Gæstebloggen

Blomster og USB-pinde: Sådan tester sikkerhedsfirma den fysiske sikkerhed

Et dansk firma hyrede FortConsult for at teste den fysiske sikkerhed på deres hovedkontor.

Vores konsulenter havde tre forsøg til at møde op hos virksomheden og prøve at kompromittere sikkerheden. Der var på forhånd aftalt adskillige ’trofæer’, som konsulenterne skulle forsøge at opnå – f.eks. indsætte et USB stik til en computer på firmaets interne netværket, stjæle en bærbar computer, telefon eller dokumenter, tage billeder af følsomme oplysninger, osv.

Tom Madsen er security advisor hos FordConsult. Illustration: FortConsult

Det første forsøg mislykkede. Her prøvede vores konsulent at skygge en af de ansatte (tailgating). Receptionisten blev dog hurtig mistænksom og spurgte vores konsulenter, hvem han var og hvad han ville. Konsulenten var ikke klar på denne velkomst og blev nødt til at lade som om, at han var på den forkerte etage.

Andet forsøg gik ud på, at en konsulent fra FortConsult forklædte sig som værende bud for et blomsterfirma.

Konsulenten købte en buket blomster og to flasker vin. Dette fordelte han i en kurv og vedlagde et USB-stik. Hvis USB-stikket blev tilsluttet en computer, vil det tage et screenshot og et webcambillede, som automatisk ville blive sendt til konsulenten. På computeren ville der blot komme et tomt vindue, som ville forsvinde hurtigt igen.

En ondsindet hacker ville ikke have nøjes med bare at tage et webcambillede og screenshot. USB-stikket kunne have indholdt software, der kunne tillade hackeren at tage fuld kontrol over computeren og de servere, den var tilsluttet.

Den udklædte konsulent begav sig ind i firmabygningen og blev modtaget af en sekretær. Han forklarede sekretæren, at han ikke vidste, hvem gavekurven var fra. Der lå dog en besked på USB-stikket, forklarede konsulenten. Mon ikke, der var en besked fra afsenderen på USB-stikket?

Konsulenten lod som om han havde travlt og skyndte sig at forlade bygningen. Tilbage på FortConsults kontor kunne vi kort efter konstatere, at USB-stikket blev tilsluttet receptionistens computer. I mellemtiden var receptionisten gået i panik efter hun så det tomme pop-up vindue og tilkaldte straks én af dem, der vidste noget om it.

Vi fik senere at vide, at den it-ansvarlige var løbet ud på gaden for at finde det mistænkelige blomsterbud, som dog havde nået at forsvinde.

Til det tredje og sidste forsøg skulle der tænkes kreativt, da vores succes med USB-stikket havde skræmt receptionisten og hendes kollegaer. Da konsulenterne skulle møde fysisk op, var det ikke muligt at sende de samme konsulenter og eller bruge en lignende tilgang. Derfor skulle sidste forsøg gennemtænkes og der skulle laves mere forarbejde.

Inden konsulenten mødte op hos kunden havde han googlet hvilket rengøringsselskab, der gjorde rent hos firmaet.

Han fandt navnet på rengøringsselskabet, printede navneskilt og logo og fandt endda beskrivelser på, hvordan de ansatte hos rengøringsfirmaet skulle være klædt på arbejde. Tilmed lavede han et afkrydsningsskema, med ting, som skulle tjekkes under et rengøringstjek.

Vores konsulent mødte velklædt i jakkesæt op hos firmaet og udgav sig for at være fra det rengøringsfirma, der gjorde rent i kontorbygningen. Han var kommet for at føre kontrol.

Konsulenten mødte op og fremstod som en, der havde styr på, hvad han talte om. Han havde sit afkrydsningsskema med og skulle sikre, at hans kollegaer havde gjort et godt stykke arbejde.

Konsulenten blev lukket ind uden tøven. Med et udadvendt tændt mobilkamera i sin kludelomme i jakken gik han nu rundt og afkrydsede sin liste. Konsulenten knælede flere gange ind over direktøren for firmaets siddeplads og filmede vigtige dokumenter, der lå fremme. Der var tilmed en bærbar, konsulenten ville kunne have taget med sig.

Konsulenten fik øje på et område, der var afskåret fra resten af virksomheden og kun tilgængeligt med et nøglekort og kode til et keypad. Alligevel stod sekretæren klar til at lukke ham ind i rummet, intetanende om, at konsulenten kunne filme alt inde i rummet.

Denne historie er et godt eksempel på, hvor nemt det er, at få fysisk adgang til kontorer og data heri, hvis ikke personalet er på vagt og opmærksomme.

Historien viser, at man skal være opmærksom på mange ting, når det kommer til fysisk sikkerhed. Også selvom det var lykkedes en af vores konsulenter at trænge ind i firmaet og få installeret et USB-stik 3 dage forinden, tillod firmaet at en ukendt mand, der udgav sig som værende fra et rengøringsfirma, at gå rundt og filme hele firmaet og ikke mindst det afskårede område.

Det svageste led i enhver form for sikkerhed er – desværre – den menneskelige faktor.

Kommentarer (10)
Ditlev Petersen

En gammel kollega fortalte mig om hans gamle dage. Han havde arbejdet på en edb-central (hvor?), hvor de midt om natten fik besøg af en mand med sydvest og en spand med fisk. Det var også en afprøvning af, om folk var årvågne. Det var de.

Man aner, at sikkerhedskonsulenten kunne visen om Tordenskjold.

Klaus Elmquist Nielsen

Herved gives også en opskrift på hvordan ondsindede personer kan hacke en virksomhed: blive ansat hos virksomheder der verificerer sikkerheden hos andre virksomheder.

En interessant detalje er at der blev benyttet et mobilkamera. Hvis der hermed menes et kamera på en smartphone har vi et særdeles interessant sikkerhedsbrud hvor den indhentede fortronlige information dybest set bliver publiseret til enhver ondsindet trediepart som høster informationer hos ansatte i sikkerhedsorienterede virksomheder.

Kort resume: sikkerhed er svært. Meget svært!

Thomas Jensen

Tilgiv mig hvis jeg er lidt ignorant på området sikkerhed, men hvordan får I computeren til at køre programmet på usb-stikket? Jeg har ikke brugt Windows de sidste 12 år, så jeg er lidt rusten, men er det ikke mange år siden autorun blev disabled som default? Bruger man andre teknikker, som ikke er baseret på at styresystemet opfører sig debilt, og som evt. også virker på Mac/Linux?

Troels Henriksen

Bruger man andre teknikker, som ikke er baseret på at styresystemet opfører sig debilt, og som evt. også virker på Mac/Linux?

En typisk teknik er at USB-pinden i virkeligheden opfører sig som et tastatur, og afspiller nogle præ-definerede "tastetryk" der får maskinen til at udføre den ønskede operation. Det vil virke på alle styresystemer der automatisk aktiverer tilsluttede enheder der påstår at være tastaturer. Det kan også være de gør noget mere snedigt (f.eks. ville en "USB højtaler" kunne optage al lyd der afspilles på maskinen). Det grundlæggende trick er at en USB-enheds fysiske form og dens logiske funktion på USB-bussen ikke behøver have noget med hinanden at gøre.

Der er selvfølgelig også altid muligheden for at styresystemets USB-implementering har svagheder, og at enheden bare udnytter disse.

Mikkel Mikjær

Meget underholdende indlæg, man får lidt et billede af, en elefant i en porcelænsbutik, oppe i hovedet :-)

I kan prøve at søge lidt blandt Defcon videoerne på Youtube, der er en del virkelig dygtige pentestere der fortæller om og viser hvordan de gør :-)

Per Jeppesen

Historien er god og der er noget at lære. Jeg har imidlertid hørt lignende historier i årevis, fra en sulten it-sikkerhedsbranche. Jeg synes på den ene side det har været nødvendigt for at skaffe fokus og ejerskab for it-sikkerhed helt ind i direktionen.
Men jeg synes også historierne får mere og mere karakter af at være fortænkte og fortærskede. Jeg tænker, hvis et sikkerhedsfirma har brug for at klæde sig ud med skæg og blå briller for at sælge sig selv, så er vi vel der hvor halen logrer med hunden.

Log ind eller Opret konto for at kommentere