11:31
14/8/2019

Do niektórych instytucji czy firm nie da się łatwo wejść albo zabronione jest wnoszenie elektroniki. Mimo to w takich miejscach atakujący mogą umieścić swoje urządzenia do ataku i co ważniejsze, mogą to zrobić nie ruszając się z domu.

Atak zdalny, ale z paczki

Badacze z IBM X-Force Red postanowili dostosować pentesterski sprzęt w taki sposób, żeby dało się go wysłać paczką bez wzbudzania podejrzeń. Metoda została ochrzczona nazwą warshipping, co jest godnym nawiązaniem do wardialingu i wardrivingu.

Ogólna zasada jest prosta. Ukrywamy w paczce niewielki komputer jednopłytkowy (SBC) z modemem dla urządzeń IoT. Badacze z IBM X-Force Red zbudowali taki komputer za ok. 100 dolarów. Jedyne o co musieli się martwić to bateria, która mogła wyczerpać się zbyt szybko, ale i na to znalazł się sposób.

Komputer do warshippingu (fot. securityintelligence.com)

Będąc w drodze do celu urządzenie sporadycznie skanuje otoczenie sieciowe i wysyła na serwer C&C informacje swoje współrzędne GPS. Gdy atakujący ustalą, że paczka dotarła na miejsce, uruchamiane są narzędzia do pasywnego lub aktywnego ataku na sieć bezprzewodową.

Badacze mogli m.in. słuchać pakietów handshake, co otworzyło drogę do uzyskania dostępu do sieci Wi-Fi. Mogli też uruchomić fałszywy punkt dostępowy Wi-Fi, co było tylko pierwszym krokiem do kolejnych działań – wykradania informacji lub kolejnych danych dostępowych. Badacze podkreślili, że w ramach jednego projektu udało się ustanowić stały dostęp do sieci i uzyskać pełny dostęp do systemów instytucji będącej celem ataku.

Co w tym nowego?

Samo podrzucanie komuś elektroniki to nic nowego. Taką taktykę zastosowali m.in. dziennikarze TVN, którzy podrzucili lokalizatory GPS w modelach samochodów.

Nie jest też nowością idea umieszczenia w firmie małego komputera przystosowanego do ataków sieciowych. Jednym z takich urządzeń był Pwn Plug od firmy Pwnie Express. Urządzenie zoptymalizowane do ataków mogło wyglądać jak ładowarka i nie wzbudzała podejrzeń tkwiąc w jednym z wielu biurowych gniazdek. Dzięki rozwojowi elektroniki tego typu urządzenia są nie tylko mniejsze i tańsze, ale też coraz łatwiejsze w konfiguracji.

Warshipping to jednak krok do przodu. Nikt nie wchodzi do firmy podając się za elektryka. Atak jest wykonywany w 100% zdalnie. Firmy nie sprawdzają przesyłek tak uważnie jak sprawdzają gości. Wydaje się, że nawet specjaliści z IBM X-Force Red byli zdumieni tym jak łatwo udało się przeprowadzić atak. Co istotne, ich urządzenie było na tyle małe, że dało się go umieścić nie tylko w przedmiotach niewzbudzających podejrzeń (np. w wywieszce “Szef Roku!”), ale nawet w kartonie opakowania.

Co robić? Jak żyć?

Rada jest tylko jedna.

Mówiąc poważnie, całkiem uzasadnione jest zwiększenie podejrzliwości wobec paczek, szczególnie tych, które mogą być wnoszone do obszarów z podniesionym poziomem bezpieczeństwa. Firmy mogłyby nawet ustalić “politykę paczkową” regulującą np. kwestię inspekcji paczek przy odbiorze, odbierania “osobistych” paczek w biurze czy postępowania wobec wszelkich przesyłek niezamówionych. Można też zadbać o dodatkowe zabezpieczenia dla sieci np. korzystać z VPN z wieloskładnikowym uwierzytelnianiem.

Tak naprawdę nie chcemy podnosić waszego poziomu paranoi. Dodatkowe zabezpieczenia przed atakiem “z paczki” nie wszędzie muszą być wyśrubowane do najwyższego poziomu, natomiast jest to kwestia warta przemyślenia. Szczególnie w tych firmach, gdzie ludzi uważnie skanuje się przed wejściem, a paczki są wnoszone w dużej liczbie i bez szczególnych ograniczeń.

Man in the paczka

Jako Polacy musimy odnotować, że za prekursora warshippingu można uznać Tomasza M., zatrzymanego niegdyś przez policję z Białołęki. Co prawda nie wysłał on w paczce żadnego komputera, ale wraz ze wspólnikiem załadował do przesyłki inteligentny układ biologiczny czyli… samego siebie. Tomasz aktywował się w momencie transportu i ukradł z tira firmy kurierskiej sprzęt o wartości 50 tys. zł. Jakby nie patrzeć to również był dowód na to, że gdzie złodziej nie może tam paczkę pośle.

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. Jeszcze chwila i miniaturyzacja dojdzie do takiego etapu, że moduły szpiegujące będzie można umieścić w płynach ustrojowych.

    A wówczas seks bez zabezpieczeń nabierze zupełnie nowego wymiaru :-)

    • @Morris To już jest od … 1966 roku? Obejrzyj sobie film “Interkosmos” albo “Fantastyczna podróż”.

    • @ALF – film SF filmem, ale tutaj chodzi o rzeczywiste wykorzystanie IRL (InRealLife), jeszcze być może kilka latek a może i ciut więcej … :)

  2. “Chcę otrzymywać powiadomienia e-mail o nowych komentarzach RSS dla komentarzy”… ale się boję, czy mnie nie będą szpiegować. :D

  3. Wszystkie paczki powinny trafiać do klatki faradaja,następnie otwierane i jeśli jest elektronika, niszczone.

    • Jeżeli każda paczka z elektroniką byłaby niszczona to min. Serwisy, producenci i klienci prywatni zamawiający urządzenia elektroniczne lub części nie byliby zadowoleni.

  4. Co to znaczy? “Jedyne o co musieli się martwić to bateria, która mogła wyczerpać się zbyt szybko, ale i na to znalazł się sposób.”

    • Jeżeli każda paczka z elektroniką byłaby niszczona to min. Serwisy, producenci i klienci prywatni zamawiający urządzenia elektroniczne lub części nie byliby zadowoleni.

  5. Należy odgórnie założyć, że każda sieć WiFi jest dostępna publicznie. Skoro sygnał może wychodzić poza budynek zakładu lub do lokalu innej firmy w tym samym biurowcu to dlaczego miałby nie dochodzić na doki rozładunkowe lub magazyn? Gdzie się tylko da polecam stary dobry Ethernet.

    • ethernet ale z podpisanymi kartami sieciowymi
      ostatnio nasa odkryla ethernetowe urzadzonko

  6. “ale wraz ze wspólnikiem załadował do przesyłki inteligentny układ biologiczny czyli… samego siebie.” – a czy to przypadkiem nie jest na chama zerżnięte z Gangu Olsena?

  7. W Troi też odstawili podobny numer, ale kuń… paczka była trochę większa, więc Tomasz M. raczej nie był pierwszy ;)

    • no tak, bo tamta ‘paczka’ zawierała praktycznie cały i gotowy do pracy bot-net :)

  8. Rada jest taka – WiFi to zUo ;) , a porty USB powinny być zablokowane i monitorowane.

  9. Jak tak dalej pójdzie to wszyscy zaczną się domyślać, że taki atak bez trudu można przeprowadzić przez satelity szpiegowskie. I o dziwo w kosmicznym ujawnieniu nie tylko o takich zabawkach piszą, ale bardziej zaawansowanych technologicznie. :)

  10. W Polsce nie ma zagrożenia :) Poczta Polska potrafi z jedną paczką w ramach jednego miasta nawet i z tydzień się bujać, bateria się rozładuje, a jak nie to zaleją. InPost zgubi, a DHL zamieni elektronikę w elektro-mak, jak postawi na tym paletę cegieł, bo takie są pomysły ich kurierów :)

    • Jeśli urządzenie będzie wbudowane w ładowarkę to prąd i tak dostanie. Dziwne , że nikt tego jeszcze w power bank nie wpakował. Szczególnie w te większe. Zawsze cześć “mocy” może zasilić takie urządzonko a że mniej wydajne się zdaje? Zwykły użytkownik zwali to na chińszczyznę…. ale i tak darmówki 10000 mAh będzie używał :-) A co do kurierów… zdziwiłbyś się ale przy pewnej skali ataku na określone dane można i cały urząd/firmę obdarzyć wieloma “prezentami”. A że jakiś nie dojdzie? Przy odpowiedniej socjotechnice sam atakowany poprosi o kolejną przesyłkę. A może wbudować w rączkę parasola reklamowego? Wow! Ile to byłoby sieci przeczesanych w urzędach. ;-)

    • @Adam – a skąd masz taką pewność, że “jeszcze nikt ..nie wbudował ” ?
      Były juz podobne próby, nawet , zdaje sie i tu opisywane, nie zdziwiłbym się gdyby już wielokrotnie zdziałało ‘gdzie miało’ :) Dane się nie chwalą skąd zostały wykradzione :)

  11. Czyli to z samochodzikami to była prowokacja dziennikarska. Nie doczekałem do tej aktualizacji, więc zajrzałem na stronę TVNu by poczytać. Zadziwiające wnioski wyciągnięte z analizy prędkości (“uczestnicy” badania pędzili na złamanie karku pomimo złej pogody). Wisienką na torcie zaś jest komentarz fejsbóczkowy pod artykułem, gdzie urażony “motowojownik” wylewa pretensje do dziennikarzy, ze chcieli ukraść mu samochód.

    Jak mawiali komuniści: “Gdy złapią cię na kradzieży, krzycz ZŁODZIEJ!”

    Mam nadzieję, że dziennikarze przekazali te dane Policji.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: