Dansk høflighed hjælper analog hacker

Lone Juul Dragsfeldt Christensen
Lone Juul Dransfeldt Christensen på IT-Branchens Paratskib på Folkemødet 2017. Foto: NNIT
Hacking som foregår væk fra skærmen og fysisk ude på virksomhederne ved 'tailgating' og 'dumpster diving' foregår mere, end de fleste tror, mener dansk etisk hacker.

På vej mod indgangen til din virksomhed ser du kvinden, som ikke kan finde sit adgangskort, eller manden som ikke har frie hænder til at åbne døren, fordi han bærer noget.

Måske er du hjælpsom og lukker dem ind på din arbejdsplads, når du selv går ind.

Umiddelbart lyder scenariet uskyldigt, og det generelle billede er, at danskerne gerne vil hjælpe. Men du har måske lige hjulpet en analog hacker ind på arbejdspladsen via ‘tailgating’. Tailgating betyder - som navnet indikerer - at en hacker får adgang til en virksomhed ved at følge efter andre.

Ifølge certificeret etisk hacker hos NNIT Lone Juul Dransfeldt Christensen er denne form for hacking mere almindelig, end det måske umiddelbart forventes.

»Der er rigtig meget analog hacking. Hackeren kan forsøge at lirke nogle låse for at komme ind det rigtige sted på kontorerne. Ofte er virksomheden på ydre parametre godt beskyttet, og det virker måske ikke, men så kan man lave tailgating,« siger hun.

Høflighed er et problem

Det nytter altså ikke noget at have stærke sikkerhedsforanstaltninger, hvis den danske mentalitet står i vejen.

»Danskere er meget høflige, de har ikke så meget lyst til at vende sig om og spørge, hvor folk, de ikke kender, skal hen,« siger Lone Juul Dransfeldt Christensen.

Der kan være større succesrate for kvinder, for eksempel hvis hun bærer en stor taske, og roder rundt i den, så vil de fleste åbne døren for en - eller hvis man bærer på en stor kasse eller noget, så mødes man ofte med ‘ej, men kom indenfor’, fortæller Lone Juul Dransfeldt Christensen.

»Så kan man som hacker komme ind og snuse lidt rundt,« siger hun.

Hun fortæller, at den analoge hacking bliver brugt i sammenhænge, hvor det er målrettede angreb mod bestemte virksomheder, i modsætning til eksempelvis et ransomware-angreb, hvor målet er generel økonomisk vinding, og det specifikke offer er af mindre betydning.

Svært at beregne omfang

Det er svært at beregne et bestemt omfang af, hvor meget analog hacking der foregår. Det kan nemlig være svært at adskille den analoge hacking fra almindelige indbrud, og samtidig er det næsten umuligt at spore, da der sjældent bliver stjålet noget fysisk, fortæller Lone Juul Dransfeldt Christensen.

»Men når man samler detaljer fra et målrettet angreb mod Sony, Stuxnet og beretninger fra hackere i miljøet, så peger det på, at både hackere og efterretningsenheder anvender fysisk hacking.«

Læs også: Sikkerhedsfirma: Russiske hackere har adgang til Sony Pictures netværk

Blandt andet derfor er der også sikkerhedsvirksomheder, som anvender fysisk hacking ved penetrationstest af andre virksomheder og på den måde identificerer sårbarheder i virksomheden.

»Når sikkerhedsvirksomheder vælger at anvende fysisk hacking, så skyldes det, at man med et målrettet angreb kigger på de muligheder der er, og her har fysisk hacking vist sig at være en god mulighed, der kan være svær at spore. Så man kan spørge sig selv: Hvorfor skulle hackere ikke anvende de muligheder, der er tilgængelige?« siger Lone Juul Dransfeldt Christensen.

Kigger over skulderen og i skraldespande

Selv arbejder Lone Juul Dransfeldt Christensen som certificeret etisk hacker hos NNIT. Virksomheden arbejder ikke med analog hacking, men Lone Juul Dransfeldt Christensen interesserer sig selvfølgelig for emnet for at kunne forudsige forskellige scenarier og udtænke beskyttelse.

»Hvis jeg eksempelvis skulle hacke en virksomhed, så undersøger jeg alt om virksomheden. Hvilke IP-ranges bruger den, hvorhenne er de, hvilke adgangskort bruger de og så videre. Jeg går måske ind i virksomheden, for at sniffe nogle adgangskoder over skuldrene, mens de arbejdende skriver, jeg laver måske noget dumpster diving, hvor jeg går ned direkte i skraldespanden og kigger efter gode post-its med koder på,« siger hun.

For at sikre sig mod denne type af angreb, kan man for eksempel spørge folk, man ikke kender, hvem de er, og hvad de foretager sig i virksomheden, siger Lone Juul Dransfeldt Christensen.

»Men igen er danskere ikke nogen, der går rundt og spørger på den måde. Specielt i store virksomheder, hvor man ikke kender hinanden,« siger hun.

Lone Juul Dransfeldt Christensen kender selv til adskillige danske virksomheder, som har været udsat for denne type af angreb, men har ikke bemyndigelsen til at give eksemplerne videre til Version2.

Læs også: Kommentar: Du bliver nødt til at lytte til dem der finder sikkerhedshuller i din software

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (16)

Kommentarer (16)
Niels-Arne Nørgaard Knudsen

har selv gjort lignende. tog et rengøringsjob og mødte til tiden. og fik lidt ud af det. her er outsourcing til laveste bud et kæmpe problem. udenlandske underbetalte arbejdere. behøver jeg sige mere? faren ved at bruge den form for proxy'er er at de snupper det forkerte dokument, kopierer det forkerte (xerox eller usb, same shit).

Christian Andersen

Jeg havde første dag på nyt job med låst dør og adgangskort, og var meget opmærksom på ikke at lukke nogen ind.

Da jeg gik op mod indgangen så jeg en mand der også gik op mod indgangen fra en anden retning. Jeg forsøgte at sætte farten ned, så han gik ind før mig, men det lykkedes ikke og jeg kom op foran døren først, med ham lige bag mig.

Jeg låste døren op og han gjorde mine til at gå med ind. Jeg stoppede ham og spurgte om han arbejdede der, og han sagde ja. Jeg kan ikke huske den præcise ordveksling, fordi det er nogle år siden, men det blev pinligt efter et kort stykke tid.

Det gjorde det ikke lettere at han var mørk i huden (RACISME!!1eleven), så han fik lov til at komme med ind.

Han arbejdede der og havde gjort det i flere år, så det var ikke et problem, men ja, dansk høflighed er en hindring for effektiv adgangskontrol.

Martin Sørensen

Der er steder hvor der er styr på den slags, men det kræver at det bliver holdt i hævd i hele organisationen. Så bør folk heller ikke blive overraskede eller fornærmede hvis andre ikke vil lade dem smutte med ind. Så skal der så også være en procedure for hvad man gør hvis man har glemt sit kort, f.eks. at henvende sig i receptionen.

Hvis det er et sted der f.eks. kræver sikkerhedsgodkendelse, så vil det heller ikke være acceptabelt at en kollega som godt kan genkende dig, lukker dig ind. Du kunne jo være blevet bortvist kort forinden uden at alle havde modtaget informationen..

Men her i landet stoler vi generelt på folk og det gør da også at mange ting i dagligdagen glider noget nemmere. I 99.9% af tilfældene så er der da heller ikke noget farligt i det, så man skal opveje risikoen for hvad der kan ske kontra hvor stor belastningen er hvis man konstant skal opretholde en meget høj sikkerhedsstandard. Jeg låser f.eks. heller ikke altid min hoveddør når jeg forlader min lejlighed hvis jeg kun er væk i kort tid, f.eks. hvis jeg skal ud med skraldet. Hvis nu jeg var en offentlig person og der var nogen der holdt øje med mig så kunne de udnytte situationen og komme ind og rode i mine ting mens jeg var ude. Men da jeg ikke er en kendt politiker, skuespiller el. lign, så er det meget usandsynligt at andre end min nabo opdager hvis jeg er hjemmefra i 5 minutter, så det er en kalkuleret risiko jeg har vurderet at jeg er villig til at tage.

Lars Christensen

Jeg har utallige gange set ID-kort i selv meget store virksomheder, uden foto - det er helt til grin.
Alt kan der snydes med, ingen tvivl, men vi gør det altså ret nemt og uhyre billigt at lave industrispionage.
For nogle år siden i en meget omdiskuteret sag, blev en laptop med meget følsomme info, lige nappet ud af et åbent vindue hos en advokat.
Første skrift er at definerer en sikkerhedspolitik, som er til at leve og arbejde med for almindelige mennesker. Er procedurerne for svære at leve med eller at huske, så bliver de overrulet eller direkte glemt

Niels-Arne Nørgaard Knudsen

er der et system der holder styr på gæster (politiskolen i Brøndby bruger den slags) kan man være heldig at se hvem der ellers har logget ind eller de brugere der er oprettet i systemet. det sure ved den taktik er at man skal huske godt og være ekstremt hurtig da sekretæren går ud fra at man ikke har skrivehastighed som en meget gammel og meget gigtplaget skildpadde.

Anders Lorensen

Rengøringen der sætter en fysisk keylogger på et keyboard kabel den ene dag, og tager den med sig dagen efter. Og hvor kan man få mange brugernavne/passwords på den måde, hvis man gør det imod en computer i IT afdelingen.

Hvordan beskytter man sig imod det, uden at komme ud i daglige kropsvitisationer af alt rengøringspersonale, konsulenter, håndværkere etc.?

Software detection er umuligt. Fysisk at opdage dem bag computeren under skrivebordet? - næppe.

Den slags keyloggers kan iøvrigt fåes til under 100$.

Dennis Nilsson

Jeg er ikke overbevist om at tailgating (eller traditionel fysisk social engineering) bliver benyttet i stor grad til, at plante udstyr eller kopiere filer medmindre det er et MEGET målrettet angreb, hvor andre muligheder er brugt op. Ja det sker, men netop at det kan gøres anonymt fra netværket er jo fordelagtigt. Det kan tage lang tid, men sandsynligheden for, at kunne bryde ind fra netværket er større end de fleste regner med.

Desuden eksistere der ikke meget sensitivt på papir i dag som giver mening at lede efter i skraldespande. Det var noget der gav mere mening i 80'erne og 90'erne.

Kunne godt bruge nogle konkrete kilder på påstanden.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017