Gæstebloggen

Grøn tusch og åbne vinduer - sådan tester sikkerhedsfirma den fysiske sikkerhed, del 2

Vores Black Team var blevet inviteret til at teste den fysiske sikkerhed hos en kunde. Målet var at få adgang til det interne netværk og følsom data ved at kompromittere den fysiske sikkerhed.

Der var hedebølge i ugen, hvor testen skulle gennemføres og bygningen, der var målet, lå i et meget aflukket område. Tilmed kendte alle ansatte hinanden meget godt. I dagstimerne var fire branddøre åbne. For én, der prøver at trænge ind i virksomheden, var der derfor mange muligheder for komme ind og stjæle ting.

Denne taktik havde dog ikke vores interesse, fordi den ikke ville afspejle et metodisk angreb og dermed teste sikkerheden ordentligt. For vores Black Team (som udfører de fysiske sikkerhedstest) er målet at forblive uopdaget i så lang tid som muligt – og helst afslutte jobbet uden at blive opdaget overhovedet.

Tom Madsen, security advisor, FortConsult. Illustration: FortConsult

Det var ikke muligt at lave længerevarende statisk overvågning i kontorets åbningstider, da man hurtigt ville blive opdaget, grundet det tætbebyggede område.

Derfor installerede vi skjulte overvågningskameraer i buske og hække rundt om parkeringshuset.

Disse kameraer kunne, sammen med viden samlet fra internettet, bekræfte, at de ansatte ikke brugte ID-kort eller nøglebånd.

Det var dog ikke muligt for os at udgive os for at være ansat i virksomheden, da de få medarbejdere kendte hindanden.

Grøn tusch og afluring

Adgang til bygningen krævede en firecifret kode, der skulle tastes på et keypad.

Alarmsystemet i bygningen var kun tændt udenfor kontortiderne – det vil sige, at når den første medarbejder mødte op, blev alarmsystemet slukket.

Vi valgte at bruge en lavteknoligisk fremgangsmåde, hvor vi markerede tastaturet med en grøn tusch inden kontorets åbningstid. Efter lukketid kom vi tilbage og aflurede de resterende tusch-markeringer.

Velvidende om, at de første medarbejdere ville få grøn tusch på deres pegefinger, er det os til den dag i dag stadig en gåde, hvorfor de ikke studsede over, at deres fingre var grønne på spidsen.

Knækkede koden på kort tid

Når man først har fundet ud af, hvilke cifre der bliver brugt i en fircifret kode, har man kun 24 mulige kombinationer. Det tog ikke lang tid for os at knække koden ved bare at prøve os frem om.

Ved hjælp af vores overvågning vidste vi, at den første medarbejder mødte på kontoret klokken 07:30 om morgenen. Den næste medarbejder ankom klokken 07:40. Vi vidste også, at den første, der ankom, ville fortsætte direkte op til første etage for at åbne alle loftsvinduer. Derudover var vi sikre på, at vinduerne blev åbnet igennem hele sommeren på grund af de høje temperaturer i lokalet.

Med denne viden begyndte vi at planlægge vores infiltration af bygningen. En konsulent skulle infiltrere bygningen og plante et digitalt fjernadgangsapparat, mens en anden konsulent skulle agere overvågning og holde øje med indgangen til bygningen, parkeringshuset og vejen. Han skulle give sin kollega løbende information om, hvad der rørte sig, og hvordan de ansatte bevægede sig rundt mens han var i bygningen.

Efterlod USB-sticks

Som forventet, ankom den første medarbejder klokken 07:30. Han gik op for at åbne vinduerne og gav os muligheden for at snige os ind i bygningen. Da vi først var inde, kunne vi plante vores apparat og forlade stedet uden at blive opdaget. Baseret på vores forarbejde, vidste vi, at vi havde et ti-minutters vindue til at plante vores apparat. Imens vinduerne blev åbnet, og konsulenten med udkigstjansen havde givet grønt lys, plantede den anden konsulent vores overvågnings-device.

I løbet af den uge, der var afsat til sikkerhedstesten, var det muligt for os at trænge ind i bygningen flere gange. Vi satte USB-stik i de stationære computere, efterlod USB-stik, som de ansatte kunne finde på at bruge og plantede andre former for overvågning på kontoret. De efterladte USB-stik kunne vi have programmeret til at gøre en masse ting, hvis de blev tilsluttet en computer.

De kunne for eksempel have taget et screenshot af computerskærmen, inficeret computeren med ransomware, installeret keyloggere eller skabt fjernadgang. Gennem hele ugen var vi i stand til at indhente vi en stor mængde fortroligt materiale og kundeinformation.

Hovedkonklusionen fra denne sikkerhedstest er, at en keypad med en firecifret kode ikke er tilstrækkelig beskyttelse, da kombinationerne er alt for få, når man først ved, hvilke tal koden indeholder.

Derudover viser historien, at den fysiske sikkerhed hos selv de mindre kontorpladser kan kompromitteres, hvis angriberen har gjort et godt stykke forarbejde og har studeret bevægelsesmønstre, mødetider, osv.

Derfor skal man være opmærksom på den fysiske sikkerhed på arbejdspladsen – uanset størrelsen af kontoret og antallet af ansatte i virksomheden.

Relateret indhold

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Jensen

På en tidligere arbejdsplads mødte jeg en morgen hvor jeg havde glemt min kode til keypad'en (det var længe siden jeg havde mødt før alle andre da jeg mest arbejder sent), men jeg kunne se de 4 cifre fordi keypad'en var snavset bortset fra de taster der var mest brugt, og jeg fandt hurtigt den rigtige kombination - det er jo ikke særligt sandsynligt at man skal alle muligheder igennem.

Jeg bad selvfølgelig rengøringen om også at tørre keypad'en af fremover, men den bedste løsning er nok den hvor hver medarbejder har sin egen kode. Det vil gøre metoden med tusch'en en del sværere at benytte.

Thomas Vedel

Hvis det er en firecifret kode, og du ved hvilke fire cifre der skal bruges, er der 4 x 3 x 2 x 1 kombinationsmuligheder (4 til første tast, 3 til anden tast, 2 til tredje og 1 til fjerde).

De 4^4 kombinationsmuligheder gælder hvis samme tast må bruges flere gange, men det er jo ikke muligt, hvis du kan se at der er brugt fire taster, og koden er på fire cifre.

Ditlev Petersen

Det er mennesker, der laver koderne. Og mange mennesker tror, at en talkode er bedst, hvis den ikke genbruger nogle cifre. Så det bliver 4 x 3 x 2 x 1, da "udvalget" bliver mindre hele tiden.

Der er en smule fornuft i det. Jeg kender en bygning i Århus, hvor tastaturets 5-tast er slidt blank, de andre har aldrig været rørt. Det er ikke min arbejdsplads, og tastaturet sidder bag en nøglebetjent port, men alligevel.

Anton Tarabykin

Der er faktisk en del sikkerhedsansvarlige, der netop bestiller lignende tests for at overbevise ledelsen om at investere mere i it-sikkerhed. Men det er en relevant angrebsvinkel at få testet - for hvis det er den nemmeste vej ind i virksomheden, så har man godt af at få nogle konkrete råd til forbedringer.

Anders Lorensen

Havde det ikke været nemmere at bruge et infrarødt kamera og taget et billede et minuts tid efter den første person gik ind. - Afhængig af tastetypen (gummi/metal) kan du have op til 2 minutter hvor du kan tage et infrarødt billede og se pin koden.

Log ind eller Opret konto for at kommentere