Ett sekund er alt hackeren trenger for å stjele adgangskoden
Møt sikkerhetseksperten som har 100% suksessrate i å trenge seg inn i kundenes bygninger.
– Hei! Jeg tenkte å hacke meg inn siden jeg så hvilken kortlesere dere brukte på Google Streetview, sier en mann som plutselig dukker opp i resepsjonen vår. – Men det var ikke nødvendig siden noen som røykte lot døren stå åpen, ler han.
– Så langt har vi en hundre prosent suksessrate på å komme inn.
John-André Bjørkhaug
Det er ingen tvil om at vi har fått John-André Bjørkhaug på besøk, offensiv sikkerhetsekspert hos NTT Com Secturity. Offensiv sikkerhetsekspert betyr at han avslører sikkerhetshull hos norske bedrifter, som så måper over hvordan han kom seg inn og deretter fikser problemet.
Sikkerhetshull er ikke alltid abstrakte nettangrep som kommer fra det store utland. Norske bedrifter sitter på milliardverdier i data som bør beskyttes. I nyhetene, og kanskje i IT-avdelingens hoder, er fokuset skarpt rettet mot hackerangrep og virus. Mens IT-avdelingen sitter med nesen dypt i en analyse av noen merkelige datapakker, kan det hende at han fyren som skifter matter faktisk har en helt annen og langt skumlere agenda.
Folk slippes ukritisk inn
– Jeg har faktisk tenkt å skaffe meg en hvit t-skjorte med logoer til renholdsfirma på. Det er jo egentlig helt utrolig, men alle slipper jo slike støtteselskaper inn nesten helt ukritisk. Dessuten kan man operere ganske fritt inne i bygget når man har en sånn t-skjorte, sier John-André.
Som sikkerhetsekspert i NTT Com Security, har han reist Norge rundt og åpnet utallige dører beskyttet av utdaterte adgangssystemer og slappe holdninger til lokal sikkerhet.
– Så langt har vi en hundre prosent suksessrate på å komme inn der kundene ønsker at vi skal teste sikkerheten, sier han. - Men det er ikke bare inn døren jeg skal komme meg.
Det er en ting å komme seg inn i et resepsjonsområde, selv forbi kortleserene. En helt annen sak er det å få uautorisert adgang til indrefileten i alle kunnskapsbedrifter: serverrommet.
– De fleste har beskyttet serverrommet med PIN-kode i tillegg til adganskortet, sier John-André. Dermed er adgangen til rommet basert på enkel tofaktorautentisering.
– Men heller ikke det er godt nok, ofte er det lett å lese av koden når folk taster den inn, sier han.
I et tilfelle fikk han i oppdrag om å komme seg inn på et serverrom, der adgangen var kontrollert med trådløst adgangskort og PIN-kode. Vel og bra, hadde det bare ikke vært for et overvåkningskamera som var vendt rett mot kortleseren og koblet opp til det lokale nettverket.
– Som regel er det ikke vanskelig å komme seg inn på det lokale overvåkningsnettet, når man først har kommet seg inn i bygningen, sier John-André. Kameraene bruker vanlig nettverksteknologi, og er som regel koblet på det kablede nettverket i en bygning. Da er det en smal sak å plukke opp PIN-kodene til et kort som nylig har blitt kopiert.
Fysisk sikkerhet undervurdert
IT-folk som leser seg opp på sikkerhetsnyheter får sjeldent med seg de mer usexy truslene mot datarommet. Det står der, med kortleseren sin og gjør jobben dag inn og dag ut.
John-Andrés første bud for de som ønsker å forbedre sikkerheten på datarommet, er er å se på adgangskontrollen.
– Det er jo et rom, som alle andre rom. Aller helst bør man autentisere med tre faktorer, noe man har (Adgangskort), noe man vet (PIN-kode) og noe man er (Biometri, feks fingeravtrykk), sier han.
Det kan virke litt i overkant mye å ta i bruk trefaktorautentisering, men de tre forskjellige faktorene gjør det nærmest umulig for en uautorisert person å komme seg inn.
– I tillegg bør et datarom være alarmert, med alarm som kan slås av via adgangssystemet, sier John-André. For å beskytte mot tyveri og sabotasje, gjelder det også å tenke godt på hvordan bygningsmassen er konstruert, om vinduene er sikre nok og om noen kan snike seg inn via Hollywood-måten gjennom luftekanaler.
Tester sikkerhet hele tiden
Med seg på besøk hos kunder av NTT Com Security over hele Norge, har John-André en koffert fylt til randen med ledninger og elektronikk som sikrer han mer enn én strafferunde på flyplasskontrollene. Det er en salig blanding av duppeditter funnet på blant annet «hackerbutikker» og ymse kinesiske elektronikkbutikker samt hjemmelagde Arduino-dingser.
– Det er noe billig plastskrap den er pakket inn i, men den funker akkurat slik den lover, sier han om en RFID-leser/skriver, som kopierer et meget velbrukt kortsystem på sekundet. Akkurat denne leseren er ikke veldig diskret, og likner mest på et termometer av den infrarøde typen med temperaturavlesning på baksiden. Når det brukes, kan du se det.
Derfor har John-André laget sitt eget system basert på en Arduino-enhet, en lengre antenne og batteripakke. Den kan lett lese av flere kort gjennom en veske, bare man kommer litt tett innpå. Som en liten dult på bussen. Med et enda større antenneoppsett, som kanskje får plass på innerveggen av en veske eller bærepose, øker avlesningsradius.
– Alle nye adgangssystemer nå har jo RFID, og hvis det er gjort riktig så er det jo et steg fremover. Men det finnes så mange gamle, utdaterte protokoller, sier John-André.
Han tar frem ID-kortet som undertegnede bruker til å åpne døren til kontoret hver dag, og sier: – Som denne her, så lenge den mottar en strømpuls så sender den tilbake ID-en sin.
Så lenge riktig ID sendes ut åpner døren seg.
– Der burde man ha en faktor til, mener John-André
Bare en tidsbarriere
Dører, skuddsikre vinduer og armerte betongvegger. De tjener alle en funksjon, men den er ikke å holde en angriper ute til evig tid.
– Alle disse tingene er jo tidsbarrierer, om du bruker et kort som er kopiert på et sekund eller et brekkjern, kommer du jo inn. Derfor må man bruke de sikreste teknologiene som har vært testet, godkjente dører og solide løsninger.
– Har du et supersikkert adgangskortsystem, men døra kan åpnes med den her, har ikke kortsystemet så mye å si, ler John-André og tar opp en gammeldags smekklåsdirk fra kofferten med de rare i. – Ofte er det smekklåsdører, da er det bare å dra i låsen med denne og så er du inne.
Slik ivaretar du virksomhetens fysiske sikkerhet
Hvis en inntrenger uhindret kan spasere inn i bygningen din spiller det liten rolle hvor kostbar brannmurløsning du har.
Last ned vår infografikk med 5 råd for å ivareta fysisk sikring »Vil du prate med en sikkerhetsekspert?
Har du spørsmål eller kommentarer? Ta kontakt med en av våre sikkerhetseksperter for mer informasjon om NTT Com Security.
Kontakt oss »