Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Det er fredag. Klokken er 17:00. Den eksterne konsulent har fyraften og finder sit midlertidige nøglekort frem, mens han går mod kundens it-rum ved siden af lobbyen for at aflevere sin lånte pc.
Nøglekortet smider han i en postkasse med mærkaten ”brugte nøglekort afleveres her”. Han går mod udgangen, og stopper i døråbningen for at slå paraplyen op, mens han holder døren.
“Lad mig tage døren,” lyder det fra en venlig mand, der kommer til undsætning, inden han bevæger sig ind i lobbyen.
Ansat til at være forbryder
Som etisk hacker, og en del af det, man kalder et red team, er jeg ansat til at stille de spørgsmål, som virksomheder ikke normalt gør – og nogle gange ikke kan stille – om deres evne til at forebygge, identificere og reagere på koordinerede og målrettede cyberangreb.
Her kan jeg bruge mange forskellige metoder, alt efter kundens ønske, men det er vigtigt, at testen forløber så realistisk som muligt ved at kombinere både fysiske og digitale sikkerhedsforanstaltninger, da kriminelle opererer i begge miljøer.
På denne opgave havde jeg ét mål: At gennembryde kundens sikkerhed, anskaffe mig en enhed med de nødvendige adgange, for eksempel en pc, og få adgang til det lukkede netværk fyldt med forretningskritisk data.
Kunden var en specialiseret finansiel virksomhed – et yderst attraktivt mål for økonomisk motiverede cyberkriminelle eller ondsindede konkurrenter.
Jeg sad i min bil klar til at skaffe mig adgang til kontorbygningen. Fra min rekognoscering vidste jeg, hvornår den eksterne konsulent ville forlade matriklen.
Da jeg så ham i lobbyen, nærmede jeg mig langsomt indgangen. Og i dét sekund, han stoppede op for at åbne sin paraply, vidste jeg, at jeg var inde.
Men det beviser selvfølgelig intet, at jeg kan få adgang til en kontorbygning. På en dårlig dag kan hvem som helst gå forbi receptionen i enhver virksomhed.
Jeg er nødt til at gå skridtet videre og se, hvilke muligheder, der er for en person, som decideret ønsker at omgå sikkerhedsforanstaltningerne for at forårsage alvorlig skade som led i et koordineret angreb.
Hurtigt ind, hurtigt ud
Med min taske over skulderen gik jeg hen til postkassen med brugte nøglekort.
Det var en standardmodel, som kan købes mange steder, hvilket gjorde det let at skaffe kopinøgler. Det var dog endnu lettere at åbne den med en låsepistol.
Postkassen var fuld af nøglekort, som var aktive resten af dagen. Jeg snuppede en håndfuld, tog min pc fra min taske og gik over til it-rummet.
Det første kort låste døren op.
Jeg så, at konsulenten havde efterladt sin pc tættest på døren.
Under min research havde jeg iagttaget de ansattes pc’er og undersøgt potentielle sårbarheder i enhederne.
Fra nogle af virksomhedens videoer på deres hjemmeside kunne jeg se to modeller med kendte sårbarheder.
Jeg kom konsulentens og en anden pc i min taske, gik ud af lokalet, afleverede kortene tilbage og forlod bygningen.
Derefter orienterede jeg kundens white team, som sørger for at opretholde driften under en red team operation.
Det er afgørende at holde dem informeret om, hvad der sker, hvis red team operationer skal være autentiske – og det kan ikke lykkes, hvis virksomhedens sikkerhedsansvarlige ikke er underrettet.
Operationerne handler nemlig ikke om at skabe forstyrrelser, men om samarbejde, kommunikation og uddannelse.
Adgang til netværket
Tilbage ved mit skrivebord åbnede jeg bundpladen på konsulentens pc for at finde TPM-chippen (Trusted Platform Module), der indeholder en krypteringsnøgle.
Desværre er adgangskoder ved opstart af pc’er ikke en del af de fleste virksomheders it-politik, selvom de stadig bruger fuld diskkryptering.
Det kan give en falsk følelse af sikkerhed, hvis virksomhederne ikke er opmærksomme og har tjekket deres bærbare pc’er for netop dette.
Som det er tilfældet for de fleste pc’er, kan nøglen til dekryptering af harddisken frit kommunikeres via pc’ens bundkort, hvor nøglen kan opfanges og derefter anvendes af en hacker – i dette tilfælde mig – til at dekryptere harddisken.
Til dette formål brugte jeg en Logic Sniffer, som var forbundet til BIOS-chippen (Basic Input Output System).
I de fleste moderne pc’er deler TPM- og BIOS-chippen kommunikationskanal. Logic Snifferen registrerer den aktivitet, der passerer gennem BIOS-chippen fra bundkortet, og bearbejder aktiviteten til analyse på en anden enhed.
Efter jeg lokaliserede nøglen, afbrød jeg pc’en og startede nøgledekrypteringsprocessen.
Derefter installerede jeg en bagdør, der skulle fungere som den pc, der var forbundet til kundens VPN.
Det er ofte muligt, da størstedelen af ansatte, som arbejder fra distancen, automatisk bliver forbundet.
Selv om der er slået multifaktorgodkendelse til, venter bagdøren blot på, at nogen kobler sig på virksomhedens netværk, hvorefter bagdøren underretter hackeren.
Forbindelsen gav mig adgang til netværket, og jeg havde nu tilegnet mig administratorrettigheder til pc’en. Det var tid til at lokalisere mit endelige mål.
Komfort er farligt
Jeg fandt et program, som jeg havde mistanke om, at konsulenten ville bruge.
Han havde været så venlig at gemme sin adgangskode til automatisk udfyldning. Mit indtryk var, at han kunne lide effektivitet. Derfor var der en chance for, at han genbrugte passwords – og så kunne ét password måske åbne flere døre.
Jeg kørte programmet på en anden pc for at anvende mit virtuelle setup. Da programmet læste det cachelagrede kodeord og afkodede det, satte jeg processen på pause og fastfrøs datastrømmen.
Adgangskoder skal nemlig på et tidspunkt lagres i hukommelsen i ukrypteret form. Det udnyttede jeg, da adgangskoden kom til syne i hukommelsen i den fastfrosne data.
Virksomheden havde en it-politik, som hørte hjemme i stenalderen, hvor de stadig tillod adgangskoder med otte tegn. Jeg støder desværre stadig på disse levn fra fortiden, hvor cyberkriminelle ikke havde de samme tekniske muligheder som i dag.
Efter at have gennemgået de tilgængelige programmer, loggede jeg ind i et af dem med adgangskoden. Kort tid efter fandt jeg en kommandoprompt. Nu kunne jeg bevæge mig rundt i applikationsdataene for aktive brugere og software.
48 timer senere – mission accomplished
Jeg var nu helt inde i maskinrummet i netværket og identificerede seks brugere med adgang til applikationer, der lagrede filer på steder, jeg også havde adgang til.
Dem kunne jeg misbruge ved hjælp af DLL-sideindlæsning. Det benyttede jeg til at strø hjælpeprogrammer med bagdøre ud på disse steder.
Få minutter senere kunne jeg se, at et af hjælpeprogrammerne blev benyttet af en medarbejder med adgang til målapplikationen og -dataene.
I alt sad jeg ved mit skrivebord i ca. 48 timer. Dog tog selve forberedelserne og alle andre aspekter af testen mere end to uger.
Jeg tog skærmbilleder og indsamlede alt, jeg behøvede, for at hjælpe med at foretage de nødvendige ændringer. Jeg lokaliserede de nyeste versioner af det, jeg skulle stjæle, og eksfiltrerede source code-filer, kopier af udviklingsmiljøet og nøgleaktiver.
Debriefing i læringens navn
Afslutningsvis mødtes jeg med virksomhedens sikkerhedsteam og debriefede dem for at reflektere over de indikatorer, som sikkerhedsteamet kunne have overvåget.
Jeg beskrev angrebsscenarierne, min generelle angrebstaktik og -veje, observerede forhindringer, hvordan disse blev omgået, og hvordan hvert angreb blev udført.
Derefter fulgte en analyse af de andre angreb, jeg havde forberedt, en oversigt over de data, der blev tilgået, samt hvor og hvordan data blev opbevaret sikkert, imens anonymiteten blev opretholdt.
Resultatet af en red team operation er aldrig bestået eller dumpet.
Derfor handler det ikke om, hvorvidt du kan stoppe et angreb eller ej, men om du har kontrol over og viden om det, du forsøger at beskytte – og vigtigst af alt: at du i det mindste er i stand til at opdage angrebet.
Det er første skridt i retningen mod bedre cybersikkerhed og en lavere risiko.
En red team operation skal ses som en stresstest, der er designet til at fremhæve kontrollen på tværs af virksomheden, og som kortlægger, hvor hurtigt angreb kan afværges.
Det er en enestående mulighed for at teste kritiske aktiver og effektiviteten af sikkerhedskontroller, uddannelse og forsvarsprocesser.
Det endelige mål er at sikre, at enhver hændelse blot er endnu en dag på kontoret og ikke trækker overskrifter, som får langsigtede konsekvenser.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.