Jij bent de volgende

Tim Roberts, een beveiligingsexpert, kent alle trucs die criminelen toepassen. Onlangs kreeg hij de opdracht te infiltreren in de kantoren en netwerken van een bedrijf door middel van social engineering en daarbij gevoelige persoonlijke en bedrijfsdata te stelen. En dat lukte vrij makkelijk. Hij omschrijft hier hoe hij dat deed. Ons advies: leer hiervan!

Keyloggers en Post-Its

Ik liep naar de receptiebalie en sprak de dame erachter aan (naamplaatje Sara) en een onderhoudsmonteur die er bij stond. "Er is onlangs een melding binnengekomen en als het goed is hebben jullie gehoord dat ik zou komen. We zitten midden in een migratieproces op het netwerk en er is wat storing geweest in enkele kantoren."

Sara sloot haar systeem af en liet me aan haar bureau zitten. Ik plaatste een keylogger tussen het toetsenbord en het systeem en vroeg haar weer in te loggen. "Ik moet even een command prompt gebruiken om de verbinding te testen." Ze deed wat ik vroeg en de keylogger pakte netjes alles op. "Eigenlijk zal ik je dat meerdere malen moeten vragen, handiger is je inlog even op te schrijven, dan gooien we dat wel weg als ik klaar ben." Ik schoof de stapel Post-Its naar haar toe en legde er achteloos een pen op terwijl ik naar het systeem bleef kijken. Ze schreef haar wachtwoord op en schoof het weer terug naar me. Terwijl ik in het systeem snuffelde kreeg ik toegang tot gedeelde netwerken en verschillende systemen op het netwerk Ik zag tevens dat ze haar BitLockter recoverykey handig had opgeslagen in Mijn Documenten, samen met wat VPN-informatie.

"Sara, ik zag dat je geen laptop hebt. Werk je nooit vanuit huis?" Ze antwoordde "Ze hebben me een tablet gegeven, maar die gebruik ik zelden, ik krijg de VPN-verbinding niet voor elkaar." Ik zag een opening. "O ja? Kan je me laten zien hoe je die verbinding probeert te maken en welke inlog je daarvoor gebruikt? Misschien kan ik wat zaken resetten en je daarmee helpen." Ze legde uit hoe ze verbinding probeert te maken en ik nam wat aantekeningen zonder dat dat opviel. Uiteindelijk had ik dus een Gig aan data, domeincredentials, de sleutels van de encryptie en een uitgebreide beschrijving hoe deze organisatie zijn VPN-verbindingen opzet.

Arme goedgelovige Sara

Ik moet zeggen, dat was een succesvolle ontmoeting en meer belangrijk een teken hoe goedgelovig mensen kunnen zijn als je betrouwbaar lijkt en sympathiek en behulpzaam overkomt.

  • Train je mensen! En dan bedoel ik niet de jaarlijkse bewustwordingscampagne of vragenlijstjes, maar dit moet echt ingebed worden in de cultuur van het bedrijf. Je werknemers moeten bewust zijn van de risico's die aan informatiebeveiliging kleven.
  • Een clean desk-beleid. Gevoelige informatie moet opgeborgen worden als het niet wordt gebruikt. Wachtwoorden mogen nooit worden opgeschreven en op het werkstation worden geplakt.
  • Wees er zeker van dat je Minimum Baseline Configuration (MBC) de fysieke poorten loskoppelt die niet worden gebruikt, zoals bijvoorbeeld USB-poorten. Keyloggers nog daar gelaten is het risico op een datalek te groot als een medewerker de mogelijkheid heeft data te kopiëren naar externe opslagmedia.
  • Je hoeft niet paranoia te zijn, maar wel sceptisch en bewust. Een werknemer die algemene kenmerken van een mogelijke aanval kan herkennen kan de eerste verdediging zijn tegen compromitterende acties als deze.

Argeloze bewakers

Op het moment dat ik het slot van een nooduitgang (zonder alarm erop) wilde openflipperen realiseerde ik me dat de klant een extra maatregel had genomen door een biometrische toegangsbeveiliging te implementeren. Terwijl ik het in de gaten hield ging er niemand in of uit, dus ik had een andere manier nodig om tot de serverruimte te komen. Ik zag een beveiligingsruimte met diverse monitoren en een sleutelkastje achter een bureau. Ik zag een bewaker en een onderhoudsmonteur die aan de koffie zaten. "Sorry jongens, ik heb even een klein momentje nodig om het serienummer van die machines op te nemen. We doen een inventarisatie." Ik nam de gezichtsuitdrukking aan van "je weet wel, routine", haalde mijn schouders op en begin alles op te schrijven wat ik zag. "Geen probleem", antwoordde de bewaker terwijl hij even naar mijn namaak-badge keek. "Wat je wilt, ze werken trouwens toch maar de helft van de tijd", mopperde hij nog even na.

"Kan je me dat laten zien? Misschien krijg ik het hoofdkantoor zo ver om wat budget vrij te maken voor nieuwe systemen." Ik ga achter hem staan en kijk naar de monitors. Zonder enige terughoudendheid typt de bewaker het default wachtwoord in (1111) en geeft me een rondgang via de beveiligingscamera's, terwijl hij laat zien waar ze hangen en welke niet werken. "Ik vergeet het bijna", zeg ik als ik me omdraai naar de monteur, "jij werkt toch bij onderhoud?" Hij knikte.

"Top, ik moet namelijk even in de serverruimte zijn voor wat serienummers." Ik nam hiermee een risico, maar dacht, waarom niet? "Geen probleem, ik laat je even binnen." De bewaker stond iop en begeleidde me naar de serverruimte. Ik bedankte hem voor zijn hulp en zei dat ik het verder wel redde.

Een nieuwe bewaker

  • En opnieuw: een training in bewustwording zou voorkomen dat het zover kwam met de bewaker. Sommige trainingsprogramma's zijn niet stevig genoeg om echt duidelijk te maken welke gevaren er schuilen in social engineering en gevaarlijke situaties in de echte wereld. Training wordt ook routine, slechts weer een jaarlijks terugkerende gebeurtenis.
  • Werknemers moeten begrijpen dat beveiliging start bij hen. Altijd zal je iemand verhaal moeten dubbelchecken, vooral als iemand toegang claimt tot iets of geen (juist) pasje heeft. Het is prima om een minuutje te pakken voor een telefoontje om iemands verhaal te verifiëren. Zelfs als ze daardoor geïrriteerd raken, of zich ongemakkelijk voelen. Better save than sorry.
  • Verander de default wachtwoorden op apparaten, zelfs als het maar gaat om het invoeren van drie cijfers voor een bewakingssysteem. En verander die regelmatig.
  • Herinner de bewakingsfirma aan risico's die niet altijd even duidelijk zijn. Nieuwsgierige bewakers met een onderzoekende instelling kunnen je fysieke beveiliging maken of breken.

De afsluiting van de kwartaalcijfers wordt gevierd met een personeels-bbq en dat was een perfect moment om ongezien het gebouw te onderzoeken. Ik bemerkte dat bijna alle deuren waar je een pasje voor nodig had, eenzelfde deurklink hadden. Ik keek door het dunne raam en kreeg de indruk dat dit een belangrijke ruimte was. Door mijn zelfgemaakte "onder de deur"-tool maakte ik de deurklink aan de andere kant van de deur open. Zo kwam we door diverse gebieden die voor onbevoegden verboden waren, waaronder een PBX- en serverruimte. Binnen die serverruimte hadden we toegang tot systemen, netwerk- en telecomapparaten en PBX-systemen. Na ongeveer een half uur waarin we zoveel mogelijk data vergaarden, hoorden we iemand zijn pasje gebruiken bij een deur, twee werknemers kwamen binnen, waarvan eentje recht naar zijn laptop liep en de andere vroeg wie we waren. "Ik ben Ben, van XYZ. Ik doe een inventarisatie van de PBX-systemen", terwijl ik door de papieren in mijn map bladerde die ik van buiten had meegenomen. Daarna verzamelden we wat apparatuur voordat we de ruimte verlieten,

Ik vond een deur die naar de belangrijkste datacenter leidde en passeerde een kantoortuin die me de indruk gaf dat daar de netwerkadmins zaten. De deur had een two-factor authenticatie, een viercijferige pincode in combinatie met een pasje. De verhoogde vloer had tegels die je eruit kon lichten en het was dus mogelijk eronder te kruipen. Daar zag ik vanaf omdat ik een wit overhemd aanhad en niet wilde opvallen in het verdere traject. Ik besloot mijn Bogota-style lockpick te gebruiken en was in staat het valmechanisme van het slot te omzeilen en vervolgens ook de authenticatie. Zo kwam ik in het datacenter en had ik toegang tot verschillende systemen met belangrijke data, laptops, internetswitches, de core switch en meer.

Hoe wordt je niet gepakt door oplichters?

  • Gebruik best practices als je je serverruimte beveiligt. Dat betekent muren die echt van vloer tot plafond gaan, geen deurkrukken gebruiken en geen ramen.
  • Wees er zeker van dat je alarmsystemen alle buitendeuren en bereikbare ramen dekken.
  • Zorg dat deuren geen grote ruimte onder en boven zich hebben. Dat maakt het wat moeilijker om sensoren te activeren die de deur automatisch openen van binnenuit en om onder de deur de klink van binnenuit te openen.
  • Als je een fysieke sleutel nodig hebt om additionele toegangscontroles uit te schakelen zorg er dan voor dat die sloten robuust zijn en dat je de uitgifte van sleutels goed documenteert.
  • Zorg voor een cultuur van sociale en fysieke bewustzijn. Elke medewerker, leverancier etc. heeft een taak in beveiliging. Als werknemers argwanend worden moeten ze niet terughoudend zijn in het onderzoeken of dubbelchecken.
  • Pasjes en badges moeten te allen tijde zichtbaar zijn. Een bezoekersbadge vraagt om begeleiding, zorg dat die er dan ook is. Als de badge er raar uit ziet, vraag dan om het te bekijken.

De sleutel tot de schatkist

"Sorry dat ik stoor maar ik ben met een sleutelinventarisatie bezig en Jan van facilitaire zaken heeft me deze sleutel gegeven voor de Security Control Room, maar hij lijkt niet te werken. Hij zei dat u er wel eentje zou hebben en ik moest u vragen of ik het voor een minuutje mocht gebruiken. Ik beloof het direct terug te brengen", zei ik terwijl ik voor het bureau van de bewaker stond, glimlachend terwijl ik zachtjes met een random sleutel op het bureau tikte.

De bewaker dacht een momentje na, lachte en haalde een hele handvol sleutels tevoorschijn. "Nou, het zal wel goed zijn, maar breng die sleutels wel terug want ik weet je te vinden." Ik ging terug naar de deur, ontsloot die en draaide hem weer op slot toen ik binnen was.

De Security Control Room gaf toegang tot de beveiligingscamera's en het beveiligingssysteem, een badgemaker, toegangslogboeken, de dossiers van de beveiligingsbeambten en een sleutelkast. Die kast was gemaakt van aluminium en had een generiek slot dat makkelijk was te passeren. Aangezien ik de sleutelbos van de bewaker had, had ik geen sleutels meer nodig, maar kon het toch niet laten. Aan de binnenkant van de deur hingen enkele sleutels, van onder meer bedrijfswagens, elektriciteitskasten, diverse ruimten en kasten, liften en veel meer. Mij viel direct een sleutel op waarvan het label vermeldde 'Gebouw 2 - serverruimte'. Ik had beloofd niets mee te nemen uit het gebouw dus ik kon de sleutel niet met me meenemen.

Wees niet te goed van vertrouwen

Vertel je bewakers om niet te goed van vertrouwen te zijn en nooit hun sleutels uit handen te geven, zeker niet aan zo maar een 'medewerker'. Bewakers zijn de eerste beveiligingslaag, maar te veel bedrijven vertrouwen erop dat ze de enige ogen en oren zijn terwijl al het personeel hun ogen en oren open moeten houden.

  • Wees er zeker van dat je bewakers alert zijn. Dat werk kan saai worden, en dat leidt tot het zoeken naar afleiding (telefoons, internet, gesprekken etc). Verzeker jezelf ervan dat bewakers hun taak en verantwoordelijkheden weten, vooral als ze worden ingehuurd. Bewakers kunnen een enorm verschil maken in je fysieke beveiliging. Zij zouden juist moeten twijfelen aan elk verhaal.
  • Controleer altijd de identiteit van iemand. Heeft iemand geen juiste pas of badge en wordt niet begeleid? Escaleer. Loopt iemand met iemand anders mee naar binnen? Vraag die persoon om zelf zijn badge te gebruiken.

Tuurlijk, kom binnen

Gedurende de Open Source Intelligence (OSINT)-bijeenkomst tijdens de assessment en na het uitvoeren van wat phishing en telefoongesprekken waren we in staat om een handvol domeingegevens en gebruikersnamen te verzamelen die gelijkenissen vertoonden met hetgeen LInkedIn ons kon vertellen.

Ik deed net alsof ik met mijn badge de hoofdingang wilde ingaan en liep met anderen mee. Ik verschool me in een van de toiletten en een handlanger hield me op de hoogte van het aantal vertrekkende mensen terwijl hij scande naar wifi-verbindingen. Nadat iedereen was vertrokken kon ik ongehinderd rondlopen en rondsnuffelen naar belangrijke informatie in kasten en laden en in papierbakken. Ik vond een aantal rondslingerende laptops en nam er eentje mee en een perfecte plek voor een vals wifi-accesspoint.

Met ons apparaat verborgen achter lege laptoptassen onder een bureau was ik klaar en vond mijn weg terug naar buiten en naar mijn partner. In onze auto zochten we beiden verbinding met ons accesspoint en DHCP liet ons een aantal IP-adressen scannen. We konden direct al enige machines binnendringen door bekende kwetsbaarheden te gebruiken en door de gegevens te gebruiken die we eerder hadden verzameld. We bleven het grootste gedeelte van de nacht bezig met het verder exploiteren van hetgeen we tegenkwamen.

Sluit de achterdeur

Netwerktoegang zou beperkt moeten worden via methoden als Network Access Control (NAC) en Rogue Access Point (AP)-detectie. Dat helpt om te voorkomen dat valse netwerkapparaten een achterdeurtje open laten in je netwerk voor verdere compromitterende acties.

Het is goed als werknemers zich bewust zijn van de mogelijkheid dat iemand met ze mee naar binnen kan sluipen, maar het zou niet mogen dat het zo simpel is om net te doen alsof je je pasje gebruikt terwijl je de al geopende deur (of poortje) gebruikt. Let op het geluid van het gebruik van het pasje en -als dat aanwezig is- de kleur die het poortje geeft (groen/rood). Werknemers moeten niet bang zijn om elkaar te corrigeren als ze elkaar door de deur volgen zonder zelf het pasje te gebruiken. Vooral bij het gebruik van deuren die een vertraging hebben voor het geval een gehandicapte medewerker de deur moet gebruiken, moet in de gaten worden gehouden.

Een vriendelijke lach opent deuren

Ik sloop weer mee met werknemers naar binnen en wist het slot te openen naar de kantoorruimte van het management. Ik zag dat een van de deur naar een directeurskamer open stond en het kantoor was onbezet. Na een minuutje hoorde ik de secretaresse terugkeren naar haar bureau net buiten dat kantoor. Ik nam een visitekaartje van het bureau van de directeur en zag dat de secretaresse naar binnen keek. Met een glimlach keek ik terug en zei: "Ik zoek Jan Jansen. Dit is toch zijn kantoor?"

"Ja, maar hij heeft een bijeenkomst in de vergaderzaal. Heeft u een afspraak?"

"Zoiets ja. Ik moet een versleutelprogramma installeren op zijn laptop. Dat is op zich zo gedaan."

"Nou, hij zou binnen een uur terug moeten zijn. Kunt u dan terugkomen?"

"Tja, ik moet vandaag veel systemen afhandelen en wil graag even opschieten en deze doen nu ik hier toch ben. Morgen moet ik terug naar het hoofdkantoor en moet nog heel wat afwerken."

"Ik zal het hem wel even vragen, wacht even." Ze stond op en ging de gang door naar de vergaderruimte. Ik stond voor de beslissing weg te gaan en deze gelegenheid niet te pakken, of door te gaan met dit pokerspel.

Na een paar minuten kwam ze terug en zei: "Hij zei dat hij inderdaad om zoiets had gevraagd drie weken geleden." Met een meelevende blik en sympathieke stem antwoordde ik: "Ja, ik loop wat achter op schema, vandaar ook mijn haast. Kan ik het serienummer van de laptop noteren, dan heb ik in ieder geval bewijs dat ik hier ben geweest." Ik liep weer naar het kantoor en hoewel aarzelend besloot de secretaresse me te volgen, ze pakte de laptop van het bureau en gaf het me.

Laat het niet (alleen) aan IT over

Ik kan het niet vaak genoeg zeggen: een veiligheidscultuur binnen een bedrijf is enorm belangrijk, maak een logisch en aansprekend bewustzijnsprogramma. Social engineering is slechts één aanvalsvector, maar vaak wel de meest gevaarlijke omdat het alle investeringen in technische en fysieke beveiligingsmaatregelen nutteloos maakt. Onbewuste en slordige werknemers zien echte gevaren over het hoofd en dat heeft al vaker geleid tot grote ongelukken.