическим доступом к вашему устройству  может получить ваши учетные данные (имя пользователя и пароль) менее, чем за минуту, если ваш компьютер всего лишь заблокирован.

Credit: Rob Fuller

Автор: Роб Фуллер (Rob Fuller)

Как это работает

Фуллер протестировал метод атаки с использованием USB Armory и Hak5 LAN Turtle, двух полнофункциональных компьютеров с габаритами флэш-накопителя, разработанных для тестирования защиты от несанкционированного доступа. На каждый из них было загружено приложение для хакинга ‘Responder’. При подключении к компьютеру данные устройства копируют данные учетной записи заблокированного компьютера, маскируясь под сетевой USB-адаптер xcthernet.

Он объяснил, что  данный метод взлома работает на всех версиях Windows, и что он не мог поверить, насколько просто получить данные учетной записи рабочей станции. Конечно, данные были зашифрованы, но их с легкостью можно расшифровать в другой раз. Успех такой атаки заключается в скорости получения учетных данных, которые можно будет использовать позже.

В своем отчете Фуллер пишет, что он “тестировал данный метод так много раз, чтобы подтвердить его работоспособность”, поскольку ему было сложно поверить, что это возможно. “Это очень простой способ, и он не должен работать, но он работает”.

Как это выглядит

В своем сообщении для издания Ars Technica Фуллер объясняет:

“На видео вы видите, что USB Armory подключается к заблокированной  системе (вход в которую был осуществлен ранее). Загрузка осуществляется через USB, затем запускается DHCP-сервер и Responder. Когда это происходит, компьютер-жертва распознает устройство, как сетевой адаптер Ethernet. Затем компьютер принимает решение о маршрутизации и начинает направлять трафик в Armory вместо “реального” сетевого подключения. Responder выполняет свою работу и отвечает всем службам, требующим аутентификации, и поскольку большинство операционных систем рассматривают свою локальную сеть как  доверенную, они видят запрос на аутентификацию и осуществляют ее автоматически. Как только Armory видит, что база данных Responder была обновлена, он отключается (световой сигнал перестает мигать)”.

Самое страшное – это то, насколько просто и быстро данная технология может быть модифицирована для более эффективной работы за меньшее время. Фуллер сообщает, что уже были успешные попытки реализации данного метода на RaspberriPi Zero, в результате чего затраты на данный метод атаки составляют всего 5 долларов и 10 минут времени на настройку.

С более подробной технической информацией о работе данного метода вы можете ознакомиться в полном отчете Фуллера.

Credit: Rob Fuller

Автор: Роб Фуллер (Rob Fuller)

Что вы можете сделать

Программы по защите от вредоносного ПО не могут блокировать атаки, подобные этой. Такие атаки осуществляются полнофункциональным компьютером на флэш-накопителе, который использует недоработки Windows для доступа к системе.

Фуллер рекомендует данную публикацию для предотвращения атаки: Знакомство с Windows Device Guard.

Но самая простая защита для вас?

Не оставляйте свой компьютер даже на несколько минут, если вы осуществили вход в систему. Как видно выше, даже если вы заблокируете экран, данные вашей учетной записи можно получить менее, чем за минуту.

Хорошего (безопасного) дня!