Kreativ pen-tester: At få alle computere i en virksomhed til at spille Rick Astley er priceless

Illustration: Virrage Images/Bigstock
Deloittes Red Team tester virksomheders sikkerhed ved at bryde den. Det er endnu ikke mislykkedes, fortæller seniorkonsulent Morten von Seelen.

Infosecurity, København. Sidste gang Deloittes såkaldte Red Team trængte ind i en virksomheds it-system, lå seniorkonsulent Morten von Seelen seks timer i en kold bil og ventede på, at dørene til vareindleveringen gik op.

Og dermed på muligheden for at komme ind i virksomheden med en USB-pind med ondsindet software.

Red Team er Deloittes angrebshold. Og holdets fremgangsmåder er langtfra begrænset til at scanne et netværk, fortæller Morten von Seelen ved dette års Infosecurity-konference, der i denne uge finder sted i Øksnehallen i København.

Læs også: DR sendte falsk phishingmail til 3.000 ansatte: 1.406 gik i fælden

»Vi skal ikke bare undersøge firewallen. Vi skal se, om vi kan komme ind i de ansattes biler og kopiere deres nøglekort,« fortæller Morten von Seelen og fortsætter:

»Vi har arbejdet med store pharma-virksomheder og Nato-samarbejdspartnere. Og hver gang er vi kommet ind. Den eneste forskel er, hvor lang tid det tager.«

LinkedIn og jobopslag

Formålet er at udnytte alle de beskidte tricks, som potentielle cyberkriminelle kunne finde på at bruge. Og komme så tæt som muligt på en test af, hvordan virksomheden og særlig it-afdelingen responderer på et cyberangreb.

Derfor ved it-afdelingen heller ikke, at testen udføres. Til gengæld kan it-afdelingen allerede i rekognosceringsfasen give hackerne en fod indenfor, fortæller Morten von Seelen.

Læs også: Pen-tester efter fund af gigahul i Azure: Kunne opnå root-adgang til virtuelle Red Hat-instanser

»Jeg elsker LinkedIn. En it-medarbejder på LinkedIn fortæller ofte alle, hvilken firewall han arbejder med.«

En anden kilde til information er jobopslag, hvor man ofte kan læse alt om, hvilke systemer en virksomhed anvender, når de leder efter it-folk.

Gmail-konto

Den første infektion kan ende med at komme i form af en velformuleret spearphishing-mail, der f.eks. linker til information om firmaets sommerfest. Herfra etablerer Red Team en bagdør.

»Når vi har adgangen, lader vi der gå noget tid og holder lav profil,« fortæller Morten von Seelen.

Læs også: Cyberkriminelle brugte Yahoo! Answers til at styre malware

»Så forsøger vi at finde frem til, hvilke brugere der er domain admins, og hvor de sidder. Vi overvejer, hvem der er det svageste mål, hvad vi ved om dem, og så sender vi en phishingbesked.«

Når adgangen er udvidet, bevæger hackerne sig sidelæns gennem systemet – evt. ved at bruge en fælles Gmail-konto som command & control-server. En teknik, der ifølge Morten von Seelen er meget svær at opdage for firewallen.

Rick-rolling

Fordi it-afdelingen ikke må kende til testen, er det typisk en CEO eller en CFO, der hyrer Red Team ind. Og aftaler de ’flag’, som hackerne skal samle – f.eks. ved at tage screenshots i et økonomisystem.

»Eller oprette en domain admin, der hedder Hakuna Matata. Noget, der viser, at vi har været inde,« fortæller Morten von Seelen.

Læs også: Svenskere whitehat-hacker 15.000 dollars til velgørenhed

Når flagene er samlet, og Red Team i en måned har dumpet og streamet data uden at blive opdaget, skruer hackerne op for larmen. F.eks. ved at få samtlige computere i virksomheden til at spille Rick Astleys klassiker ’Never Gonna Give You Up’.

»Så tænder vi for webcam’et hos supporterten, der sidder og modtager opkaldene fra brugerne. Det er priceless,« siger Morten von Seelen.

På det tidspunkt er der somme tider nogen, der går i panik. Men hackerne når for det meste at orientere it-afdelingen, inden de ringer til politiet, fortæller Morten von Seelen.

Pineapple i en spand

Herfra begynder en intens jagt på at få smidt hackerne ud af systemet. Det ender ofte med noget, der ligner en teambuildingøvelse, hvor it-medarbejderne arbejder ud på natten.

»Nogle gange tror de, de har smidt os ud. Og så har de ikke opdaget, at vi har en wifi-Pineapple med et bilbatteri stående i en spand oven på serverskabet,« fortæller Morten von Seelen.

Læs også: Sikkerhedseksperten Bruce Wynn: Sådan opretter du 250 falske WiFi-netværk på sekunder

Hele affæren ender i mindelighed med en snak med it-afdelingen om, hvordan de kunne have opdaget hackerne før. For eksempel ved at reagere på mistænkelige opkald til marketingafdelingen eller bedre samkøre logdata fra forskellige datterselskaber.

Og der slutter det farverige hacker-arbejde, påpeger Morten von Seelen:

»Så kommer det kedelige rapportarbejde.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mathias Hagensen

Jeg fik lov til at kigge en pen-tester over skulderen og jobbet virker primært super kedeligt, men med et sjovt payoff. Det er noget med at sætte 1000-vis af automatiserede processer igang og holde øje med det.

Når man så er kommet ind, kan man lave noget gøjl, men det ændrer ikke på at du har siddet og kigget på en masse log-filer / rapporter i lang tid.

  • 1
  • 0
Kristian Christensen

Jeg har selv haft fornøjelsen af at høre deres foredrag med Morten på messen. Det giver god mening at du først er stille og så skruer op for larmen når du er dybt inde. Det handler også om at se dels hvordan it afdelingen tager set. Hvilke procedurer de har og om de bliver fulgt. Men også for at se h or meget larm der skal til før det bliver opdaget.

  • 2
  • 1
Carsten Gehling

Det giver ingen mening at de forstyrre brugerne , det koster forretningen penge

Det giver faktisk rigtig god mening. IT sikkerhed foregår jo ikke kun i IT-afdelingen men i hele virksomheden. Og hvis du er en "menig medarbejder" så vil en personlig oplevelse af, at andre har overtaget din PC nok gøre større indtryk og få dig til at tænke mere over at praktisere sikre procedurer, end hvis du bare har fået et memo fra IT-afdelingen.

/C

  • 4
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize