Søg

Postkassen var fuld af nøglekort, som var aktive resten af dagen: Kom med på en etisk hacker-operation

Klumme: Som etisk hacker, og en del af det, man kalder et red team, er jeg ansat til at stille de spørgsmål, som virksomheder ikke normalt gør – og nogle gange ikke kan stille. På denne opgave havde jeg ét mål: At gennembryde kundens sikkerhed.

6. oktober 2022 kl. 11.40
Artikel top billede

(Foto: Maciek / http://czarypary.com)

Tom Van de Wiele Tom Van de Wiele Principal Technology & Threat Researcher, WithSecure Danmark.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Det er fredag. Klokken er 17:00. Den eksterne konsulent har fyraften og finder sit midlertidige nøglekort frem, mens han går mod kundens it-rum ved siden af lobbyen for at aflevere sin lånte pc.

Nøglekortet smider han i en postkasse med mærkaten ”brugte nøglekort afleveres her”. Han går mod udgangen, og stopper i døråbningen for at slå paraplyen op, mens han holder døren.

“Lad mig tage døren,” lyder det fra en venlig mand, der kommer til undsætning, inden han bevæger sig ind i lobbyen.

Ansat til at være forbryder

Som etisk hacker, og en del af det, man kalder et red team, er jeg ansat til at stille de spørgsmål, som virksomheder ikke normalt gør – og nogle gange ikke kan stille – om deres evne til at forebygge, identificere og reagere på koordinerede og målrettede cyberangreb.

Her kan jeg bruge mange forskellige metoder, alt efter kundens ønske, men det er vigtigt, at testen forløber så realistisk som muligt ved at kombinere både fysiske og digitale sikkerhedsforanstaltninger, da kriminelle opererer i begge miljøer.

På denne opgave havde jeg ét mål: At gennembryde kundens sikkerhed, anskaffe mig en enhed med de nødvendige adgange, for eksempel en pc, og få adgang til det lukkede netværk fyldt med forretningskritisk data.

Kunden var en specialiseret finansiel virksomhed – et yderst attraktivt mål for økonomisk motiverede cyberkriminelle eller ondsindede konkurrenter.

Jeg sad i min bil klar til at skaffe mig adgang til kontorbygningen. Fra min rekognoscering vidste jeg, hvornår den eksterne konsulent ville forlade matriklen.

Da jeg så ham i lobbyen, nærmede jeg mig langsomt indgangen. Og i dét sekund, han stoppede op for at åbne sin paraply, vidste jeg, at jeg var inde.

Men det beviser selvfølgelig intet, at jeg kan få adgang til en kontorbygning. På en dårlig dag kan hvem som helst gå forbi receptionen i enhver virksomhed.

Jeg er nødt til at gå skridtet videre og se, hvilke muligheder, der er for en person, som decideret ønsker at omgå sikkerhedsforanstaltningerne for at forårsage alvorlig skade som led i et koordineret angreb.

Hurtigt ind, hurtigt ud

Med min taske over skulderen gik jeg hen til postkassen med brugte nøglekort.

Det var en standardmodel, som kan købes mange steder, hvilket gjorde det let at skaffe kopinøgler. Det var dog endnu lettere at åbne den med en låsepistol.

Postkassen var fuld af nøglekort, som var aktive resten af dagen. Jeg snuppede en håndfuld, tog min pc fra min taske og gik over til it-rummet.

Det første kort låste døren op.

Jeg så, at konsulenten havde efterladt sin pc tættest på døren.

Under min research havde jeg iagttaget de ansattes pc’er og undersøgt potentielle sårbarheder i enhederne.

Fra nogle af virksomhedens videoer på deres hjemmeside kunne jeg se to modeller med kendte sårbarheder.

Jeg kom konsulentens og en anden pc i min taske, gik ud af lokalet, afleverede kortene tilbage og forlod bygningen.

Derefter orienterede jeg kundens white team, som sørger for at opretholde driften under en red team operation.

Det er afgørende at holde dem informeret om, hvad der sker, hvis red team operationer skal være autentiske – og det kan ikke lykkes, hvis virksomhedens sikkerhedsansvarlige ikke er underrettet.

Operationerne handler nemlig ikke om at skabe forstyrrelser, men om samarbejde, kommunikation og uddannelse.

Adgang til netværket

Tilbage ved mit skrivebord åbnede jeg bundpladen på konsulentens pc for at finde TPM-chippen (Trusted Platform Module), der indeholder en krypteringsnøgle.

Desværre er adgangskoder ved opstart af pc’er ikke en del af de fleste virksomheders it-politik, selvom de stadig bruger fuld diskkryptering.

Det kan give en falsk følelse af sikkerhed, hvis virksomhederne ikke er opmærksomme og har tjekket deres bærbare pc’er for netop dette.

Som det er tilfældet for de fleste pc’er, kan nøglen til dekryptering af harddisken frit kommunikeres via pc’ens bundkort, hvor nøglen kan opfanges og derefter anvendes af en hacker – i dette tilfælde mig – til at dekryptere harddisken.

Til dette formål brugte jeg en Logic Sniffer, som var forbundet til BIOS-chippen (Basic Input Output System).

I de fleste moderne pc’er deler TPM- og BIOS-chippen kommunikationskanal. Logic Snifferen registrerer den aktivitet, der passerer gennem BIOS-chippen fra bundkortet, og bearbejder aktiviteten til analyse på en anden enhed.

Efter jeg lokaliserede nøglen, afbrød jeg pc’en og startede nøgledekrypteringsprocessen.

Derefter installerede jeg en bagdør, der skulle fungere som den pc, der var forbundet til kundens VPN.

Det er ofte muligt, da størstedelen af ansatte, som arbejder fra distancen, automatisk bliver forbundet.

Selv om der er slået multifaktorgodkendelse til, venter bagdøren blot på, at nogen kobler sig på virksomhedens netværk, hvorefter bagdøren underretter hackeren.

Forbindelsen gav mig adgang til netværket, og jeg havde nu tilegnet mig administratorrettigheder til pc’en. Det var tid til at lokalisere mit endelige mål.

Komfort er farligt

Jeg fandt et program, som jeg havde mistanke om, at konsulenten ville bruge.

Han havde været så venlig at gemme sin adgangskode til automatisk udfyldning. Mit indtryk var, at han kunne lide effektivitet. Derfor var der en chance for, at han genbrugte passwords – og så kunne ét password måske åbne flere døre.

Jeg kørte programmet på en anden pc for at anvende mit virtuelle setup. Da programmet læste det cachelagrede kodeord og afkodede det, satte jeg processen på pause og fastfrøs datastrømmen.

Adgangskoder skal nemlig på et tidspunkt lagres i hukommelsen i ukrypteret form. Det udnyttede jeg, da adgangskoden kom til syne i hukommelsen i den fastfrosne data.

Virksomheden havde en it-politik, som hørte hjemme i stenalderen, hvor de stadig tillod adgangskoder med otte tegn. Jeg støder desværre stadig på disse levn fra fortiden, hvor cyberkriminelle ikke havde de samme tekniske muligheder som i dag.

Efter at have gennemgået de tilgængelige programmer, loggede jeg ind i et af dem med adgangskoden. Kort tid efter fandt jeg en kommandoprompt. Nu kunne jeg bevæge mig rundt i applikationsdataene for aktive brugere og software.

48 timer senere – mission accomplished

Jeg var nu helt inde i maskinrummet i netværket og identificerede seks brugere med adgang til applikationer, der lagrede filer på steder, jeg også havde adgang til.

Dem kunne jeg misbruge ved hjælp af DLL-sideindlæsning. Det benyttede jeg til at strø hjælpeprogrammer med bagdøre ud på disse steder.

Få minutter senere kunne jeg se, at et af hjælpeprogrammerne blev benyttet af en medarbejder med adgang til målapplikationen og -dataene.

I alt sad jeg ved mit skrivebord i ca. 48 timer. Dog tog selve forberedelserne og alle andre aspekter af testen mere end to uger.

Jeg tog skærmbilleder og indsamlede alt, jeg behøvede, for at hjælpe med at foretage de nødvendige ændringer. Jeg lokaliserede de nyeste versioner af det, jeg skulle stjæle, og eksfiltrerede source code-filer, kopier af udviklingsmiljøet og nøgleaktiver.

Debriefing i læringens navn

Afslutningsvis mødtes jeg med virksomhedens sikkerhedsteam og debriefede dem for at reflektere over de indikatorer, som sikkerhedsteamet kunne have overvåget.

Jeg beskrev angrebsscenarierne, min generelle angrebstaktik og -veje, observerede forhindringer, hvordan disse blev omgået, og hvordan hvert angreb blev udført.

Derefter fulgte en analyse af de andre angreb, jeg havde forberedt, en oversigt over de data, der blev tilgået, samt hvor og hvordan data blev opbevaret sikkert, imens anonymiteten blev opretholdt.

Resultatet af en red team operation er aldrig bestået eller dumpet.

Derfor handler det ikke om, hvorvidt du kan stoppe et angreb eller ej, men om du har kontrol over og viden om det, du forsøger at beskytte – og vigtigst af alt: at du i det mindste er i stand til at opdage angrebet.

Det er første skridt i retningen mod bedre cybersikkerhed og en lavere risiko.

En red team operation skal ses som en stresstest, der er designet til at fremhæve kontrollen på tværs af virksomheden, og som kortlægger, hvor hurtigt angreb kan afværges.

Det er en enestående mulighed for at teste kritiske aktiver og effektiviteten af sikkerhedskontroller, uddannelse og forsvarsprocesser.

Det endelige mål er at sikre, at enhver hændelse blot er endnu en dag på kontoret og ikke trækker overskrifter, som får langsigtede konsekvenser.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvaret

    Projektleder og sagsbehandler til Forsvarets Vedligeholdelsestjeneste

    Midtjylland

    TD SYNNEX Denmark ApS

    Inside Sales Specialist

    Københavnsområdet

    Jyske Bank

    Udvikling af kreditrisikomodeller for erhvervskunder

    Midtjylland

    Region Midtjylland

    Løsningsarkitekt til FUT – en moderne, national sundhedsplatform

    Midtjylland

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Sikkerhed | Aarhus C

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. november 2025 ansat Nikolaj Vesterbrandt som Datateknikerelev ved netIP's afdeling i Rødekro. Han er uddannet IT-supporter ved Aabenraa Kommune og videreuddanner sig nu til Datatekniker. Nyt job

    Nikolaj Vesterbrandt

    Netip A/S

    Immeo har pr. 1. oktober 2025 ansat Michael Krogh-Schlicter som Director. Han kommer fra en stilling som Senior Vice President hos Valtech. Han er uddannet i Business Administration and Computer Science på CBS. Nyt job

    Michael Krogh-Schlicter

    Immeo

    Circle Of Bytes ApS har pr. 1. maj 2025 ansat Jeanette Kristiansen som Account Manager. Hun skal især beskæftige sig med at opbygge og styrke relationer til kunder og samarbejdspartnere, samt sikre det rette match mellem kunder og konsulenter. Nyt job

    Jeanette Kristiansen

    Circle Of Bytes ApS

    Netip A/S har pr. 1. november 2025 ansat Christian Homann som Projektleder ved netIP's kontor i Thisted. Han kommer fra en stilling som Digitaliseringschef hos EUC Nordvest. Han er uddannet med en Cand.it og har en del års erfaring med projektledelse. Nyt job

    Christian Homann

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Styrelse siger farvel til Microsoft-programmer: 15.000 ansatte skal på open source
    2 Kinesisk skærmproducent er først med skærm-revolution
    3 Overrasker i test: Lille tysk pc-producent leverer en af julens bedste billige laptops
    4 Netcompany vinder kæmpeprojekt til 800 millioner kroner
    5 Tre danske vandværker hacket på én uge: "Der bliver ført hybridkrig mod os"
    6 Stort, globalt it-konsulenthus skal spare 5,5 milliarder kroner: Nu får det konsekvenser for den danske afdeling
    7 Morgen-briefing: Chat.dk er en dansk-optimeret pendant til ChatGPT / RAM-krise send mobilpriser på himmelflugt – 25 pct. Prisstigning i sigte / Systematic henter departementchef til bestyrelsen
    8 Esbjerg-baseret it-hus har modtaget uhyre sjælden Microsoft-anerkendelse: "Man skal have historisk orden i sit penalhus"

    Se seneste uge