Dansk høflighed hjælper analog hacker

Jeg er ikke overbevist om at tailgating (eller traditionel fysisk social engineering) bliver benyttet i stor grad til, at plante udstyr eller kopiere filer medmindre det er et MEGET målrettet angreb, hvor andre muligheder er brugt op. Ja det sker, men netop at det kan gøres anonymt fra netværket er jo fordelagtigt. Det kan tage lang tid, men sandsynligheden for, at kunne bryde ind fra netværket er større end de fleste regner med.

Desuden eksistere der ikke meget sensitivt på papir i dag som giver mening at lede efter i skraldespande. Det var noget der gav mere mening i 80'erne og 90'erne.

Kunne godt bruge nogle konkrete kilder på påstanden.

Rengøringen der sætter en fysisk keylogger på et keyboard kabel den ene dag, og tager den med sig dagen efter. Og hvor kan man få mange brugernavne/passwords på den måde, hvis man gør det imod en computer i IT afdelingen.

Hvordan beskytter man sig imod det, uden at komme ud i daglige kropsvitisationer af alt rengøringspersonale, konsulenter, håndværkere etc.?

Software detection er umuligt. Fysisk at opdage dem bag computeren under skrivebordet? - næppe.

Den slags keyloggers kan iøvrigt fåes til under 100$.

og så skal man skaffe sig en undskyldning for at komme ind men har man allerede den hvorfor ikke?

er der et system der holder styr på gæster (politiskolen i Brøndby bruger den slags) kan man være heldig at se hvem der ellers har logget ind eller de brugere der er oprettet i systemet. det sure ved den taktik er at man skal huske godt og være ekstremt hurtig da sekretæren går ud fra at man ikke har skrivehastighed som en meget gammel og meget gigtplaget skildpadde.

https://github.com/laramies/theHarvester, et værktøj som dette kan være en hjælp hvis man vil snyde sig ind. jeg taler ikke om falsk id kort (for det kræver mere end almindelig fingersnilde) men mere om at kunne nævne navne og jobfunktioner for at give illusionen af at høre til. #happyhackin'

Det er pænt misvisende overskrift, når der reelt er tale om social engineering i bedste Mitnick stil, som set da jeg var barn :-)

Jeg har utallige gange set ID-kort i selv meget store virksomheder, uden foto - det er helt til grin. Alt kan der snydes med, ingen tvivl, men vi gør det altså ret nemt og uhyre billigt at lave industrispionage. For nogle år siden i en meget omdiskuteret sag, blev en laptop med meget følsomme info, lige nappet ud af et åbent vindue hos en advokat. Første skrift er at definerer en sikkerhedspolitik, som er til at leve og arbejde med for almindelige mennesker. Er procedurerne for svære at leve med eller at huske, så bliver de overrulet eller direkte glemt

https://www.version2.dk/artikel/udenlandsk-it-sikkerhedsekspert-danskernes-blinde-tillid-til-hinanden-giver-usikre-systemer

Der er steder hvor der er styr på den slags, men det kræver at det bliver holdt i hævd i hele organisationen. Så bør folk heller ikke blive overraskede eller fornærmede hvis andre ikke vil lade dem smutte med ind. Så skal der så også være en procedure for hvad man gør hvis man har glemt sit kort, f.eks. at henvende sig i receptionen.

Hvis det er et sted der f.eks. kræver sikkerhedsgodkendelse, så vil det heller ikke være acceptabelt at en kollega som godt kan genkende dig, lukker dig ind. Du kunne jo være blevet bortvist kort forinden uden at alle havde modtaget informationen..

Men her i landet stoler vi generelt på folk og det gør da også at mange ting i dagligdagen glider noget nemmere. I 99.9% af tilfældene så er der da heller ikke noget farligt i det, så man skal opveje risikoen for hvad der kan ske kontra hvor stor belastningen er hvis man konstant skal opretholde en meget høj sikkerhedsstandard. Jeg låser f.eks. heller ikke altid min hoveddør når jeg forlader min lejlighed hvis jeg kun er væk i kort tid, f.eks. hvis jeg skal ud med skraldet. Hvis nu jeg var en offentlig person og der var nogen der holdt øje med mig så kunne de udnytte situationen og komme ind og rode i mine ting mens jeg var ude. Men da jeg ikke er en kendt politiker, skuespiller el. lign, så er det meget usandsynligt at andre end min nabo opdager hvis jeg er hjemmefra i 5 minutter, så det er en kalkuleret risiko jeg har vurderet at jeg er villig til at tage.

og er iøvrigt ikke et nyt fænomen.

https://en.wikipedia.org/wiki/Social_engineering_(security)

Hvis man mener tailgating er farlig for ens organistation , findes der glas sluser der kan forhindre det.

Det kan ikke være medarbejders ansvar alene

Tro ikke så meget det er høflighed, som det er at være bange for at stikke næsen frem og komme i en "pinlig" situation.

Jeg havde første dag på nyt job med låst dør og adgangskort, og var meget opmærksom på ikke at lukke nogen ind.

Da jeg gik op mod indgangen så jeg en mand der også gik op mod indgangen fra en anden retning. Jeg forsøgte at sætte farten ned, så han gik ind før mig, men det lykkedes ikke og jeg kom op foran døren først, med ham lige bag mig.

Jeg låste døren op og han gjorde mine til at gå med ind. Jeg stoppede ham og spurgte om han arbejdede der, og han sagde ja. Jeg kan ikke huske den præcise ordveksling, fordi det er nogle år siden, men det blev pinligt efter et kort stykke tid.

Det gjorde det ikke lettere at han var mørk i huden (RACISME!!1eleven), så han fik lov til at komme med ind.

Han arbejdede der og havde gjort det i flere år, så det var ikke et problem, men ja, dansk høflighed er en hindring for effektiv adgangskontrol.

har selv gjort lignende. tog et rengøringsjob og mødte til tiden. og fik lidt ud af det. her er outsourcing til laveste bud et kæmpe problem. udenlandske underbetalte arbejdere. behøver jeg sige mere? faren ved at bruge den form for proxy'er er at de snupper det forkerte dokument, kopierer det forkerte (xerox eller usb, same shit).

'Jek Hyde', pinned tweet:https://twitter.com/HydeNS33k/status/885896958962958337

http://jyllands-posten.dk/indland/ECE9724326/danskerne-ligger-i-bunden-i-det-europaeiske-hoeflighedshierarki/