Hétpecsét Információbiztonsági Egyesület

Rafinált bűnözői trükkök

Semmi sem bizonyítja ezt jobban, mint Tim Roberts, a Solutionary cég biztonsági tanácsadójának esete, akit nemrégiben azzal bíztak meg, hogy a védelmi rendszer hatékonyságának tesztelése érdekében próbáljon meg behatolni egy vállalat épületeibe és informatikai hálózataiba. A szakember pontosan azokat a trükköket alkalmazta, méghozzá sikerrel, amelyeket a hackerek is használnak a bizalmas személyes és céges információk megszerzésére. Roberts tapasztalatairól az informatikai biztonsággal foglalkozó amerikai CSOmagazin számolt be, amely tanácsokat is ad arra, miképpen kerülhető el, hogy az átverések áldozataivá váljunk.

Roberts már rögtön a vállalat recepciósánál sikerrel járt. Arra hivatkozva, hogy a hálózaton kell némi átkonfigurálást végrehajtania, mivel egyes irodákban leállásokat tapasztaltak, a hölgy a rendszerből való kilépés után odaengedte a számítógépéhez, amelynek billentyűzete és a rendszer közé egy key logger eszközt iktatott be. Megkérte a recepcióst arra is, hogy - mivel a munkája során sokszor kell majd belépnie - írja le egy cetlire (amit majd eldobnak) a bejelentkezési adatait. A hálózatba való belépését követően hozzáférést szerzett a hálózati megosztásokhoz és több számítógéphez. A recepciós gépének Dokumentumok mappájában megtalálta a BitLocker helyreállítási kulcsot, valamint a vállalati VPN-re vonatkozó információkat. Ezt követően kíváncsiskodó kérdésekkel megtudta a hölgytől, miképpen szokott otthonról bejelentkezni a céges hálózatba, és ehhez milyen bejelentkezési adatokat használ. A fentiek kiváló például szolgálnak arra, milyen hiszékenyek és könnyelműek lehetnek emberek, ha jogosan eljáró személynek látszunk, továbbá szimpatikusak és segítőkészek vagyunk.

Fontos a biztonságtudatos szemlélet
A munkavállalók ehhez hasonló könnyelmű viselkedésének elkerülésére a szakember mindenekelőtt azt ajánlja a vállalatoknak, hogy rendszeres tréningekkel alakítsanak ki biztonságtudatos szemléletet az alkalmazottak körében. A biztonság szem előtt tartása a vállalati kultúra szerves részét kell, hogy képezze. Minden munkavállalónak tisztában kell lennie az informatikai rendszerek használatával kapcsolatos kockázatokkal, mind a technikai, mind a fizikai természetűekkel.

Ajánlatos az úgynevezett tiszta íróasztal elv alkalmazása, ami azt jelenti, hogy a bizalmas adatokat nem tesszük közszemlére, amikor nem foglalkozunk velük. A technikai jellegű óvintézkedések közé tartozik az alkalmazottak munkájához nem feltétlenül szükséges fizikai portok (például az USB) kikapcsolása. Így megakadályozható, hogy a rosszindulatú munkavállaló adatokat másoljon át gépéről külső tárolóeszközre.

Roberts szerint az alkalmazottaknak nem kell paranoiásnak lenniük, de egyértelműen tudatában kell lenniük a lehetséges biztonsági kockázatoknak, továbbá nem árt az egészséges mértékű szkepticizmus és óvatosság mások viselkedésének a megítélésénél. Azok a munkavállalók, akik a jellegzetességeik alapján képesek felismerni a támadási kísérleteket, az incidensek megakadályozására hivatott biztonsági rendszer frontvonalát alkotják.

Könnyelmű biztonsági őrök
Következett a biztonsági őrök megkörnyékezése. Mivel a szerverszobába normál módon csak biometrikus azonosítással lehetett bejutni, az irodaépületben saját készítésű hamis kitűzővel mozgó Roberts szóba elegyedett egy éppen kávézgató biztonsági őrrel és karbantartó munkatárssal. Azt mondta nekik, hogy leltárt készít a vállalatnál használt műszaki eszközökről, és fel kell jegyeznie a berendezések gyári sorozatszámát. Az őr magától elárulta neki, hogy a biztonsági kamerák egy része nem működik, mire ő ígéretet tett arra, hogy javaslatot tesz új eszközök beszerzésére. A mit sem sejtő biztonsági Roberts jelenlétében belépett a megfigyelő hálózatba az alapértelmezésbeli jelszóval (1111), majd megmutatta neki az épület biztonsági hiányosságait, hogy hol helyezték el a kamerákat és melyik működik közülük. A kialakuló bizalmi légkör hatására Roberts kockázatos lépésre szánta el magát, megkérte, hogy engedjék be a szerverszobába, mert az ottani rendszerek sorozatszámára is szüksége lesz. A merész próbálkozás sikerrel járt, az őr habozás nélkül odakísérte őt, majd magára hagyta az informatikai infrastruktúra kritikus helyén.

Az ilyen jellegű biztonsági rémálmok elkerülésére megint csak a biztonságtudatossági tréningeket említi meg elsődleges óvintézkedésként Roberts. Véleménye szerint az oktatások egyik nagy hibája lehet, hogy nem hívják fel kellőképpen az alkalmazottak figyelmét a pszichológiai trükkök és a való életben előforduló fenyegetések veszélyeire. A tréningeket sokszor rutinszerűen tartják (mint a repülőgépeken a mentőmellény használatának bemutatását), amire alig vagy egyáltalán nem figyel oda a hallgatóság, így az éles helyzetekben semmire sem emlékeznek. Az alkalmazottaknak tudatában kell lenniük, hogy a biztonság velük kezdődik, s kétszer is ellenőrizniük kell azok sztoriját és személyazonosságát, akik olyan helyekre akarnak belépni, ahová nincs jogosultságuk. A felületes és készséges biztonsági őrök hatástalanná tehetik a vállalat biztonsági rendszerét. Elengedhetetlen továbbá az eszközök alapjelszavának a megváltoztatása.

Hiányosságok a fizikai védelemben
Egy másik esetben Roberts vállalati barbeque-rendezvényt használt fel arra, hogy körülnézzen a kiürült irodaházban. A korlátozott hozzáférésű szobák belépőkártyával nyitható ajtaját belülről kilinccsel látták el, és az üvegen keresztül be lehetett látni. Az ajtók alatt lévő résnek köszönhetően egy speciális eszközzel kit tudta nyitni az ajtókat, így egy sor kritikus fontosságú helyiségbe bejutott, köztük a szerverszobába is. Hozzáfért szerverekhez, hálózati és telekommunikációs berendezésekhez, alközpontokhoz. Miután 30 percen keresztül annyi adatot gyűjtött össze, amennyit csak bírt, két alkalmazott lépett be, akiknek bemutatkozott, és azt mondta nekik, hogy leltárt készít az alközpontokról. Kifelé menet berendezéseket is magával vitt.

Az adatközpont ajtaja kétfaktoros azonosítással (négyszámjegyű PIN-kóddal és belépőkártyával) volt nyitható. Az ajtó előtt azonban kibontható volt az álpadló, így az alatt is be lehetett jutni a terembe, a lebukás veszélye (ruhájának összepiszkolódása) miatt azonban Roberts inkább tolvajkulccsal nyitotta ki a zárat. Az adatközpontban többek között bizalmas adatokat tartalmazó számítógépekhez, az alkalmazottak távoli VPN-eszközeihez, internetes átjárókhoz fért hozzá.

Az ilyen jellegű behatolások elkerülésére a szakember a padlótól a mennyezetig terjedő, ablak nélküli falakat, kilincs nélküli ajtókat ajánl. Gondoskodni kell arról is, hogy a behatolásjelző rendszer hatóköre kiterjedjen az összes külső ajtóra és ablakra. Az ajtók alatt nem szabad túl nagy rést hagyni, ami megnehezíti a mozgásérzékelő kiiktatását és az ajtó alatti eszközök használatát. Itt is komoly jelentősége van a biztonságtudatos viselkedésnek. Minden alkalmazott, szerződéses partner része a biztonsági rendszernek.

Bátorítani kell a munkavállalókat arra, hogy ha gyanúsnak találnak valamit, ne féljenek közbeavatkozni és ellenőrizni a rendellenesen viselkedők tevékenységének, ottlétének jogosultságát. A kitűzőknek minden körülmények között jól láthatóaknak kell lenniük, ha valaki csak kísérővel mozoghat, gondoskodni kell a megfelelő személyről. Ha a kitűző furcsán néz ki vagy hamisítványnak tűnik, közelebbről érdemes szemügyre venni, és ellenőrizni kell a hitelességét.

Ajtót nyitó mosoly
Végül a biztonsági ellenőrző szobába való bejutás következett, amelyhez ismét pszichológiai trükköt vetett be Roberts. Arra hivatkozva, hogy leltárt készít és a központban kapott kulcs nem működik, mosolyogva arra kérte az egyik biztonsági őrt, egy percre adja kölcsön az általa használt kulcsot. Az őr egy pillanatig hezitált, majd ő is elmosolyodott, és átadott egy kulcscsomót, viccesen megjegyezve, hogy jobban teszi, ha visszahozza azt, mert különben le fogja vadászni. Roberts a kulccsal kinyitotta a szoba ajtaját, majd belülről bezárta azt.

Már megint egy őr hiszékenysége okozta a problémát. A biztonsági őrökben szigorúan tudatosítani kell, hogy semmi esetre se bízzanak ismeretlen "alkalmazottban" és adják át nekik a kulcsaikat. Gondoskodjunk arról, hogy az őrök mindig legyenek éberek és szimatolják ki a gyanús tevékenységeket. Bár a munkájuk hosszú órákon keresztül eseménytelen és unalmas, ezért sokféle időt múlató tevékenységet végeznek (internetezés, telefonálgatás, beszélgetés), ez nem mehet az éberségük rovására. Győződjünk meg arról, hogy tisztában vannak a szerepükkel és kötelezettségeikkel, hiszen munkájuk alapvetően meghatározza a vállalat fizikai biztonságát. Őnekik végképp nem szabad hezitálniuk, amikor meg kell kérdőjelezni valakinek a gyanús viselkedését, és ellenőrizniük kell a személyazonosságát, hiszen ez az alapvető feladataik közé tartozik.

Mészáros Csaba,

biztonsági őr etikus hacker Solutionary

Megtekintés: 970