Om Martin
Martin liker
Social Engineering
24.06.11 • 8 kommentarer
En av mine beste venner tar oppdrag innen Social Engineering. Et typisk oppdrag består i å tilegne fysisk tilgang til en bedrifts nettverk og serverpark, for å se hva som kan hentes ut av konfidensiell informasjon. Historiene er som snytt ut av en god film — løgner, sjarm, et glatt smil, grundig forarbeid og evnen til å improvisere til det ekstreme er egenskaper som går igjen.
I veska har min venn med seg et brev fra oppdragsgiver, som kan vises frem dersom oppdraget avsløres og det skulle komme til håndgemeng eller tilkallelse av politiet. Imidlertid blir disse brevene aldri vist frem. Min venn kommer seg inn, henter ut all informasjon det er mulig å få tak i og forlater uten at noen har fattet mistanke. Bedriften er kompromittert, og det finnes ingen logger med spor av hva som har skjedd.
For mange er det både forbløffende og overraskende hvor enkelt det er og hvor langt man kommer med en troverdig historie, grundig forarbeid og et hyggelig smil. Jeg er ikke like overrasket. Hvorfor skulle man ikke tro på personen som står i resepsjonen? Det sitter langt inne for folk å si «Dette tror jeg ingenting på! Du er en løgner!».
Hvordan tror du det står til i en gjennomsnittlig bedrift? Eller en gjennomsnittlig kommune? Hvor mange tror du har nedskrevne rutiner for hvordan man avverger slike inntrengere? Og hvorfor lykkes min venn på tross av dette i å få tilgang til deres nettverk og servere?
I en tid hvor skyen diskuteres opp mot sikkerhet, personvern og eierskap til data, er jeg sikker på at leverandører av skytjenester har langt større fokus på Social Engineering enn en gjennomsnittlig norsk kommune. Dette handler ikke om at jeg forsøker å stigmatisere kommunene, men at enhver organisasjon har fokus på det den kan best. Og hvem har da mest kvalifisert fokus på IT-sikkerhet? Google? Amazon? Din kommune? Skyen er kanskje ikke et dumt sted å være allikevel.
8 kommentarer
-
-
Kul historie, Cathrine. Det å drille resepsjonen i denne type “konfrontasjon” virker veldig lurt. Kanskje det er noe vi alle skulle gjøre?
For eksempel: Hva gjør du dersom du ser noen gå rundt uten adgangskort, spesielt dersom de går gjennom døra som du åpnet etter deg?
Svaret bør helst ta hensyn til at man ikke ønsker å skape utrivelige situasjoner på jobben.
-
Nå jobber jeg ikke i resepsjon lenger, men i den tenkte situasjonen (hvis jeg selv satt i resepsjonen) ville jeg forsøkt å diskrét tatt en telefon til noen av avdelingssekretærene for å gi dem muligheten til å kikke rundt i gangene etter personen som gikk rundt uten adgangskort. Med mange låsepunkter er det neppe sannsynlig at denne personen ville kommet langt uten å møtt en stengt dør han/hun ikke hadde kommet seg gjennom, og det ville blitt lagt merke til. Det er én mulig løsning, ellers finnes det som regel vaktpersonell i nærheten man kan be gå seg en runde også. Jeg ville nok drøyd med å løpe etter personen..
Om jeg så en fremmed person går rundt i min avdeling uten adgangskort, så ville jeg nok spurt vedkommende hvem han skulle møte, og sørget for at han enten kom seg til riktig møterom… eller ut i resepsjonen.
Selv om det kan være flaut, så er det faktisk bedre å ta slike ting på alvor, både i forhold til personsikkerhet og bedriftens eiendom.
-
“Kan jeg hjelpe deg å finne møtet ditt” kan jo være en hyggelig måte å gripe an situasjonen. Det har mye med måten man sier det på å gjøre, tror jeg.
-
-
-
-
Jeg har jobbet med IT i kommuner i snart 9 år, men har aldri blitt bedt om å legitimere meg. Det er som regel aldri noe problem å få fysisk adgang noe sted, og ofte er det like enkelt med tilgang til nettverk og brukerkonti.
Manglende sikkerhet er gjerne noe man ikke legger merke til før man har blitt kompromittert, i verste fall ikke da heller.
-
Christer og jeg snakker ofte om hvor latterlig enkelt det er å bare spasere rett inn på serverrommet til en enkelte av kommunene vi besøker. Ingen adgangskontroll og døren står på vid gap for best lufting…
-
-
Lurer på hvor mye eller lite arbeid som kreves for å ta ut alle NIX-ene. 6 noder er tross alt ikke allverden.
-
For å gjøre det samtidig kreves det nok en betydelig koordinert innsats. Aner ikke hvordan sikkerheten er ivaretatt rundt de forskjellige nodene, men det er nærliggende å anta at det foreligger gode rutiner.
-
Har du synspunkter? Legg igjen en kommentar!
RSS og trackback
Med RSS kan du abonnere på nye kommentarer som postes til denne artikkelen.
Du kan legge igjen et trackback fra ditt eget nettsted ved å benytte trackback-adressen til denne artikkelen. Eventuelle tracback ser du under.
Flere artikler
- Facebook på børs
- Lightroom og metadata
- Holder de ord
- The Greatest Bits 3
- Røde kjemper
- Fremdrift
- Skydebatten
- Supertankere og robåter
- IT-realitetsorientering
- Altinn-skandalen
Enda flere artikler? Besøk arkivet.
Bekkelund.net er en blogg av Martin Bekkelund, hvor han lufter sine tanker om IT og IT-politikk. Martin arbeider til daglig som seniorrådgiver, foredragsholder og skribent i IT-bransjen, hvor han veileder bedrifter og organisasjoner i strategisk bruk av IT. Les mer...
© 1995-2012 Martin Bekkelund
Opphavsrett • RSS • Kontakt
Cathrine W
24. juni 2011 12.03
Jeg er ikke overrasket, for å si det sånn. Jeg har jobbet i resepsjon selv ved siden av studiene. Vi ble drillet i nettopp denne typen problemstillinger på kurs. Spennende for meg som nyansatt, og noe som blant annet førte til at jeg nektet viseadm. dir. adgang fordi han ikke hadde med seg adgangskort og jeg ikke fikk tak i personen han skulle besøke på telefonen.
Han ble ikke blid, akkurat da, men i ettertid fikk jeg skryt for å ikke ha sluppet inn en for meg ukjent person. (Men litt flaut var det, da han sto der og mumlet om “vet du ikke hvem jeg er??).