Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Alt om DATA har sat it-sikkerhedseksperten David Jacoby stævne for at få ham til at fortælle lidt om dagens og navnlig morgendagens trusselbillede. Som medierne altid gør i jagten på en god sensationshistorie. Men David Jacoby bider ikke på. Han vil hellere snakke om alt det, vi endnu ikke har styr på og kritiserer i samme vending sig selv, sin egen virksomhed og hele sikkerhedsbranchen.
“På mange måder har vi fejlet, fordi vi ofte fokuserer på alt det, der er nyt og sexet indenfor it-sikkerhedsverdenen, og glemmer alt det, der er så basalt, at det er forsvundet fra radaren,” siger David Jacoby.
Det var samme erkendelse, der for nylig fik ham til at foretage en række sikkerhedstests – eller snarere eksperimenter i Sverige for at tage temperaturen på, om både svenske virksomheder og offentlige organisationer nu også havde styr på andre facetter af it-sikkerhed end kun nye buzz-ord.
“I den første test besøgte jeg seks offentlige institutioner, tre hoteller og to private virksomheder med en USB-pen i lommen. Idéen var at komme ind i et jakkesæt og fortælle, at jeg var på vej til et møde, at jeg havde glemt alle mine papirer, og om de ikke ville hjælpe med at printe dem ud fra min medbragte USB-pen,” forklarer David Jacoby.
“Først besøgte jeg hotellerne. Alle tre receptionister på hotellerne var meget hjælpsomme. Hos to af dem tog de faktisk også USB-pennen med hen til deres computer og forsøgte at printe papirerne. Men den it-ansvarlige havde blokeret for muligheden for bare at putte en USB-pen ind, så det kunne ikke lade sig gøre.
På det sidste hotel sagde receptionisten, at hun desværre ikke kunne hjælpe mig, men henviste mig til en computer, de havde stående fremme til fri afbenyttelse. Men hun tilbød mig at sende hende papirerne i en e-mail, og så skulle hun nok printe. Vi ved selvfølgelig, hvor farligt det er at åbne vedhæftede filer fra ukendte personer, men jeg vil stadig give point til receptionisten for ikke bare at putte USB-pennen i sin computer,” siger David Jacoby.
Hotellerne bestod testen
“Min konklusion på hotellerne var faktisk, at de bestod testen. Deres sikkerhedsniveau var ok,” siger David Jacoby og tilføjer dog, at han via den fritstående computer faktisk kunne have skaffet sig adgang til hele hotellets corporate-netværk, hvilket for en professionel hacker kunne have været interessant.
David Jacobys næste besøg gik til de seks offentlige institutioner, hvor fire ud af seks hjalp ham med at printe hans papirer. De to sidste ville gerne, men deres USB-porte blev blokeret, da de forsøgte.
“Når det kommer til offentlige institutioner, så er de jo som oftest åbne for offentligheden, så netop derfor skal de være ekstra påpasselige med, hvem der får adgang til deres systemer. I det her tilfælde, synes jeg, at fire ud af seks er for meget. Det burde ikke kunne lade sig gøre, at så mange printer papirer for en vildt fremmed fra en USB-pen.”
Endelig nåede han kun at besøge to virksomheder med sin USB-pen. Her blev han mødt af sikkerhedsvagter ved indgangen. Alligevel lykkedes det ham at få printet sine pairer hos den ene af de to virksomheder – den anden afviste hans ønske.
Må jeg hacke din organisation?
I en af David Jacobys andre tests besluttede han sig for at gå lidt mere alvorligt til værks.
“Der var for mange hvis’er i det første eksperiment. Bare fordi jeg havde fået lov til at sætte en USB-pen i en computer, havde det jo ikke nødvendigvis betydet, at virksomhederne eller organisationerne var blevet inficeret med noget.
De kunne jo have haft sikkerhedssoftware installeret, som ville have gjort, at mit angreb fejlede. Derfor ringede jeg til en it-direktør, jeg kender, i en stor offentlig organisation og spurgte pænt, om jeg ikke måtte hacke hans organisation. Jeg lovede selvfølgelig at lade være med at gøre noget skadeligt; jeg ville bare bevise over for ham, at det kunne lade sig gøre. Det sagde han ja til.
Med udsigten til, at han fik en gratis test og efterfølgende kunne fikse problemet, hvis det viste sig, at der var et,” siger David Jacoby og forklarer, at han indledningsvis opstillede fem mål for testen:
“For det første skulle jeg omgå den fysiske sikkerhed; dvs. komme ind, uden at der var nogen, der stillede spørgsmål. For det andet skulle jeg opnå adgang til organisationens corporate-netværk. For det tredje skulle jeg opnå authenticated access til netværket; dvs. at jeg skulle kunne logge mig ind som en bruger.
For det fjerde skulle jeg stjæle personfølsomme oplysninger. Og for det femte skulle jeg oprette en backdoor, så jeg fremover også ville kunne opnå adgang til netværket.”
Fuld adgang på 30 minutter
Forud for forsøget kontaktede David Jacoby Martine Jartelius fra den svenske virksomhed Outpost24, så de kunne være to om at gennemføre testen.
“Vi ankom til stedet og gik bare direkte ind i bygningen. Sådan er det som nævnt tidligere i mange offentlige organisationer, men man skal tænke på, at i denne organisation håndterer de altså kritisk infrastruktur i hele regionen, og i et worst case-scenarie kunne kriminelle opnå adgang til sådan noget som strøm og varme og simpelthen slukke for alt, hvis de fik kontrol over netværket” fortæller David Jacoby.
“Det tog tre minutter at komme ind i bygningen. Så var mål nummer et nået.”
“Da vi kom ind, var det første, vi så, et printerlokale. Der gik vi hen. Bag en af printerne var der en netværks-switch. Via den etablerede vi hurtigt en backdoor til corporate-netværket via en lille Raspberry Pi-computer, jeg havde med. En Raspberry Pi er en meget simpel, lille computer, der kører det operativsystem, du vil, og så kan man købe ekstra hardware til den. Så var det mål også nået.
Men så skulle vi have authenticated access. Det var straks sværere. For hvordan får man det uden at tiltrække sig folks eller systemets opmærksomhed? Vi blev enige om, at vi bare ville spørge nogen, om vi ikke måtte låne deres computer for et øjeblik.
Så mens jeg blev siddende i printerlokalet og arbejdede med min Raspberry Pi, gik min forsøgskollega ind ved siden af, bankede på, fortalte, at han var ny i it-afdelingen, og at han meget gerne ville låne en computer i fem minutter for at fikse et problem på netværket.
Så kørte den flinke dame i lokalet sin kontorstol tilbage og gav ham adgang. Så let var det. Vi var ikke mistænkelige eller gjorde noget vanvittigt; vi spurgte bare pænt om lov. For at bevise over for it-direktøren, at vi havde opnået authenticated access, besøgte vi et bestemt website, som vi havde kontrollen over og downloadede en harmløs fil,” fortæller David Jacoby.
Som det sidste led i testen skulle David Jacoby forsøge at stjæle følsomme data.
“Vi havde ikke nogen plan for, hvordan vi ville gøre det, så vi gik bare fra etage til etage og kiggede os omkring, indtil vi endte øverst oppe. Der fandt vi et rum med en computer, der så lidt underlig ud. Det viste sig at være en kæmpe scanner.
Det var arkivrummet, hvor organisationen opbevarede alle sine dokumenter. Det var perfekt. Det var lige præcis det rum, man ville bryde ind i, hvis man ville stjæle en masse information. Der var ikke nogle mennesker i rummet, maskinen var ulåst, og den var forbundet til corporate-netværket.
Det var den scanner, man brugte, når et dokument skulle lagres et eller andet sted i en database. Det vil sige, at den indeholdt alle dokumenter, som nogensinde var scannet såsom de ansattes kontrakter, lønoversigter osv.
Altså personfølsomme oplysninger. Efter det ringede jeg til it-direktøren og sagde: “Vi er færdige. Vi har adgang til det hele, og det tog kun 30 minutter.” Han var selvfølgelig overrasket over, at det var så nemt,” fortæller David Jacoby og konkluderer på det lille sikkerhedseksperiment.
“It-direktøren fortalte, at han havde investeret i alle mulige former for netværkssikkerhed, antivirus osv. Men det her var en social engineering-test, og der hjælper software dig ikke. Det beviser bare min pointe om, at man ikke kun skal løbe efter al den nye teknologi, som sådan nogle som mig ofte snakker om. Man skal også huske den basale sikkerhed, for det udgør en mindst ligeså stor risiko.”
