En bedrift som har sikret seg fra uvedkommende fysisk, slik at potensielle hackere ikke får tilgang til deres kontorer og maskinvare på en enkel måte, kan ha glemt et viktig element som likevel kan true sikkerheten.
Et Singapore-basert sikkerhetsteam peker på muligheten til å bruke droner som angrepsmetode. Dronen i seg selv er ikke farlig, men den kan utstyres med en mobiltelefon som har installert en applikasjon man kan benyttes som inngangsport.
Les også: Ønsker å hacke WiFi-nettverk fra droner
Og denne inngangen er et element av kontorlandskapet som ofte blir glemt av de sikkerhetsansvarlige ifølge forskerne, nemlig en trådløs skriver.
Appen som teamet har utviklet skanner etter ukrypterte trådløse skrivere, og åpner tilgang til disse. Når nettverket er identifisert, etablerer appen et tilgangspunkt som finnes på telefonen, som da befinner seg innenfor det relevante nettverket.
Applikasjonen kan da lure de ansatte til å tro at de har sendt en skrivejobb til skriveren, mens det i virkeligheten er hackernes smartmobil som mottar den.
Uten å bli oppdaget
Innholdet i dokumentet kan sendes videre til en nettskytjeneste angriperne bruker, og samtidig kan det videresendes til den ekte printeren, slik at de ansatte ikke tror at noe mistenkelig har skjedd.
Siden forskerne er basert i Singapore, en by med mange høye skyskrapere, viser de til at denne «dronemetoden» kan brukes til å bryte seg inn på nettverk som fysisk sett befinner seg mange titalls etasjer i høyden. Den eneste utfordringen er at dronen må være rundt 30 meter fra den aktuelle printeren. Det å fly en drone inntil skyskrapere kan også fremstå som ganske mistenkelig i seg selv – men poenget var å bevise at kontornettverk kan hackes uten at hackeren trenger personlig å være i nærheten, og at det kan gjøres via et potensielt svakt ledd, skriveren.
Hvor utbredte ukrypterte, trådløse skrivere er i norske bedrifter, er vanskelig å si.
Les også: Dette Mac-angrepet kan nesten ikke oppdages
Det samme teamet har også utviklet en applikasjon som kan se etter usikrede printere, og deretter advare organisasjonens IT-avdeling.
Angrepet kan også utføres fra innsiden av en bygning, for eksempel fra en robotisert støvsuger som kjører rundt og brukes til å søke etter ukrypterte nettverk, sier forskerne.