Video: COSIC researchers hack Tesla Model X key fob (Oktober 2024)
Hvor lang tid tager det for en angriber at bryde ind i en virksomhed? Vil du komme på virksomhedsnetværket som en godkendt bruger? Hvis du tror, det ville tage et par dage eller endda et par timer, er du måde, væk.
Prøv 20 minutter.
Det tog David Jacoby, en senior sikkerhedsforsker med det globale forsknings- og analyseteam på Kaspersky Lab, tre minutter at snige sig ind i bygningen, fire minutter at få netværksadgang, fem minutter at få godkendt adgang til netværket og ti minutter at installere en bagdør på virksomhedsnetværket. Han var i stand til at downloade og gå væk med "gigabyte data" fra virksomheden, fortalte han deltagere på sidste uges Kaspersky Lab Security Analyst-topmøde.
Jacoby blev inviteret af et selskab, der kom ind og tester dets forsvar. Det viste sig, at han ikke havde brug for nogen smarte hacks eller nul dage for at komme igennem. Det var alt sammen social engineering.
”De brugte så mange penge, og jeg kom stadig ind, ” sagde Jacoby.
At være dejlig over for halefartnerne
Virksomheden krævede, at medarbejderne skulle bruge en badge til at komme ind og forlade bygningen. Jacoby ventede på, at andre ansatte skulle gå ind, og skyndte sig bare ind efter dem. De fleste mennesker ønsker at være høflige og vil holde døren åben, hvis nogen går ind på samme tid - noget de fleste skræddere drager fordel af. Jacoby gik et skridt videre, i tilfælde af at medarbejderen tænkte at bede om at se badget. Han klædte sig lidt ud for at se lidt ledelsesmæssig ud og holdt en mobiltelefon op til øret, som om han havde en samtale med nogen. Da han gik gennem døren, sagde han, "Jeg er lige i lobbyen. Jeg vil være om et minut."
Ingen vil afbryde et telefonopkald, og hvis du giver indtryk af, at du er en vigtig afrejse for at møde nogen vigtig, stopper de fleste ikke med at stille spørgsmålstegn ved dig, sagde Jacoby.
Der er altid en hub
At komme på netværket måtte helt sikkert være lidt vanskeligere, ikke? Det viste sig, at Jacoby ikke gider at prøve at komme på trådløs virksomhed. I stedet gik han direkte til printerrummet, hvor der altid er et netværksk hub til printeren. Han tilsluttede sin bærbare computer i huben og så let som det var han på netværket.
At komme på netværket som en gyldig bruger krævede mere tale end hacking. Jacoby fandt en medarbejder, der sad ved siden af printerrummet og forklarede, at han havde problemer med netværket. Han spurgte, om han kunne låne medarbejderens computer. Da han satte sig, var medarbejderen stadig logget ind, hvilket betød, at han kunne gøre, hvad han ville på netværket.
På dette tidspunkt installerede han en bagdør på netværket, hvilket gav ham fuld kontrol. Han havde ikke længere brug for medarbejderens computer eller legitimationsoplysninger.
Hvert trin spørgsmål
Det er virkelig svært at forsvare sig mod social ingeniørarbejde, fordi det er menneskelig natur at være dejlig og hjælpsom. Vi ønsker at give mennesker fordel af tvivl og ikke antage, at alle er i stand til at forårsage skade, men det er netop denne menneskelige følelse, der får os til at mislykkes. Selvom det er vigtigt at minde brugerne gentagne gange om, at de skal logge ud, før de lader en anden bruge computeren og have tegn, der beder medarbejderne om ikke at lade folk skubbe ind på kontoret, vil folk som standard være dejlige og hjælpsomme.
Det er også vigtigt at huske, at små virksomheder ikke er immun. Faktisk kan de være endnu mere modtagelige for disse angreb, hvis medarbejderen mener, at personen er en IT-entreprenør eller elektriker.
Derfor er det så vigtigt at bruge teknologi til at sikre netværket. I stedet for kun at lade enhver enhed, der er tilsluttet huben komme på netværket, kan administratorer aktivere MAC-adressebegrænsninger, så kun kendte enheder får en gyldig IP-adresse. Efter at have fået adgang til netværket fandt Jacoby, at netværket var segmenteret forkert, så følsomme systemer var let tilgængelige. Han fandt forældet og sårbar software. Han fandt også 300 brugerkonti med adgangskoder indstillet til aldrig at udløbe. Alle disse ting gjorde hans job som angriber meget lettere.
Tænk som en angriber. Du vil blive overrasket over, hvor sårbar din organisation kan være.
