Контакты
Подписка
МЕНЮ
Контакты
Подписка

Прослушки и перехват данных со стороны хакеров: чего опасаться современным компаниям?

Прослушки и перехват данных со стороны хакеров: чего опасаться современным компаниям?

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Прослушки и перехват данных со стороны хакеров:чего опасаться современным компаниям?

Когда кто-то говорит о подслушивании, в голову сразу приходит образ подозрительной личности, которая слушает чужую беседу, притаившись за углом. Но с распространением протокола VoIP и IP-телефонии компании столкнулись со вполне реальными цифровыми прослушками, которые использовались хакерами для перехвата деловых звонков. Насколько все серьезно и что с этим делать?
Михаил Кондрашин
Технический директор компании Trend Micro в России и СНГ

Компании настолько сосредоточены на новых угрозах, что защита от более старых хакерских инструментов и стратегий взлома зачастую отходит для них на второй план. А зря, ибо это может создать опасный прецедент, особенно если учесть, что современные киберпреступники используют наряду с абсолютно новыми старые, но все еще действенные инструменты. Компаниям стоило бы прибегнуть к такой же тактике для защиты своего бизнеса и активов. Если они забыли о цифровых прослушках, то киберпреступники о них помнят: факты свидетельствуют, что цифровые прослушки все еще популярны и активно используются даже сейчас.

VoIP под угрозой

В прошлом прослушивание в основном касалось протоколов SIP и VoIP, что вызывало у компаний серьезные опасения. И неудивительно, учитывая количество конфиденциальной информации, которую можно получить, подключившись к конференц-коллу или деловому звонку.

По данным отчета Ribbon, хотя этот вектор атаки и нельзя назвать новым (перехват звонков с использованием протокола SIP киберпреступники применяли с начала XXI века), в последние годы хакеры снова начали прибегать к нему1 для похищения данных. Учитывая, что в компаниях этот протокол часто недостаточно защищен, киберпреступники вполне могут использовать его уязвимости для своих атак.

"Не нужно быть гением, чтобы взломать протокол SIP. Особенно учитывая то, насколько слабо он защищен в большинстве компаний", – отметила Роза Лир (Rosa Lear), одна из исследователей Ribbon.

По данным IBM Managed Services, по состоянию на 2016 г. среди всех протоколов IP-телефонии SIP использовался для атак чаще всего – в 51% случаев2.

"Каждое подключенное к сети Интернет устройство может дать хакерам новый вектор атаки. Например, подключенная к сети Wi-Fi видеокамера без шифрования трафика может стать для киберпреступника источником видеоданных о помещении, которое должна была защитить"

И не только VoIP: перехват данных при помощи Wi-Fi

Атаки с использованием протокола SIP продолжаются не в последнюю очередь из-за слишком простых паролей и недостаточных мер безопасности, но для кражи данных подходят и другие протоколы.

Как отметил исследователь киберугроз в Trend Micro Йиндржих Карасек (Jindrich Karasek), сети Wi-Fi также не защищены от использования прослушек3. Все больше гаджетов в мире постоянно подключены к cети, что дает хакерам отличную возможность получить доступ к уязвимым конечным устройствам.

"Каждое подключенное к сети Интернет устройство может дать хакерам новый вектор атаки. Например, подключенная к сети Wi-Fi видеокамера без шифрования трафика может стать для киберпреступника источником видеоданных о помещении, которое должна была защитить, – пишет господин Карасек. – Беспроводные сети стоит изначально воспринимать как небезопасные и незащищенные от несанкционированного доступа лиц, которые могут перехватить передаваемые в такой сети данные. Несмотря на то что для защиты этих сетей были разработаны различные протоколы безопасности, с годами в них самих обнаруживается все больше уязвимостей".


Найденные хакерами уязвимости протокола SIP позволили им получить доступ к данным из систем IP-телефонии. В протоколах Wi-Fi, включая WEP (протокол шифрования Wired Equivalent Privacy), тоже есть свои уязвимости. В 2001 г. Скотт Флюрер (Scott Fluhrer), Ицик Мантин (Itsik Mantin) и Ади Шамир (Adi Shamir) продемонстрировали4, как хакеры могут использовать протокол WEP, чтобы пассивно собирать данные из сетевого трафика. Впоследствии этот метод был назван FMS-атакой (по первым буквам их фамилий).

Во взломе Wi-Fi нет ничего сложного

Усугубляет ситуацию то, что для современных хакеров подобные атаки никакой проблемы не представляют. Для их осуществления нужно самое простое оборудование – гаджет с доступом к беспроводной сети и общедоступные утилиты с открытым исходным кодом плюс достаточное количество сетевого трафика для обработки.

Хакер может просто притвориться, что ждет кого-то в фойе, наслаждается чашечкой кофе или коротает время за просмотром сайтов на телефоне, стоя неподалеку от вас.

Как поясняли Флюрер, Мантин и Шамир, в процессе пассивного просмотра зашифрованного при помощи WEP трафика хакеры могут видеть первые несколько байтов большей части пакетов. Продолжая просматривать пакеты в течение определенного времени, они получают достаточно данных, чтобы расшифровать пароль пользователя и в дальнейшем использовать его в своих атаках.

"Чем короче пароль, тем меньше времени займет процесс расшифровки, – отмечает Йиндржих Карасек. – К примеру, чтобы расшифровать пароль hackm, хакерам понадобится всего четыре минуты”.

Как чаще всего происходит прослушивание и перехват данных

Как определить, что организация находится под угрозой атак подобного типа? Есть ряд ситуаций, в которых условия для хакеров складываются идеально и им ничего не стоит перехватить данные.

1. Конечные устройства защищены слабыми паролями. Как уже было отмечено выше, слабый пароль не защищает практически ни от чего, а доступные хакерам инструменты и стратегии (от механического подбора до атак с применением социальной инженерии) позволят им быстро и без особых проблем узнать слабый или очевидный пароль.

Найденные хакерами уязвимости протокола SIP позволили им получить доступ к данным из систем IP-телефонии. В протоколах Wi-Fi, включая WEP (протокол шифрования Wired Equivalent Privacy), тоже есть свои уязвимости. В 2001 г. Скотт Флюрер (Scott Fluhrer), Ицик Мантин (Itsik Mantin) и Ади Шамир (Adi Shamir) продемонстрировали, как хакеры могут использовать протокол WEP, чтобы пассивно собирать данные из сетевого трафика. Впоследствии этот метод был назван FMS-атакой (по первым буквам их фамилий).

2. На оборудовании используются заводские настройки и установленные по умолчанию пароли. Это прямой путь к взлому, причем речь идет как о пользовательских устройствах, так и о роутерах. Как пишет один из авторов IT Toolbox Уилл Келли (Will Kelly), заводские настройки VoIP-телефонов и других конечных устройств с доступом к сети предприятия всегда нужно менять5 перед их подключением.

3. Имеются удаленные офисы. Подразделения организаций на местах, например отделения банков и страховых компаний, часто могут стать целью подобных атак, так как сотрудники ИТ-отделов посещают их реже, чем главный офис. Уровень сетевой безопасности в отделениях обычно ниже, а защиту и отслеживание состояния их сети и устройств осуществлять сложнее.

4. Использование публичных и незащищенных сетей для связи. VoIP-звонки по Wi-Fi в общественных местах (кафе, аэропортах, супермаркетах и др.) также дают хакерам возможность перехватить данные и с их помощью совершать свои атаки.

"Хакер может просто притвориться, что ждет кого-то в фойе, наслаждается чашечкой кофе или коротает время за просмотром сайтов на телефоне, стоя неподалеку от вас, – говорит Йиндржих Карасек. – Проверка записей с камер безопасности в данном случае ничем не поможет, ведь никаких странных действий он не предпринимает. К тому же в процессе взлома устройство может быть просто спрятано в сумке или скрыто иным способом".

Хотя такой человек может выглядеть абсолютно обыденно, в этот момент он занимается прослушиванием сетевой активности, расшифровкой слабого пароля или мониторингом трафика.

Как защититься от перехвата данных

Учитывая, что для прослушивания сетей и перехвата данных хакеры могут использовать как устаревший протокол SIP, так и трафик в современных сетях Wi-Fi (и с применением других сетевых протоколов), крайне важно обеспечить безопасность всех конечных устройств и точек входа в сетевую инфраструктуру.

Для этого необходимо отказаться от слабых паролей и заводских настроек устройств и при необходимости использовать виртуальные частные сети (VPN) и файрволы. Комплексные решения, которые способны проводить глубокую инспекцию пакетов и предотвращать вторжения в сеть, также могут уберечь сетевую инфраструктуру от несанкционированного проникновения.

___________________________________________
1 https://ribboncommunications.com/company/media-center/blog/sip-protocol-attacks-still-rise-what-can-we-do-about-it
2 https://securityintelligence.com/hello-youve-been-compromised-upward-attack-trend-targeting-voip-protocol-sip/
3 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/security-101-protecting-wi-fi-networks- against-hacking-and-eavesdropping?_ga=2.8016562.1679143862.1565081648-100155462.1561367262 A
4 https://www.researchgate.net/publication/220332983_Practical_ attacks_against_WEP_and_WP
5 https://it.toolbox.com/blogs/voipdesk/5-ways-to-combat-voip- eavesdropping-032117

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019
Посещений: 725

Приобрести этот номер или подписаться
  Автор

Михаил Кондрашин

Михаил Кондрашин

Руководитель центра компетенций Trend Micro в России и СНГ

Всего статей:  5

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций