Chỉ với 200 đô la Mỹ, tin tặc đã xâm nhập thành công vào mạng Wi-Fi của công ty Nội vụ bằng các công cụ tự chế và truy cập vào hệ thống nội bộ của Bộ Nội vụ Hoa Kỳ mà không được phép. Cũng may, họ chỉ là những hacker mũ trắng do tổng thanh tra Bộ Nội vụ cử tới, nếu không hậu quả sẽ rất thảm khốc.
Đầu năm nay, nhóm kiểm toán CNTT của Bộ Nội vụ Hoa Kỳ đã tổ chức một số cuộc kiểm tra thâm nhập nội bộ, nhằm mục đích sử dụng nhiều công cụ hacker dễ tiếp cận khác nhau để chứng minh lỗ hổng của mạng không dây của cơ quan này.
Nhóm đã viết trong báo cáo kiểm toán được công bố vào thứ Tư, “Chúng tôi nhận thấy rằng bộ phận đã không triển khai và vận hành cơ sở hạ tầng mạng không dây an toàn. Cụ thể, chính sách về cáp mạng không dây của bộ phận không được thiết lập cho tất cả các bộ phận trực thuộc. Kiểm kê mạng không dây, thực hiện các biện pháp xác thực người dùng mạnh mẽ và thậm chí không thực hiện kiểm tra thường xuyên hoặc giám sát và phát hiện cần thiết về an ninh mạng trước các phương thức tấn công nổi tiếng . “
Để chứng minh tính mong manh của hệ thống mạng, thử nghiệm thâm nhập đã được hoàn thành hoàn toàn bởi nhóm kiểm toán CNTT nội bộ của Bộ Nội vụ. Các thành viên trong nhóm đã phát triển một thiết bị thử nghiệm cầm tay có thể bỏ vào ba lô và ví, và có thể hoạt động bằng điện thoại thông minh. Sau khi chuẩn bị xong, các đánh giá viên bắt đầu hoạt động thâm nhập mạng ở khu vực công cộng gần văn phòng nội bộ (chẳng hạn như băng ghế công viên xung quanh) hoặc trong một khu vực hạn chế trong tòa nhà mục tiêu.
Chi phí của bộ tài liệu mà nhóm kiểm toán sử dụng là dưới 200 đô la và nó chỉ được trang bị phần mềm nguồn mở rộng rãi.
Nhóm đã viết trong báo cáo, “Cuộc tấn công rất thành công. Khi chúng tôi xâm nhập vào các cơ sở của bộ phận, chúng tôi không bị bất kỳ nhân viên an ninh hoặc nhân viên an ninh CNTT nào cản trở .” Họ cũng đề cập rằng cuộc tấn công cũng đã chặn và giải mã thành công một số Lưu lượng mạng văn phòng .
Các thử nghiệm xâm nhập cho thấy Wi-Fi nội bộ của Bộ Nội vụ tương đối không an toàn và nó cũng bộc lộ nhiều vấn đề sâu hơn về khả năng phục hồi mạng.
Nhóm nghiên cứu đã “nằm ngoài phạm vi của mạng không dây thông thường” tại cả hai địa điểm diễn ra các hoạt động xâm nhập, và lại truy cập vào mạng nội bộ của Bộ Nội vụ. Các tin tặc thậm chí đã đánh cắp thông tin đăng nhập của nhân viên CNTT, giành quyền truy cập vào hệ thống bàn dịch vụ nội bộ và xem tất cả thông tin vé mở của nhân viên.
Báo cáo chỉ ra rằng “Chúng tôi cũng nhận thấy rằng một số phòng ban và văn phòng đã không thực hiện các biện pháp cần thiết để ngăn chặn xâm nhập mạng không giới hạn. Vì không có cơ chế bảo vệ như phân đoạn mạng, chúng tôi có thể xác định thành công nội dung nào chứa dữ liệu nhạy cảm hoặc liên quan đến các nhiệm vụ chính. Hoạt động của hệ thống có liên quan trực tiếp. “
Báo cáo cũng chỉ ra hai phương pháp cụ thể mà những kẻ tấn công sử dụng để truy cập vào mạng nội bộ: một là cưỡng bức khóa chia sẻ trước (tương tự như ID và mật khẩu độc lập được sử dụng khi đăng nhập vào mạng gia đình); hai là giả mạo điểm phát sóng lừa đảo (Cặp song sinh độc ác) đánh cắp thông tin đăng nhập của người dùng và sau đó truy cập vào mạng nội bộ.
Trong trường hợp trước đây, nhóm đã sử dụng các công cụ hack tự chế để nghe trộm lưu lượng mạng không dây và đợi nhân viên nội bộ đăng nhập hoặc chuyển thông tin đăng nhập được mã hóa theo những cách khác. Đối với mật khẩu chất lượng thấp, kẻ tấn công có thể bẻ khóa lưu lượng được mã hóa gần như ngay lập tức. Báo cáo chỉ ra rằng nếu cơ chế mã hóa quá phức tạp, “thông tin xác thực có thể được truyền tới một hệ thống từ xa với hiệu suất mạnh hơn, để sử dụng nhiều sức mạnh tính toán hơn để đạt được sự bẻ khóa mã.”
Các kiểm toán viên đã viết, “ Bộ Nội vụ đã không thiết lập bất kỳ biện pháp phòng ngừa và kiểm soát nào để ngăn những kẻ tấn công thu thập thụ động lưu lượng mạng không dây từ các khu vực công cộng hoặc cố gắng khôi phục các khóa chia sẻ trước ”.
Trường hợp thứ hai là ăn cắp thông tin xác thực duy nhất được chỉ định cho mỗi người dùng mạng. Nhóm kiểm toán đã sử dụng công nghệ ” evil t wi ns ” để tạo một mạng mới, đặt điểm truy cập trùng tên với mạng thực và sử dụng công nghệ này để ghi lại thông tin xác thực mà người dùng đã nhập khi cố gắng đăng nhập.
Nhóm nghiên cứu đã chỉ ra rằng ” evil t wi ns Cuộc tấn công khai thác một điểm yếu cơ bản trong mạng không dây: thiết bị khách không thể phân biệt giữa hai điểm truy cập mạng không dây có cùng tên quảng bá . “
Tất nhiên, kẻ tấn công cũng có thể sử dụng các lệnh mạng cơ bản hơn và kỹ thuật xã hội để tăng thêm phạm vi xâm nhập.
Báo cáo đề cập, “Để tăng tốc cuộc tấn công, kẻ tấn công có thể phát lệnh tới từng thiết bị khách và điểm truy cập để buộc chúng xác thực lại. Điều này có thể khiến thiết bị khách kết nối với mạng đôi độc ác và cố gắng truyền thông tin đăng nhập được mã hóa. . “
Đối mặt với ác t wi ns Công nghệ (đã xâm nhập thành công 4 mạng nội bộ của Bộ Nội vụ), biện pháp đối phó lý tưởng là sử dụng các phương pháp xác thực để ngăn các thiết bị proxy không có chứng chỉ số phù hợp truy cập vào mạng .
Báo cáo chỉ ra rằng các bài kiểm tra khác nhau được thực hiện lần này không còn giới hạn ở “các hạng mục suy đoán hoặc học thuật.”
Các kiểm toán viên đã viết: “Chúng tôi đã sử dụng các công cụ, kỹ thuật và phương pháp nghe lén liên lạc và truy cập trái phép được những kẻ tấn công thực sử dụng trong các hành động ác ý. Trên thực tế, hầu hết các phương pháp tấn công mà chúng tôi sử dụng đều phù hợp với luật pháp Hoa Kỳ năm 2018 Các hoạt động tấn công của cơ quan tình báo Nga được Bộ đề cập trong các tài liệu khởi kiện là hoàn toàn nhất quán ”.
Kết quả của cuộc điều tra này gây sốc. “Một bộ phận cần phải đóng cơ sở hạ tầng không dây của mình trong ba tuần để phân tích các vấn đề an ninh.” Một văn phòng khác yêu cầu rằng Internet công cộng chỉ có thể được truy cập thông qua mạng không dây, khiến nhân viên Buộc phải treo VPN trước khi truy cập các ứng dụng và tài nguyên bên trong.
Đoàn kiểm toán quy trách nhiệm liên quan cho Văn phòng Giám đốc Thông tin của Bộ Nội vụ, nêu rõ lỗi bảo vệ không đầy đủ phải do văn phòng CIO đảm bảo an ninh và tuân thủ CNTT của toàn bộ chịu trách nhiệm.
Cụ thể, nhóm kiểm toán đã chỉ ra những sai sót trong quyết định của OCIO trong 3 lĩnh vực sau:
- Không có yêu cầu thường xuyên kiểm tra an ninh mạng.
- Không thể duy trì danh sách đầy đủ các mạng không dây.
- Các hướng dẫn về an ninh mạng được công bố còn mâu thuẫn, lỗi thời và không đủ toàn diện.
Các kiểm toán viên đã viết, “Nếu thiếu các biện pháp vận hành bảo mật cho mạng không dây như kiểm soát ranh giới mạng và giám sát tích cực, Bộ Nội vụ rất dễ bị mất tài sản CNTT có giá trị cao do các cuộc tấn công độc hại, dẫn đến suy yếu khả năng hoạt động của bộ phận và thậm chí là rò rỉ rất nhạy cảm Dữ liệu nội bộ. “
Nhóm đánh giá cuối cùng đã đưa ra 14 đề xuất cải chính cho OCIO của Bộ Nội vụ. Sau nhiều lần thảo luận về một trong các khuyến nghị, bộ phận CNTT đã quyết định chấp nhận toàn bộ.
Người phát ngôn của Bộ Nội vụ cho biết trong một tuyên bố, “Văn phòng Giám đốc Thông tin coi trọng việc bảo vệ tài sản và hệ thống của chúng tôi. Trong hai năm qua, chúng tôi đã áp dụng nhiều biện pháp kiểm soát để đạt được tiêu chuẩn hóa mạng không dây trong toàn bộ, do đó đạt được Mức độ bảo mật thống nhất. Và trước khi phát hành chính thức báo cáo này, chúng tôi đã xem xét cẩn thận tất cả các đề xuất cải chính do Văn phòng Tổng Thanh tra đưa ra. “
