Artikel top billede

(Foto: Torben Klint)

Sådan bryder du ind i chefens mailbox

Klumme: Du skal ikke gøre det, for det er forkert. Du skal til gengæld lære at skelne mellem tillid og godtroenhed.

Jeg er ikke helt ren i kanten. Jeg sender opdigtede læserbreve til landsdækkende medier, og jeg har brudt ind i store virksomheders it-systemer og stjålet sensitive informationer. Det sidste var faktisk lige så nemt, som det første. Det handler om, at vi alle er temmelig godtroende. Vi ønsker at tro det bedste om folk, og det er der altid nogen, der udnytter. Læs her og lær.

Dette er den sande beretning om et vellykket indbrud, jeg har begået - mod betaling!

Det er en råkold morgen. Klokken er 8.30, og medarbejderne i myldrer ind gennem hovedindgangen på den store virksomhed. Jeg glider med strømmen og kommer uden problemer gennem receptionen. Det kaldes ‘tail-gating', og det kan lade sig gøre i de fleste virksomheder, hvis man er fræk nok. Og det er jeg.

Vel inde finder jeg et mødelokale med en telefon. Jeg begynder at ringe tilfældige 4- og 5-cifrede numre, og efter et stykke tid er der bingo.

"Det er Bente Jensen", "Davs Bente - det er Brian fra it-supporten. Har du tændt for din pc?" Bente svarer, at det har hun, hvorefter jeg fortæller, at der er et problem med hendes maskine. Den sender støj ud på nettet, og det skal vi have ordnet i en fart. Hun skal slukke sin maskine og give mig sit brugernavn og password. "Så ordner vi resten herfra og ringer tilbage, når du kan logge på igen".

Således udrustet med et gyldigt brugernavn og password går jeg på jagt efter en pc. Jeg finder et forladt enkeltmandskontor med en tændt pc. Jeg stikker hovedet ind på nabokontoret.

"Ved du, hvornår Jens Andersen er tilbage?" Navnet stod på døren, og nu får jeg at vide, at Jens først er tilbage om en times tid." "Det var sgu underligt, han har bedt mig komme nu." Herefter får jeg tilbudt en kop kaffe og får lov til at vente på hans kontor.

Nu er er der fri adgang til netværket og en god time til at finde, hvad jeg skal bruge. Jeg har heldet med mig. Det viser sig, at Jens stadig er logget på, uden screensaver, så jeg kan bruge hans logon. Nu er jeg inde og kan via intranettet finde de personer, der må have adgang til de interessante systemer. Jeg gentager succesen som Brian fra it, og efter 15 minutter er jeg inde i det mest følsomme system.

Tænk dig om

Eksemplet er ikke opdigtet, men jeg må med det samme tilstå, at jeg fik min betaling af virksomheden selv.

Efterfølgende kunne historien bruges til at vise de ansatte, at det svageste led i forhold til it-sikkerhed ofte er medarbejderne selv. Nej, man skal ikke udlevere sit password over telefonen. Nej, man skal ikke efterlade en pc åben uden passwordbeskyttelse. Social Engineering er den største it-sikkerhedstrussel i langt de fleste virksomheder.

Tilbage til løftet i overskriften:Chefens mailbox. Det er også nemt, og der er mange muligheder. Du behøver kun to minutter alene med hans eller hendes pc, så kan du installere en af de keyloggere, der kan downloades over nettet. Herefter kan du få kontrol med maskinen.

Det er nemt, ligeså nemt som at bryde ind i chefens skrivebordsskuffe. Du kan blive opdaget, ligesom du kan blive opdaget, hvis du stjæler i supermarkedet eller snyder i skat. It-kriminalitet er kriminalitet.

Du skal lade være med at gøre det, fordi det er forkert.

Du skal lade være med at være godtroende for at undgå at blive udsat for det. Sikkerhedsbranchen kan hjælpe et stykke, og du skal selvfølgelig have antivirus på din maskine, men først og fremmest skal du skelne mellem tillid og godtroenhed.

Henrik Zangenberg er selvstændig it-strategisk konsulent.

Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere