Κάθε εβδομάδα, μεγάλα δίκτυα πέφτουν θύματα κυβερνοεπιθέσεων και στην Praetorian Security, η δουλειά του Adam Crosser είναι να βρίσκει νέους και διαφορετικούς τρόπους για να εισβάλει σε πολύτιμους στόχους. Στόχος του είναι να βοηθήσει τους υπερασπιστές των δικτύων να αποτρέψουν νέες επιθέσεις, και η παρουσίασή του στο συνέδριο ασφάλειας Black Hat στο Λας Βέγκας αποκάλυψε έναν νέο τρόπο με τον οποίο οι απατεώνες μπορούν να παρακάμψουν την ασφάλεια του δικτύου, εκμεταλλευόμενοι δύο μεγάλες πλατφόρμες βιντεοδιασκέψεων. Spoiler alert: μία από αυτές τις πλατφόρμες έβγαλε patch για το λογισμικό της, προκειμένου να αποτρέψει αυτή την επίθεση, λίγο πριν την έναρξη του Black Hat. Η άλλη όμως δεν το έκανε. Πώς παραβιάζουν τα δίκτυα οι χάκερς; Στις ταινίες, η παραβίαση δικτύων είναι γρήγορη. Ένας χάκερ με κουκούλα χτυπάει το πληκτρολόγιο για λίγα λεπτά και ανακοινώνει: «Μπήκα!» Στον πραγματικό κόσμο, η διείσδυση σε ένα εταιρικό δίκτυο είναι μια σταδιακή διαδικασία. Οι χάκερς αρχίζουν εισάγοντας ένα μικρό, αδιάφορο πρόγραμμα στο δίκτυο. Στη συνέχεια, στέλνουν οδηγίες που επιτρέπουν στο πρόγραμμα να επεκτείνει σταδιακά την πρόσβασή του, δουλεύοντας αθόρυβα και σταθερά για να αποκτήσει τον πλήρη έλεγχο. Η σύγχρονη ασφάλεια δικτύων έχει φυσικά ως στόχο να αποτρέψει αυτού του είδους τις απάτες. Η βασική επικοινωνία εντολών και ελέγχου με την αρχική διαδικασία εισβολής αποτελεί μια μεγάλη κόκκινη σημαία για τους μηχανισμούς παρακολούθησης εισβολών στο δίκτυο. Ένας σύγχρονος χάκερ χρειάζεται έναν τρόπο επικοινωνίας που δεν προκαλεί υποψίες. Τι κάνει μια σύνδεση ιδανική για έναν χάκερ; Η ομάδα του Crosser ξεκίνησε να αναζητά την ιδανική σύνδεση για βραχυπρόθεσμο command and control. Προσδιόρισαν τέσσερα σημαντικά κριτήρια. «Το πρώτο είναι η καθυστέρηση», είπε, εννοώντας ότι η σύνδεση πρέπει να είναι γρήγορη και να ανταποκρίνεται άμεσα. «Στη συνέχεια, η διακίνηση δεδομένων», συνέχισε, εννοώντας τον όγκο των δεδομένων. «Χρειάζεστε και τα δύο». Το επόμενο κριτήριό του ήταν η εμβέλεια — η τεχνολογία πρέπει να είναι ευρέως διαθέσιμη. Ανέφερε το Tor και το IRC ως παραδείγματα τεχνολογιών που δεν είχαν (και εξακολουθούν να μην έχουν) επαρκή εμβέλεια. Τέλος, η τεχνολογία πρέπει να είναι αξιόπιστη για τους χρήστες και τους διαχειριστές του δικτύου. Ο Crosser εξέτασε διάφορους τύπους συνδέσεων, αποδεικνύοντας ότι καμία δεν πληρούσε ένα ή περισσότερα από τα τέσσερα κριτήρια. Αυτές περιλάμβαναν τη χρήση επικοινωνίας DNS, τη λειτουργία μέσω αποθήκευσης στο cloud και ακόμη και το ηλεκτρονικό ταχυδρομείο. Ωστόσο, τα συστήματα διαδικτυακών διασκέψεων, όπως το Zoom και το Teams, πληρούσαν και τα τέσσερα κριτήρια, καθιστώντας τα ιδανικές μεθόδους εισβολής. Το Zoom και το Teams μπορούν να παραβιάσουν την ασφάλεια του δικτύου Ο Crosser σημείωσε ότι τα ίδια τα συστήματα διαδικτυακών διασκέψεων πρέπει να καταβάλλουν μεγάλη προσπάθεια για να παραβιάσουν τους περιορισμούς του δικτύου. Η υποστήριξη του Microsoft Teams συνιστά τη χρήση split tunneling για να αποφευχθεί η σύνδεση μέσω VPN, για παράδειγμα. Εάν η ασφάλεια του δικτύου σας εμποδίζει τον CEO να συμμετέχει σε βιντεοδιασκέψεις, τότε δεν θα είναι ευχαριστημένος. Ο Crosser, αναλύοντας λεπτομέρειες κατανοητές μόνο για τους συμμετέχοντες με γνώσεις δικτύων, παρουσίασε όλα τα βήματα που μπορεί να ακολουθήσει το Zoom για να συνδεθεί από ένα δίκτυο υψηλής ασφάλειας. Εν ολίγοις, αν μια τεχνική δεν λειτουργεί, το Zoom προσπαθεί ξανά και ξανά μέχρι να βρει έναν τρόπο να συνδεθεί ή απλά αποτυγχάνει, προκαλώντας την κλήση του CEO στο τμήμα IT. «Το Zoom και το Teams είναι τα πιο δημοφιλή με μεγάλη διαφορά», σημείωσε ο Crosser. «Εστιάσαμε σε αυτές τις δύο λύσεις. Ακόμα και αν η επιχείρησή σας χρησιμοποιεί το Google Meet εσωτερικά, σίγουρα έχετε εξωτερικές συναντήσεις που χρησιμοποιούν ένα από αυτά». Το θέμα εδώ είναι ότι η επίθεσή σας δεν θα εντοπιστεί καθώς θα έχει ήδη παραβιάσει την ασφάλεια, επειδή το εργαλείο τηλεδιάσκεψης έχει ήδη περάσει από αυτήν. Κατάληψη της σύνδεσης Ο Crosser εξήγησε πώς η ομάδα εξήγαγε τα διαπιστευτήρια ελέγχου ταυτότητας από μια κλήση Zoom ή Teams και τα χρησιμοποίησε για να μεταφέρει τη δική της κίνηση σε αυτή τη σύνδεση. Σε ζωντανές επιδείξεις, έδειξε ότι ήταν δυνατό να κατεβάσει κρυφά ένα αρχείο στο σύστημα του θύματος. Εκεί βρίσκεται ο πραγματικός κίνδυνος: κάποιος που νομίζει ότι προσπαθεί να συνδεθεί σε μια βιντεοκλήση καταλήγει με malware στον υπολογιστή της εταιρείας του, το οποίο μπορεί να κλέψει τα δεδομένα του ή τα δεδομένα της εταιρείας ή, ακόμη χειρότερα, να ξεκινήσει μια επίθεση ransomware εναντίον ολόκληρης της εταιρείας. Η τεχνική επίθεσης περιλαμβάνει μια τεχνολογία που ονομάζεται TURN, ένα πρωτόκολλο δικτύου για τη σύνδεση συσκευών που δεν μπορούν να συνδεθούν εύκολα απευθείας. Η ομάδα προγραμμάτισε μια εφαρμογή που ονόμασε TURNt, από το TURN tunneler, την οποία ο Crosser έθεσε στη διάθεση των συμμετεχόντων. Ο Crosser σημείωσε ότι λίγο πριν το Black Hat, η Zoom κυκλοφόρησε ένα patch που εξουδετερώνει την επίθεση TURNt, αλλά το Teams εξακολουθεί να είναι ευάλωτο. Ολοκλήρωσε με σκέψεις για μελλοντική έρευνα σε αυτόν τον τομέα. «Είναι ένα καλό σημείο εκκίνησης για νέους ερευνητές», είπε. «Διαλέξτε ένα θέμα, εμβαθύνετε σε αυτό και δείτε αν μπορείτε να δημιουργήσετε κάτι που λειτουργεί».
