Beheer

Security

Hacker wandelt zo bedrijven binnen

14 juni 2013

Zeventien organisaties kregen in april bezoek van een zogeheten ‘mystery guest’. Deze guest drong het pand binnen, installeerde een draadloze router en verschafte zich toegang tot het interne netwerk. Slechts één van de deelnemende bedrijven wist de indringer te ontmaskeren en de router meteen weer te ontkoppelen. “Mensen zijn goedgelovig en bovendien vaak gewoon behulpzaam,” zegt Jacco van Tuijl, één van de hackers die door LBVD is ingezet als mystery guest in de actiemaand April Awareness. “Dus maken ze een beveiligde deur voor je open als je het vriendelijk vraagt. De mens is daardoor vaak de zwakste schakel in het spectrum van de beveiliging. Bedrijven steken veel geld in de fysieke beveiliging van een gebouw en doen veel moeite om systemen te beschermen tegen ongeautoriseerde bezoekers, maar als puntje bij paaltje komt, zit er een blokje onder de deur, staat er iets voor een camera of is iemand zo vriendelijk de tourniquette-sensor te blokkeren. De zwakste schakel bepaalt het beveiligingsniveau. Je kunt wel ‘deep packet inspection’-oplossingen, VPN’s, firewalls en ‘intrusion detection’- systemen voor je server zetten, maar als je pand even toegankelijk is als een onbewaakte fietsenstalling op Centraal Station, dan hebben die beveiligingen op netwerkniveau geen enkele zin. Dan kan iemand zo die server oppakken en meenemen. Voor een goede beveiliging moet je naar de techniek, de organisatie en de medewerkers kijken. En het gaat altijd om een samenspel van die drie dingen.”

Met een roker mee naar binnen

Het viel Van Tuijl op dat organisaties die regelmatig met boze klanten of agressieve cliënten te maken hebben, scherper op indringers zijn dan organisaties waar nooit iets gebeurd. “Als een constante dreiging ontbreekt, verslapt de aandacht van de medewerkers. Bij enkele van de deelnemende organisaties waren de fysieke beveiligingsbarrières weliswaar aanwezig, maar door het eigen personeel onklaar gemaakt. Een blokje hout onder een deur met een toegangssysteem bijvoorbeeld, slagbomen die de hele dag omhoog staan en camera’s die door vrachtwagens worden geblokkeerd. De middelen waren er wel maar functioneerden op het moment van mijn bezoek niet.”

Van Tuijl loopt vaak een rondje om een gebouw dat hij binnen wil dringen en zoekt de buiten staande rokers op. “Ik vraag een vuurtje, maak een praatje en vraag of ik na het roken met hem mee naar binnen mag. Omdat ik anders helemaal om moet lopen naar de hoofdingang. Daar doet bijna niemand moeilijk over. Ik ben in het bijzijn van medewerkers ook wel onder tourniquets doorgekropen, ook daar wordt niks van gezegd. Ik ben elf keer binnengekomen via de achterdeur, de rokersingang of de goedereningang.”

Ongezien naar binnen en naar buiten

“Bij bijna alle organisaties ben in ongezien binnengekomen en ook weer ongezien vertrokken. Deuren stonden open, er werd verbouwd of verhuisd, balies waren onbemand en ik kon beveiligde gebieden inschieten achter medewerkers aan. Ik ben een keer al bellend door de voordeur gekomen, terwijl ik de receptioniste de indruk gaf dat ik met een collega van haar in gesprek was. Dan zeg ik dat ik net kom binnenlopen en wel tien minuten kan wachten tot mijn gesprekspartner klaar is met lunchen. Even later vraag ik of ik van het toilet gebruik mag maken, achterin een gang met beveiligde deuren. Eentje was niet beveiligd, daar zat de brandtrap achter. Via de brandtrap kon ik naar boven waar ik op een andere verdieping de router kon aansluiten.”

“Bij zes organisaties werd me gevraagd wat de reden van mijn aanwezigheid was en vijf keer volstond een eenvoudige smoes: ‘Onderhoud voor de printers’, bijvoorbeeld. Bij een andere organisatie werd me binnen het beveiligde gebied gevraagd: ‘Zoek u iets?’ Ik zei dat ik de weg kwijt was en speelde de vermoorde onschuld. Ik had daags voor mijn komst wel een afspraak als reguliere bezoeker gemaakt. Dus hielpen ze me het beveiligde gebied weer uit en wezen me de weg naar de plek van mijn afspraak. Daar is het uiteindelijk gelukt de router aan te sluiten.”

Het liefst zoek ik een printer op en dan zet ik de draadloze router tussen de printer en de netwerkkabel. In 70 procent van de gevallen kreeg ik meteen na het aansluiten van de router een IP-adres. Als dat niet meteen lukt, kan ik vanuit mijn auto het verkeer tussen de printer en het netwerk bekijken, en daar de IP-instellingen uit halen of zien welk MAC-adres de printer gebruikt. Dankzij de ‘man in the middle’-situatie kan ik de netwerkinstellingen vinden die ik nodig heb om de communiceren met de rest van het netwerk.”

Wat Van Tuijl ook opviel is dat niemand binnen de organisaties heeft opgemerkt dat er een vreemd device op het netwerk werd aangesloten. “Daar wordt kennelijk niet actief naar gekeken. Behalve de keer dat ik betrapt ben, kwam ik na anderhalf uur terug bij de router en zat deze nog steeds aangesloten op het netwerk. Dus er zijn geen alarmbellen afgegaan op het moment dat er een vreemde client op het netwerk kwam. Dat is wel vreemd. Gezien de aard van de organisaties had ik wel verwacht dat ze daarop zouden letten.”

Wake-up call

Een organisatie die niet herleidbaar in dit verhaal genoemd wil worden, deed mee aan April Awareness om het beveiligingsbewustzijn van het management te vergroten. Security Officer Mark Bekenkamp (gefingeerde naam) gaf LBVD de opdracht en deelde het alleen met twee van zijn directeuren. De organisatie heeft 2000 medewerkers, waarvan er 700 op het hoofdkantoor werken, waar de mystery guest op bezoek ging. Bekenkamp: “Hoewel we een bemande receptie en toegangspoortjes en deuren met paslezers hebben, kon de hacker ongezien binnenwandelen, een pc ontkoppelen en een wifi access point op het netwerk plaatsen. Vanaf de parkeerplaats (met slagboom) maakte hij contact met ons netwerk en ontving een IP-adres. Hij kon nog niet in alle systemen, maar dat is een kwestie van tijd. Het gaat mij er om dat de directie de juiste afwegingen maakt over de fysieke beveiliging, maar bijvoorbeeld ook over ‘network access control’. April Awareness heeft hier op directieniveau aandacht voor losgemaakt en daar was het me om te doen.”

Van Tuijl: “Een IT’er van een organisatie waar we met succes op het netwerk kwamen, bagatelliseerde het schadelijke effect van onze aanval. Hij zei: ‘Dan zit je op het netwerk en dan kun je nog niks.’ Als ze inderdaad netjes alle security updates gedraaid hebben, dan kunnen we nog niet veel beginnen. En als overal sterke, lange wachtwoorden zijn gebruikt, dan zijn mijn mogelijkheden beperkt. Maar in dit geval zijn de IT’ers dezelfde dag tot ‘s avonds laat bezig geweest om de security patches op de thin clients te installeren.”

Tips van Jacco van Tuijl:

  1. Ga ervan uit dat een kwaadwillende uw gebouw binnen kan dringen, ondanks slagbomen, bemande balie, toegangspoortjes, met kaartlezers beveiligde deuren en camerasystemen.
  2. Ga er vanuit dat netwerkbekabeling toegankelijk is voor kwaadwillenden. Voorkom dat vreemde apparaten verbinding kunnen maken met andere systemen in het netwerk door de implementatie van NAC (network access control, bijvoorbeeld op basis van 802.1x) en grijp in als vreemde apparaten in het netwerk worden geïntroduceerd.
  3. Laat bezoekers niet zonder begeleiding door het beveiligde gebied lopen; zeker niet als het bezoek onaangekondigd is.
  4. Zorg dat aanwezige fysieke beveiligingsmaatregelen goed kunnen functioneren: geen blokjes hout onder de deur, camera’s niet blokkeren, slagbomen en deuren sluiten.
  5. Meld vreemde gebeurtenissen, zoals vreemde telefoontjes of bezoekers aan de achterdeur, altijd bij de persoon verantwoordelijk voor de beveiliging.
  6. Breng zwakheden in kaart. Introduceer een constante dreiging om medewerkers scherp te houden, bijvoorbeeld door de organisatie periodiek aan een red team test of een bezoek van een mystery guest te onderwerpen.
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!