FYSISK ANGREB: ”DET ER MEGET VÆRRE, HVIS JEG FØRST KOMMER INDEN FOR DØREN”

Hvis en hacker ønsker at målrette sit angreb, er noget af det mest virkningsfulde at skaffe sig adgang til et firma rent fysisk. Det er ofte langt nemmere end man tror, fortæller en ekspert.

”Danskerne er meget tillidsfulde, og i Europa tager man ikke fysisk sikkerhed nær så alvorligt, som i andre lande. Det gør det meget nemt, at være hacker,” konstaterer Brian Harris.

Han arbejder med IT-sikkerhed hos NCC Group og har gennem årene været udsendt til mindst 10 lande – og her er danskerne altså lidt for nemme.

”Russere derimod er meget mere mistænksomme,” konstaterer han tørt.

“Jeg har plantet aflytningsenheder, kopieret laptops og installeret ’bugs’ på både printere og dockingstationer. Når jeg først er inden for døren, kan alt lade sig gøre.”
Brian Harris, NCC Group

Front-heavy security

Det er meget udbredt, at firmaer har stort fokus på at sikre hovedindgangen, hvor man skal vise adgangskort, hvor der er personale og hvor der er sikkerhedskameraer, der dækker alle vinkler.

”Det er det vi kalder ’Front-heavy-security’’, forklarer Brian Harris.

Men værdien er sjældent nær så stor, som man tror.

”Jeg er flere gange gået lige ind ad bagdøren, fordi al fokus er på hovedindgangen.”

Derefter er der stort set frit spil.

”Når man først er inde, bliver man næsten aldrig spurgt om noget, uanset hvilken etage man færdes på og selv om man ikke har noget adgangs-badge.”

”Jeg kan altid finde en bærbar, der står åben og med en USB kan jeg hurtigt installere en key-logger. Så behøver jeg ikke gøre mere, for fra da af, vil jeg få en kopi – i klar-tekst – af alle de brugernavne og passwords vedkommende bruger til at logge på hele systemet.”

Hovedet på skrå

Brian Harris har også trænet sig selv i at spotte de medarbejdere, som er venlige og hjælpsomme.

”Det er små psykologiske ting, der røber, om folk er venligt indstillede. Hvis de har hovedet lidt på skrå, lukker øjnene og smiler, så er der store chancer for, at de også vil hjælpe mig, hvis jeg spørger dem om hjælp til f.eks. at komme ind ad bagdøren, hvis jeg fortæller dem, at jeg har glemt mit badge.”

Sikkerhedskameraer er angrebspunkt

Brian Harris lever af at teste om virksomheders IT-forsvar er godt nok, og når man har haft den vinkel i mange år, så ser han også ting anderledes. Sikkerhedskameraer er for ham ikke nødvendigvis noget, der holder kriminelle væk. Tværtimod giver det ofte falsk sikkerhed.

”Der er ingen, der sidder og kigger på kameraer. De bliver kun brugt, når man opdager, at der har været indbrud, men i mellemtiden er de fleste optagelser som regel slettet, fordi det er alt for dyrt at opbevare dagevis af optagelser fra en stribe 4K-kamereaer.”

Men kameraer kan også være en svaghed – et decideret angrebspunkt.

”Jeg har haft en kunde, hvor vi testede sikkerheden ved at koble kamera kortvarigt af nettet. Netværket forsøger selvfølgelig straks at forbinde til kameraet igen. Men hvis sikkerheden ikke er i orden, kan den forbindelse nemt indeholde oplysninger, som giver mig adgang til netværket – på admin-niveau,” forklarer Brian Harris.

”Kameraet burde overvåge mig, men gav mig reelt adgang til alt.”

Gamle låsecylindre

Brian Harris tager jævnligt ud og tjekker den fysiske sikkerhed, og her undres han ofte over kvaliteten af helt almindelige låse. Man skal ikke lede meget på nettet for at konstatere, at hvis cylinderen i en ældre lås stikker blot 2 millimeter ud, så kan den vrides åben på få sekunder. Og selv om låsen er brudt op, er det ikke sikkert, at hackeren vil slå til med det samme.

”Det er mere effektivt for hackeren at skifte låsecylinderen ud med en anden. Dem der arbejder der, vil opleve at låsen fungerer, men hackeren har sin egen nøgle, der gør, at han kan komme og gå, som det passer ham – uden at nogen kan se, hvornår et angreb reelt har fundet sted. Det giver hackeren langt bedre arbejdsvilkår,” forklarer Brian Harris.