Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Znalazł w szafie rackowej podejrzane urządzenie – analiza backdoora
Cała historia dostępna jest tutaj. Urządzenie to RPi z dodatkowym USB donglem:
RPi
Nikt nie znał pochodzenia tego sprzętu. Na początek zidentyfikowano dongiel (daje możliwość komunikacji WiFi / Bluetooth):
Niespodzianka
Jak widzicie wyżej, urządzenie wpięte było również w sieć przewodową. Dalsza analiza pokazała działanie VPN-a na urządzeniu (karta SD nie była w żaden sposób szyfrowana…). Po przejrzeniu plików konfiguracyjnych i pomocym.in. serwisu wigle.net udało się namierzyć najprawdopodobniejszego napastnika. To wg analizy były pracownik, który po zwolnieniu jeszcze na jakiś czas dostał klucz do szafy (tak żeby wszystko uprzątnąć). Jak widać było to takie trochę rozszerzone porządkowanie…
Pewnie sporo tego typu tematów zupełnie nie jest ujawnianych… choć wydarzają się coraz częściej.
–ms
Atakujący to kompletny amator!
Zamiast Malinki mógł użyć komputerka na USB i cienkim kablem-przedłużaczem wpiąć go w system a sam komputerek mający małe gabaryty dobrze ukryć w dużej serwerowej szafie.
Pewnie że w końcu ktoś by go odkrył, to pewne, ale raczej później niż wcześniej, na pewno później niż z Maliną.
No i zostawił cyfrowe ślady na karcie SD, żenada!
Ułom a nie haker!
Amator, jak najbardziej. Choć powstaje pytanie ile osób nawet czegoś takiego nie wykryje…
Pewnie sporo takich zabawek jest niewykrywanych, kilka serwerowni w swoim życiu widziałem i do policzenia tych, w których był porządek i wszystko systematycznie poukładane, wystarczyłaby mi jedna ręka byłego stolarza ;)
Prawdziwy armator :)
Jest też opcja, że służyło mu to do jakichś celów zawodowych i zapomniał zabrać :D
Sam kiedyś zostawiłem przez zapomnienie u klienta skrzynkę, która służyła do zdalnej administracji (czasy, zanim powszechne były lepsze rozwiązania i stałe łącza, choć i dzisiaj czasem to się sprawdza lepiej. )
Rozstałem sie z firmą i jakież było moje dziwienie jak po kilku latach odpaliłem sobie stary serwerek :D a skrzyneczka karnie nawiązała z nim połączenie :D:D:D
Cóż zdziwienie właściciela było olbrzymie jak zadzwoniłem powiedzieć mu o pewnym problemie który mają. Okazało się że ma informatyka na etacie i przeszedł dwa audyty bezpieczeństwa w międzyczasie…
Ale tej skrzynki stojącej sobie i pracującej jakoś nikt nie tykał, bo nikt nie wiedział do czego służy :D
Ale pozytyw taki, że obecnie nam się współpraca układa bardzo dobrze :D
Na nikomu nieznane skrzynki jest procedura, wyłącza się i czeka się na zgłoszenia :)
kiedyś otworzyliśmy taką nieznaną skrzynkę przy porządkach w serwerowni
okazała się centralką alarmu budynkowego
i było wiele radości… ;)
„Na nikomu nieznane skrzynki jest procedura, wyłącza się i czeka się na zgłoszenia ” a gdy ktoś zgłosi że pilnie potrzebuje backupu to wtedy zawsze można zacząć od dobrej wiadomości – że wiadomo do czego te nieznane skrzynki służą.
Takie urządzenia teraz w kablach od USB ukrywają we wtyczce procesor.
Niby amator, ale pomysł jakiś miał. Zamiast dużej malinki mógł użyć wersji zero. Ale ogólnie pomysł ciekawy.
Zero nie ma ethernetu i USB A
Takie coś w plastikową obudowę i opisujemy „alarm” oraz nazwa firmy ochroniarskiej właściciela budynku; logo właściciela budynku… XD