В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Компании настолько сосредоточены на новых угрозах, что защита от более старых хакерских инструментов и стратегий взлома зачастую отходит для них на второй план. А зря, ибо это может создать опасный прецедент, особенно если учесть, что современные киберпреступники используют наряду с абсолютно новыми старые, но все еще действенные инструменты. Компаниям стоило бы прибегнуть к такой же тактике для защиты своего бизнеса и активов. Если они забыли о цифровых прослушках, то киберпреступники о них помнят: факты свидетельствуют, что цифровые прослушки все еще популярны и активно используются даже сейчас.
В прошлом прослушивание в основном касалось протоколов SIP и VoIP, что вызывало у компаний серьезные опасения. И неудивительно, учитывая количество конфиденциальной информации, которую можно получить, подключившись к конференц-коллу или деловому звонку.
По данным отчета Ribbon, хотя этот вектор атаки и нельзя назвать новым (перехват звонков с использованием протокола SIP киберпреступники применяли с начала XXI века), в последние годы хакеры снова начали прибегать к нему1 для похищения данных. Учитывая, что в компаниях этот протокол часто недостаточно защищен, киберпреступники вполне могут использовать его уязвимости для своих атак.
"Не нужно быть гением, чтобы взломать протокол SIP. Особенно учитывая то, насколько слабо он защищен в большинстве компаний", – отметила Роза Лир (Rosa Lear), одна из исследователей Ribbon.
По данным IBM Managed Services, по состоянию на 2016 г. среди всех протоколов IP-телефонии SIP использовался для атак чаще всего – в 51% случаев2.
Атаки с использованием протокола SIP продолжаются не в последнюю очередь из-за слишком простых паролей и недостаточных мер безопасности, но для кражи данных подходят и другие протоколы.
Как отметил исследователь киберугроз в Trend Micro Йиндржих Карасек (Jindrich Karasek), сети Wi-Fi также не защищены от использования прослушек3. Все больше гаджетов в мире постоянно подключены к cети, что дает хакерам отличную возможность получить доступ к уязвимым конечным устройствам.
"Каждое подключенное к сети Интернет устройство может дать хакерам новый вектор атаки. Например, подключенная к сети Wi-Fi видеокамера без шифрования трафика может стать для киберпреступника источником видеоданных о помещении, которое должна была защитить, – пишет господин Карасек. – Беспроводные сети стоит изначально воспринимать как небезопасные и незащищенные от несанкционированного доступа лиц, которые могут перехватить передаваемые в такой сети данные. Несмотря на то что для защиты этих сетей были разработаны различные протоколы безопасности, с годами в них самих обнаруживается все больше уязвимостей".
Найденные хакерами уязвимости протокола SIP позволили им получить доступ к данным из систем IP-телефонии. В протоколах Wi-Fi, включая WEP (протокол шифрования Wired Equivalent Privacy), тоже есть свои уязвимости. В 2001 г. Скотт Флюрер (Scott Fluhrer), Ицик Мантин (Itsik Mantin) и Ади Шамир (Adi Shamir) продемонстрировали4, как хакеры могут использовать протокол WEP, чтобы пассивно собирать данные из сетевого трафика. Впоследствии этот метод был назван FMS-атакой (по первым буквам их фамилий).
Усугубляет ситуацию то, что для современных хакеров подобные атаки никакой проблемы не представляют. Для их осуществления нужно самое простое оборудование – гаджет с доступом к беспроводной сети и общедоступные утилиты с открытым исходным кодом плюс достаточное количество сетевого трафика для обработки.
Как поясняли Флюрер, Мантин и Шамир, в процессе пассивного просмотра зашифрованного при помощи WEP трафика хакеры могут видеть первые несколько байтов большей части пакетов. Продолжая просматривать пакеты в течение определенного времени, они получают достаточно данных, чтобы расшифровать пароль пользователя и в дальнейшем использовать его в своих атаках.
"Чем короче пароль, тем меньше времени займет процесс расшифровки, – отмечает Йиндржих Карасек. – К примеру, чтобы расшифровать пароль hackm, хакерам понадобится всего четыре минуты”.
Как определить, что организация находится под угрозой атак подобного типа? Есть ряд ситуаций, в которых условия для хакеров складываются идеально и им ничего не стоит перехватить данные.
1. Конечные устройства защищены слабыми паролями. Как уже было отмечено выше, слабый пароль не защищает практически ни от чего, а доступные хакерам инструменты и стратегии (от механического подбора до атак с применением социальной инженерии) позволят им быстро и без особых проблем узнать слабый или очевидный пароль.
2. На оборудовании используются заводские настройки и установленные по умолчанию пароли. Это прямой путь к взлому, причем речь идет как о пользовательских устройствах, так и о роутерах. Как пишет один из авторов IT Toolbox Уилл Келли (Will Kelly), заводские настройки VoIP-телефонов и других конечных устройств с доступом к сети предприятия всегда нужно менять5 перед их подключением.
3. Имеются удаленные офисы. Подразделения организаций на местах, например отделения банков и страховых компаний, часто могут стать целью подобных атак, так как сотрудники ИТ-отделов посещают их реже, чем главный офис. Уровень сетевой безопасности в отделениях обычно ниже, а защиту и отслеживание состояния их сети и устройств осуществлять сложнее.
4. Использование публичных и незащищенных сетей для связи. VoIP-звонки по Wi-Fi в общественных местах (кафе, аэропортах, супермаркетах и др.) также дают хакерам возможность перехватить данные и с их помощью совершать свои атаки.
"Хакер может просто притвориться, что ждет кого-то в фойе, наслаждается чашечкой кофе или коротает время за просмотром сайтов на телефоне, стоя неподалеку от вас, – говорит Йиндржих Карасек. – Проверка записей с камер безопасности в данном случае ничем не поможет, ведь никаких странных действий он не предпринимает. К тому же в процессе взлома устройство может быть просто спрятано в сумке или скрыто иным способом".
Хотя такой человек может выглядеть абсолютно обыденно, в этот момент он занимается прослушиванием сетевой активности, расшифровкой слабого пароля или мониторингом трафика.
Учитывая, что для прослушивания сетей и перехвата данных хакеры могут использовать как устаревший протокол SIP, так и трафик в современных сетях Wi-Fi (и с применением других сетевых протоколов), крайне важно обеспечить безопасность всех конечных устройств и точек входа в сетевую инфраструктуру.
Для этого необходимо отказаться от слабых паролей и заводских настроек устройств и при необходимости использовать виртуальные частные сети (VPN) и файрволы. Комплексные решения, которые способны проводить глубокую инспекцию пакетов и предотвращать вторжения в сеть, также могут уберечь сетевую инфраструктуру от несанкционированного проникновения.