11:31
14/8/2019

Do niektórych instytucji czy firm nie da się łatwo wejść albo zabronione jest wnoszenie elektroniki. Mimo to w takich miejscach atakujący mogą umieścić swoje urządzenia do ataku i co ważniejsze, mogą to zrobić nie ruszając się z domu.

Atak zdalny, ale z paczki

Badacze z IBM X-Force Red postanowili dostosować pentesterski sprzęt w taki sposób, żeby dało się go wysłać paczką bez wzbudzania podejrzeń. Metoda została ochrzczona nazwą warshipping, co jest godnym nawiązaniem do wardialingu i wardrivingu.

Ogólna zasada jest prosta. Ukrywamy w paczce niewielki komputer jednopłytkowy (SBC) z modemem dla urządzeń IoT. Badacze z IBM X-Force Red zbudowali taki komputer za ok. 100 dolarów. Jedyne o co musieli się martwić to bateria, która mogła wyczerpać się zbyt szybko, ale i na to znalazł się sposób.

Komputer do warshippingu (fot. securityintelligence.com)

Będąc w drodze do celu urządzenie sporadycznie skanuje otoczenie sieciowe i wysyła na serwer C&C informacje swoje współrzędne GPS. Gdy atakujący ustalą, że paczka dotarła na miejsce, uruchamiane są narzędzia do pasywnego lub aktywnego ataku na sieć bezprzewodową.

Badacze mogli m.in. słuchać pakietów handshake, co otworzyło drogę do uzyskania dostępu do sieci Wi-Fi. Mogli też uruchomić fałszywy punkt dostępowy Wi-Fi, co było tylko pierwszym krokiem do kolejnych działań – wykradania informacji lub kolejnych danych dostępowych. Badacze podkreślili, że w ramach jednego projektu udało się ustanowić stały dostęp do sieci i uzyskać pełny dostęp do systemów instytucji będącej celem ataku.

Co w tym nowego?

Samo podrzucanie komuś elektroniki to nic nowego. Taką taktykę zastosowali m.in. dziennikarze TVN, którzy podrzucili lokalizatory GPS w modelach samochodów.

Nie jest też nowością idea umieszczenia w firmie małego komputera przystosowanego do ataków sieciowych. Jednym z takich urządzeń był Pwn Plug od firmy Pwnie Express. Urządzenie zoptymalizowane do ataków mogło wyglądać jak ładowarka i nie wzbudzała podejrzeń tkwiąc w jednym z wielu biurowych gniazdek. Dzięki rozwojowi elektroniki tego typu urządzenia są nie tylko mniejsze i tańsze, ale też coraz łatwiejsze w konfiguracji.

Warshipping to jednak krok do przodu. Nikt nie wchodzi do firmy podając się za elektryka. Atak jest wykonywany w 100% zdalnie. Firmy nie sprawdzają przesyłek tak uważnie jak sprawdzają gości. Wydaje się, że nawet specjaliści z IBM X-Force Red byli zdumieni tym jak łatwo udało się przeprowadzić atak. Co istotne, ich urządzenie było na tyle małe, że dało się go umieścić nie tylko w przedmiotach niewzbudzających podejrzeń (np. w wywieszce “Szef Roku!”), ale nawet w kartonie opakowania.

Co robić? Jak żyć?

Rada jest tylko jedna.

Mówiąc poważnie, całkiem uzasadnione jest zwiększenie podejrzliwości wobec paczek, szczególnie tych, które mogą być wnoszone do obszarów z podniesionym poziomem bezpieczeństwa. Firmy mogłyby nawet ustalić “politykę paczkową” regulującą np. kwestię inspekcji paczek przy odbiorze, odbierania “osobistych” paczek w biurze czy postępowania wobec wszelkich przesyłek niezamówionych. Można też zadbać o dodatkowe zabezpieczenia dla sieci np. korzystać z VPN z wieloskładnikowym uwierzytelnianiem.

Tak naprawdę nie chcemy podnosić waszego poziomu paranoi. Dodatkowe zabezpieczenia przed atakiem “z paczki” nie wszędzie muszą być wyśrubowane do najwyższego poziomu, natomiast jest to kwestia warta przemyślenia. Szczególnie w tych firmach, gdzie ludzi uważnie skanuje się przed wejściem, a paczki są wnoszone w dużej liczbie i bez szczególnych ograniczeń.

Man in the paczka

Jako Polacy musimy odnotować, że za prekursora warshippingu można uznać Tomasza M., zatrzymanego niegdyś przez policję z Białołęki. Co prawda nie wysłał on w paczce żadnego komputera, ale wraz ze wspólnikiem załadował do przesyłki inteligentny układ biologiczny czyli… samego siebie. Tomasz aktywował się w momencie transportu i ukradł z tira firmy kurierskiej sprzęt o wartości 50 tys. zł. Jakby nie patrzeć to również był dowód na to, że gdzie złodziej nie może tam paczkę pośle.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

29 komentarzy

Dodaj komentarz
  1. Jeszcze chwila i miniaturyzacja dojdzie do takiego etapu, że moduły szpiegujące będzie można umieścić w płynach ustrojowych.

    A wówczas seks bez zabezpieczeń nabierze zupełnie nowego wymiaru :-)

    • @Morris To już jest od … 1966 roku? Obejrzyj sobie film “Interkosmos” albo “Fantastyczna podróż”.

    • @ALF – film SF filmem, ale tutaj chodzi o rzeczywiste wykorzystanie IRL (InRealLife), jeszcze być może kilka latek a może i ciut więcej … :)

    • Mi z kolei skojarzył się “Headhunters” z 2011

  2. “Chcę otrzymywać powiadomienia e-mail o nowych komentarzach RSS dla komentarzy”… ale się boję, czy mnie nie będą szpiegować. :D

  3. Wszystkie paczki powinny trafiać do klatki faradaja,następnie otwierane i jeśli jest elektronika, niszczone.

    • Jeżeli każda paczka z elektroniką byłaby niszczona to min. Serwisy, producenci i klienci prywatni zamawiający urządzenia elektroniczne lub części nie byliby zadowoleni.

  4. Co to znaczy? “Jedyne o co musieli się martwić to bateria, która mogła wyczerpać się zbyt szybko, ale i na to znalazł się sposób.”

    • Jeżeli każda paczka z elektroniką byłaby niszczona to min. Serwisy, producenci i klienci prywatni zamawiający urządzenia elektroniczne lub części nie byliby zadowoleni.

    • Z baterią sobie poradzili tak, że urządzenie było w trybie pasywnym i wchodziło w aktywny dopiero jak dojechało.

  5. Należy odgórnie założyć, że każda sieć WiFi jest dostępna publicznie. Skoro sygnał może wychodzić poza budynek zakładu lub do lokalu innej firmy w tym samym biurowcu to dlaczego miałby nie dochodzić na doki rozładunkowe lub magazyn? Gdzie się tylko da polecam stary dobry Ethernet.

    • ethernet ale z podpisanymi kartami sieciowymi
      ostatnio nasa odkryla ethernetowe urzadzonko

  6. “ale wraz ze wspólnikiem załadował do przesyłki inteligentny układ biologiczny czyli… samego siebie.” – a czy to przypadkiem nie jest na chama zerżnięte z Gangu Olsena?

  7. W Troi też odstawili podobny numer, ale kuń… paczka była trochę większa, więc Tomasz M. raczej nie był pierwszy ;)

    • no tak, bo tamta ‘paczka’ zawierała praktycznie cały i gotowy do pracy bot-net :)

  8. Rada jest taka – WiFi to zUo ;) , a porty USB powinny być zablokowane i monitorowane.

  9. Jak tak dalej pójdzie to wszyscy zaczną się domyślać, że taki atak bez trudu można przeprowadzić przez satelity szpiegowskie. I o dziwo w kosmicznym ujawnieniu nie tylko o takich zabawkach piszą, ale bardziej zaawansowanych technologicznie. :)

  10. W Polsce nie ma zagrożenia :) Poczta Polska potrafi z jedną paczką w ramach jednego miasta nawet i z tydzień się bujać, bateria się rozładuje, a jak nie to zaleją. InPost zgubi, a DHL zamieni elektronikę w elektro-mak, jak postawi na tym paletę cegieł, bo takie są pomysły ich kurierów :)

    • Jeśli urządzenie będzie wbudowane w ładowarkę to prąd i tak dostanie. Dziwne , że nikt tego jeszcze w power bank nie wpakował. Szczególnie w te większe. Zawsze cześć “mocy” może zasilić takie urządzonko a że mniej wydajne się zdaje? Zwykły użytkownik zwali to na chińszczyznę…. ale i tak darmówki 10000 mAh będzie używał :-) A co do kurierów… zdziwiłbyś się ale przy pewnej skali ataku na określone dane można i cały urząd/firmę obdarzyć wieloma “prezentami”. A że jakiś nie dojdzie? Przy odpowiedniej socjotechnice sam atakowany poprosi o kolejną przesyłkę. A może wbudować w rączkę parasola reklamowego? Wow! Ile to byłoby sieci przeczesanych w urzędach. ;-)

    • @Adam – a skąd masz taką pewność, że “jeszcze nikt ..nie wbudował ” ?
      Były juz podobne próby, nawet , zdaje sie i tu opisywane, nie zdziwiłbym się gdyby już wielokrotnie zdziałało ‘gdzie miało’ :) Dane się nie chwalą skąd zostały wykradzione :)

  11. Czyli to z samochodzikami to była prowokacja dziennikarska. Nie doczekałem do tej aktualizacji, więc zajrzałem na stronę TVNu by poczytać. Zadziwiające wnioski wyciągnięte z analizy prędkości (“uczestnicy” badania pędzili na złamanie karku pomimo złej pogody). Wisienką na torcie zaś jest komentarz fejsbóczkowy pod artykułem, gdzie urażony “motowojownik” wylewa pretensje do dziennikarzy, ze chcieli ukraść mu samochód.

    Jak mawiali komuniści: “Gdy złapią cię na kradzieży, krzycz ZŁODZIEJ!”

    Mam nadzieję, że dziennikarze przekazali te dane Policji.

  12. Tylko ta technika ma jedną wadę.Dość poważną. A mianowicie albo jest gruby karton,albo ta elektronika musiała by zostać dobrze zamaskowana/udawać coś innego.

    Sztuczka z “kurczakiem” na filmie ma więcej sensu,ale kolejny problem – nie zapowiadana paczka prędzej czy później wzbudzi podejrzenia. Idea włożenia tego w powerbank w komentarzach jest już ciekawa – aczkolwiek rozmiar wciąż nie ten.

    Tym niemniej tam gdzie wykrycie ataku po czasie się nie liczy może to dla atakujących mieć sens.

  13. Ale o czym my Tu wogóle mówimy?Przeciez kazda siec Wifi moze byc dostepna na wiekszym obszarze niz zakladamy i czesto mozna ja atakowac spoza firmy.Rozwiazaniem jest wiec jedynie poprawna konfiguracja lub klatka faradaya na calym budynku:-)

    • Nowy standard bezpiecznych budynków, z uziemionym zbrojeniem i uziemonymi kratami w oknach :-)
      Tylko komórki w środku by nie działały. No chyba żeby jakiś bridge był, od razu filtrujący ruch mobilny.

  14. Kilka lat temu zacząłem ewangelizację w różnych instytucjach o detekcji rogue AP i walce z tym ustrojstwem. Jeszcze rok temu ludzie patrzyli jak na wariata. Teraz już kolejny SOC robi podchody o instalację demo;)

  15. Nie wydaje mi się żeby przełamanie wpa 2 enterprise czy wpa 3 enterprise było takie proste. Poza tym po podpięciu się do Wi-Fi jeszcze zostaje kwestia domeny czy lokalnego intranetu lub innych zabezpieczeń. Pracowałem do tej pory w trzech firmach. Jedyną która nie miała wpa enterprise był 3-osobowy serwis komputerowy. Obecnie pracuję jako sysadmin. W pierwszej firmie na tym stanowisku po zalogowaniu do firmowego wifi z wpa2 enterprise musiałem jeszcze logować się na firewallu żeby zrobić coś rozsądnego. Przy czym tych firewalli miałem kilka i skrypt w cronie który mnie logował co kilka minut. W obecnej firmie nawet jak jestem zalogowany przez firmowe Wi-Fi i do domeny, to i tak muszę uruchamiać VPNa, bo poza dostępem do poczty i dostępem do intranetu to też nie mogę zbyt wiele zrobić. Przy czym intranet jest dostępny tylko po logowaniu domenowym. Do tego w niektóre miejsca mam dodatkowe zabezpieczenie w postaci fizycznego klucza generującego kody i dodatkowych haseł na maila. 3 pomyłki i konto zablokowane. Naprawdę nie rozumiem jak czymś takim można przeprowadzić atak. Wyjaśnijcie mi proszę, na przykładzie firmy w której pracuję, jak takie urządzenie będzie w stanie wejść do firmowego Wi-Fi z wpa2 enterprise, następnie jakoś magicznie podrobić mój certyfikat, zgadnąć moje hasło do domeny, zgadnąć moje hasło do vpna i wejść na jakąkolwiek maszynę którą obsługuję. I to wszystko w 3 próbach na każdym etapie, bo inaczej konto zablokowane. Domenowe odblokowuje się samo po 30 minutach, reszta niestety na ticket do działu zajmującego się uprawnieniami i cc do menadżera. Naprawdę nikt nie zauważy próby zgadnięcia hasła?

    • To teraz wytłumacz pani Krysi z księgowości tę całą procedurę. Niestety my, ludzie techniczni, bardzo często zapominamy, że nie wszyscy są tak biegli w technologii, jak my. Firmy bardzo często idą na kompromisy w kwestii bezpieczeństwa na rzecz wygody pracowników. I nie zawsze wynika to z nieświadomości zagrożenia – po prostu czasami proste rozwiązanai są wystarczające.

  16. “Do niektórych instytucji czy firm nie da się łatwo wejść albo zabronione jest wnoszenie elektroniki.”

    Z drabiną wejdziesz wszędzie.

  17. Gratisowe myszki z nadrukiem reklamowym i na kabelku usb. Dla kazdej uroczzej pani w biurze…

Odpowiadasz na komentarz adPersonam

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: