Gæstebloggen

Hjelme og orange veste: Sådan tester sikkerhedsfirma den fysiske sikkerhed, del 3

Vi vidste, at bygningen, som vi skulle trænge ind i, var ved at blive renoveret på en af etagerne. Vi havde observeret en meget vagtsom receptionist ved skranken på stueetagen. Vi noterede os hendes professionalisme og besluttede os for at finde en anden strategi end at prøve at snige os forbi hende.

Vi lagde mærke til, at der var nogle tomme etager i bygningen. Derfor forklædte vi os som værende fra et firma, der var på udkig efter leje af kontorplads. Vi fik vigtig information om bygningen samt nogle visitkort.

Vi var også interesserede i, hvor sikker bygningen var efter lukketid. De fortalte os, at der var en sikkerhedsvagt om aftenen, som bliver skiftet ud med en anden, når hans vagt er overstået.

Tidligere erfaring har lært os, at sikkerhedsvagter ikke altid er så påpasselige, som de bør være. Dette besluttede vi os for at prøve at udnytte. Sikkerhedsvagten kunne være vores vej ind i bygningen.

Tom Madsen, security advisor hos FortConsult. Illustration: FortConsult

Vi besluttede os for at forklæde os som byggeentreprenører. Vi havde udstyret os selv med sikkerhedsveste, sikkerhedshjelm og værktøjskasser.

Vi forklarede vagten, at vi skulle ind og afslutte noget arbejde og hente nogle dokumenter.

Da vi understregede, hvor vigtige dokumenterne var, spurgte vi, om han vidste, om de var blevet efterladt til os i skranken – det var de selvfølgelig ikke.

Ikke kun en, men to gange

Sikkerhedsvagten lod os komme ind og tjekke, om vores papirer lå på kontoret. I de få sekunder, hvor vi var inde på kontoret lagde vi mærke til, hvor sikkerhedsbevidste medarbejderne var.

De lukkede for eksempel altid døren efter sig, så tailgating var ikke en mulighed. Dette var selvfølgelig gode nyheder for vores kunde – men det gjorde vores arbejde meget sværere.

Vi kom ned til stueetagen og forklarede sikkerhedsvagten, at vi ville komme tilbage senere for at tjekke, om vores vigtige papirer var ankommet dér. Vi ville helst sikre, at de fleste (eller endda alle) medarbejdere var taget hjem, inden vi kom tilbage og forsøgte at trænge ind på kontoret igen.

Velvidende om, hvor hjælpsom sikkerhedsvagten havde været, var vi sikre på, at han ville lukke os op igen senere på aftenen. Da vi kom tilbage, var der sjovt nok stadig ikke nogen, der havde efterladt de vigtige papirer til os ved skranken.

Vi spurgte, om vi ikke måtte komme med op og tjekke én gang til. Det måtte vi gerne.

Forlod os, så vi var alene

Denne gang eskorterede sikkerhedsvagten os op til den ønskede etage. Han forklarede os, at han blev nødt til at notere os som gæster, da vi besøgte efter lukketid. Han begik dog en fejl, idet han efterlod os alene i it-afdelingen, mens han gik ud for at notere vores besøg.

Vores mission var lykkedes. Vi havde skaffet fysisk adgang til adskillige arbejdsstationer og kunne nemt have plantet overvågningsudstyr, mens vagten havde efterladt os alene på kontoret.

Faktisk var firmaet meget bevidst omkring it-sikkerhed og medarbejderne var meget opmærksomme. Tilmed havde de nogle sikkerhedstiltag og -politikker, der gjorde vores arbejde svært.

Da vi briefede kunden var vores kontaktperson meget skuffet over, at det var lykkedes os at kompromittere sikkerheden. Han var dog også glad for, at det var os, der havde fundet smutvejen, og ikke en ondsindet hacker – og fik råd til, hvordan et lignende sikkerhedsbrud kunne undgås i fremtiden.

Relateret indhold

Kommentarer (3)
Søren Koch

ja 'Social engineering' har altid været en af de største udfordringer, ikke kun mht IT-sikkerhed.

Jeg har læst om et englesk par der i 1939 tog på privat flyvetur rundt i Tyskland for at se hvor der var militære lufthavne mm.
De blev selvfølgelig samlet op og eksorteret til en komandostation og udspurgt af de tyske myndigheder der (Luftwaffe mener jeg).

I den forbindelse lykkedes det den mandlige part af holdet (begge va ansate i MI6) at kikke rundt i hele komplekset ved at lade som om han skulle tisse, men ikke ville gøre sin kvidelige medrejsende pinligt berørt. Han fik så lov til at gå på toiletet mens de interviewede hende, men han brasede ind af alle dørene og undskyldte øjeblikkeligt med at han var gået forkert og bare skulle på toilettet.

MI6 fik derved en 1' klasses beskrivelse af en Luftwaffe komandostation.....

Så den slags har altid virket i en eller anden grad, og vil formegentlig aldrig kunne forhindres helt.

Log ind eller Opret konto for at kommentere