2021/07/30

Computador roubado como forma de entrar em rede privada de empresas

Poderemos confiar nos sistemas de segurança do Windows e computadores actuais para manter uma empresa a salvo de hackers? Investigadores de segurança demonstraram que não.

Desta vez o caso foi hipotético, sendo um teste pedido por uma empresa para averiguar até que ponto um portátil roubado a um funcionário se poderia tornar num risco para a empresa, apesar de serem usadas todas as precauções para tentar garantir a segurança do computador. Isto incluía coisas como o bloqueio da BIOS com password, bloqueio da ordem de boot dos discos, Secureboot activado, SSD encriptado com o Microsoft BitLocker via TPM, etc.

À partida, tudo indicaria que este portátil seria um beco sem saída, não permitindo que uma pessoa que o encontrasse (ou roubasse) pudesse fazer algo com ele, muito menos por em risco a rede interna da empresa. Mas a diferença é que não se está a falar de pessoas comuns. Num minucioso trabalho de detective, estes investigadores começaram a procurar formas de entrar no sistema, incluindo apanhar dados à saída do chip TPM - uma táctica que acabou por dar resultados, permitindo o desbloqueio do SSD, e daí em diante foi "quase fácil".

No final, os investigadores conseguiram ter total controlo sobre o portátil, aproveitar-se de uma funcionalidade que permitia a ligação à VPN da empresa, e assim entrarem nos servidores da empresa onde ficaram com total acesso para fazerem o que bem entendessem.

Não será o tipo de preocupação que um utilizador normal terá caso lhe roubem o computador; mas mostra que no caso de empresas, um portátil roubado pode funcionar como chave de entrada para que atacantes entrem na sua rede.

6 comentários:

  1. Isso porque o user de Windows e VPN não tinha mfa

    ResponderEliminar
    Respostas
    1. Hoje em dia menos que pedir a senha e algo como FIDO2 ou outro sistema qualquer de chave digital para verificar a identidade é pouco.

      Mas também a maioria das empresas, se não estiverem a utilizar OpenVPN ou Wireguard não sabem o que andam a fazer, porque sobre tudo o resto existem fortes suspeitas de que são inseguros, uns sem qualquer margem de dúvida, e outros supostamente seguros mas que se desconfia que a forma como os protocolos foram definidos já foi para permitir à NSA e outras conseguir acesso, coisas como não mudar a chave em cada pacote, utilização de chaves privada/ pública curtas ou potencialmente comprometidas, e coisas ainda menos óbvias como quererem que todas as aplicações usem as mesmas curvas elípticas em vez de, como faria sentido do ponto de vista da engenharia, cada instalação ou aplicação conforme os casos criar a sua própria curva elíptica completamente diferente das outras existentes no mundo, que só teria de cumprir determinados parâmetros de segurança já conhecidos, e assim por diante que do ponto de vista de engenharia a nível de segurança não fazia sentido mas que os representantes da NSA diziam que era para "eficiência" (leia-se: conseguirem interceptar e decifrar tudo com mais facilidade).

      Mesmo o OpenVPN aquilo é tão complexo que duvido que não existam problemas de segurança, no mínimo o problema estará nas configurações, muito complexas e têm de estar constantemente a acompanhar a evolução... se as empresas normais forem como as empresas de serviços VPN a coisa não estará nada famosa!

      Com o Wireguard, aquilo só dará para até ao nível confidencial, na melhor das hipóteses, mas não secreto ou ultra-secreto tendo em conta as chaves publica/ privadas utilizadas para proteger a comunicação, que só proporcionará um nível de segurança de até +/- 128 bits (Curve25519)... não deixa de ser curioso porque poderiam ter optado pela "M-511" que proporcionaria até +/- 256 bit de segurança, que em teoria já daria para o nível ultra-secreto... embora até nisso exista quem pense que a NSA nivelou a coisa muito por baixo e que deveria ser muito mais elevado o tamanho das curvas elípticas (1033 bit ou até muito mais) e até das cifras simétricas (4096 bit ou mais).

      Eliminar
  2. A ligação para o artigo do Dolos Group não funciona. 🤔

    ResponderEliminar
    Respostas
    1. Funciona sim, está é duplicado: https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network

      Eliminar
  3. Bem que os Alemães diziam que não confiavam no Trusted Platform Module (TPM), e isto já em Agosto de 2013 ( https://www.theregister.com/2013/08/23/nsa_germany_windows_8/ ), mas era por não conseguirem controlar o sistema operativo e o hardware usado o que segundo eles proporcionava à NSA mais formas de ter acesso remoto mas com menos probabilidades de serem detectados e que para o estado e operadores de infra-estruturas críticas era simplesmente inaceitável a sua utilização, afinal ainda havia mais razões para terem receio do que se pensava.
    Mas também utilizar Bitlocker com as chaves no TPM, enfim... sem falar que o Bitlocker manda a chave privada para o servidor da Microsoft, o utilizador pode remover, mas eles já a receberam, e aposto que a NSA também recebe uma cópia ao mesmo tempo... mas que não a elimina.

    Para proteger o computador utilizem software que não utilize o TPM para guardar as chaves secretas, talvez o Veracrypt ou outro da vossa confiança que tenha muitos olhos em cima a tentarem descobrir maneiras de ultrapassar a segurança, não é garantia de segurança, mas se descobrirem problemas podem sempre actualizar ou reinstalar uma versão nova já com as correcções e fecham mais uma via de ataque.
    De notar que Veracrypt e isso, mesmo na melhor das hipóteses só oferece alguma protecção se o computador/ dispositivo estiver desligado há algum tempo e não houver qualquer código maligno que tenha extraído as chaves secretas e enviado para algures.

    ResponderEliminar

[pub]