Sådan bryder du ind i chefens mailbox

Jeg er ikke helt ren i kanten. Jeg sender opdigtede læserbreve til landsdækkende medier, og jeg har brudt ind i store virksomheders it-systemer og stjålet sensitive informationer. Det sidste var faktisk lige så nemt, som det første. Det handler om, at vi alle er temmelig godtroende. Vi ønsker at tro det bedste om folk, og det er der altid nogen, der udnytter. Læs her og lær.

Dette er den sande beretning om et vellykket indbrud, jeg har begået - mod betaling!

Det er en råkold morgen. Klokken er 8.30, og medarbejderne i myldrer ind gennem hovedindgangen på den store virksomhed. Jeg glider med strømmen og kommer uden problemer gennem receptionen. Det kaldes ‘tail-gating', og det kan lade sig gøre i de fleste virksomheder, hvis man er fræk nok. Og det er jeg.

Vel inde finder jeg et mødelokale med en telefon. Jeg begynder at ringe tilfældige 4- og 5-cifrede numre, og efter et stykke tid er der bingo.

"Det er Bente Jensen", "Davs Bente - det er Brian fra it-supporten. Har du tændt for din pc?" Bente svarer, at det har hun, hvorefter jeg fortæller, at der er et problem med hendes maskine. Den sender støj ud på nettet, og det skal vi have ordnet i en fart. Hun skal slukke sin maskine og give mig sit brugernavn og password. "Så ordner vi resten herfra og ringer tilbage, når du kan logge på igen".

Således udrustet med et gyldigt brugernavn og password går jeg på jagt efter en pc. Jeg finder et forladt enkeltmandskontor med en tændt pc. Jeg stikker hovedet ind på nabokontoret.

"Ved du, hvornår Jens Andersen er tilbage?" Navnet stod på døren, og nu får jeg at vide, at Jens først er tilbage om en times tid." "Det var sgu underligt, han har bedt mig komme nu." Herefter får jeg tilbudt en kop kaffe og får lov til at vente på hans kontor.

Nu er er der fri adgang til netværket og en god time til at finde, hvad jeg skal bruge. Jeg har heldet med mig. Det viser sig, at Jens stadig er logget på, uden screensaver, så jeg kan bruge hans logon. Nu er jeg inde og kan via intranettet finde de personer, der må have adgang til de interessante systemer. Jeg gentager succesen som Brian fra it, og efter 15 minutter er jeg inde i det mest følsomme system.

Tænk dig om
Eksemplet er ikke opdigtet, men jeg må med det samme tilstå, at jeg fik min betaling af virksomheden selv.

Efterfølgende kunne historien bruges til at vise de ansatte, at det svageste led i forhold til it-sikkerhed ofte er medarbejderne selv. Nej, man skal ikke udlevere sit password over telefonen. Nej, man skal ikke efterlade en pc åben uden passwordbeskyttelse. Social Engineering er den største it-sikkerhedstrussel i langt de fleste virksomheder.

Tilbage til løftet i overskriften:Chefens mailbox. Det er også nemt, og der er mange muligheder. Du behøver kun to minutter alene med hans eller hendes pc, så kan du installere en af de keyloggere, der kan downloades over nettet. Herefter kan du få kontrol med maskinen.

Det er nemt, ligeså nemt som at bryde ind i chefens skrivebordsskuffe. Du kan blive opdaget, ligesom du kan blive opdaget, hvis du stjæler i supermarkedet eller snyder i skat. It-kriminalitet er kriminalitet.

Du skal lade være med at gøre det, fordi det er forkert.

Du skal lade være med at være godtroende for at undgå at blive udsat for det. Sikkerhedsbranchen kan hjælpe et stykke, og du skal selvfølgelig have antivirus på din maskine, men først og fremmest skal du skelne mellem tillid og godtroenhed.


Henrik Zangenberg er selvstændig it-strategisk konsulent.

Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.