Hur är detta för ironi. Alla pratar om att säkerhetsexploater blir mer sofistikerade. Ändå ett hot mot den digitala världen, aka det hårdragande busuniversumet, kunde inte vara mer elementärt:gömma sig, i ett paket, en låg kostnad, energisnål dator designad för åtkomstattack och att skicka iväg den med posten.

Med miljontals paket på väg till någonstans i USA, Cyberattackare kan dra fördel av denna till synes oskyldiga praxis som en attackvektor. enheterna, liten och lätt, är försök från kriminella att hacka sig in i företags- eller personliga WiFi-nätverk. Sleuths på IBM, i denna tid av e-handel och paket minskar, kalla det krigssjöfart.

"När byggd, en krigsfartygsenhet kan utföra trådlösa attacker helt enkelt genom att skickas till någon och anlända vid deras skrivbord eller tröskel, " enligt Säkerhetsintelligens . "Medan de är på transit, enheten gör regelbundna grundläggande trådlösa skanningar, liknande vad en bärbar dator gör när man letar efter Wi-Fi-hotspots. Den sänder sina platskoordinater via GPS tillbaka till C&C-servern."

IBMs säkerhetsforskare var i nyheterna den här veckan för att testa dessa krigsfartygsenheter. Hur ser dessa enheter ut? Ather Fawaz skissade in detaljerna för läsarna i Neowin .

"Enheten som måste distribueras till platsen består huvudsakligen av en dator med ett kort (SBC) som körs på en traditionell mobiltelefons uppladdningsbara batteri. Dessutom, med de vanliga komponenterna, det kostar bara runt 100 dollar att göra och ser mer ut som ett gör-det-själv-projekt för en vetenskapsutställning på en skola snarare än en enhet som kan användas för att hacka sig in i nätverk."

IBM visar hur att skicka en exploateringsenhet direkt via posten kan tillåta angripare att hacka sig in i nätverk på distans med Charles Henderson, Global Managing Partner för IBM X- Force Red, i centrum. Det laget har den ambitiösa titeln "IBM X-Force Red" och deras jobb är att avslöja potentiella sårbarheter i nätverk. I det här fallet, undersöker krigsfartyg, "X-Force Red kunde infiltrera företagsnätverk oupptäckt. Vårt mål med detta var att hjälpa våra kunder att utbilda våra kunder om döda vinklar."

Genom paketleveranser till kontorets postrum – eller ett enskilt offers ytterdörr – kan paket uppträda som en infiltratör.

Zack Whittaker, säkerhetsredaktör på TechCrunch :

"När krigsfartyget har lokaliserat ett Wi-Fi-nätverk från postrummet eller mottagarens skrivbord, den lyssnar efter trådlösa datapaket den kan använda för att bryta sig in i nätverket. Krigsskeppet lyssnar efter ett handslag – processen att tillåta en användare att logga in på Wi-Fi-nätverket – skickar sedan den kodade data över det mobila nätverket tillbaka till angriparens servrar...Med åtkomst till Wi-Fi-nätverket, angriparen kan navigera genom företagets nätverk, söker efter sårbara system och exponerad data."

Whittaker sa att laget inte släppte proof-of-concept-kod för att inte hjälpa angripare.

"Tänk på mängden lådor som rör sig genom ett företags postrum dagligen, sa Henderson in Säkerhetsintelligens . "Eller, tänk på paketen som lämnats på verandan till en VDs hem, sitter inom räckhåll för hemmets Wi-Fi."

Faktiskt, Henderson tillade, det skadliga paketet behöver inte vara så igenkännligt men, som en 3G-aktiverad, fjärrstyrt system, "kan stoppas i botten av en förpackningslåda eller stoppas i ett barns nallebjörn (en enhet som inte är större än din handflata) och levereras direkt i händerna eller skrivbordet på ett avsett offer."

"I detta krigsfartygsprojekt, " skrev Henderson, "vi var, tyvärr, kunna upprätta en beständig nätverksanslutning och få full tillgång till målets system."

"Skulle du låta en besökare gå rakt fram till din ekonomichefs skrivbord?" han frågade. Samma svar kan gälla för paket, speciellt om tekniker för krigssändning var särskilt praktiska för cyberkriminella under semestertider när paketleveranserna ökar.

Företag kan överväga bästa praxis för att förhindra krigsskeppsförsök. Henderson hade ett antal förslag Säkerhetsintelligens . En skanningsprocess för paket i postrum kan övervägas. Skanning kan upptäcka skadliga enheter i kläder eller i böcker.

© 2019 Science X Network