Jeg hørte for ikke så længe siden et foredrag om penetrationstesting af den kendte HD Moore fre Metasploit Framework. Han sagde blandt andet at han ofte kom ud for at virksomhederne ligger begrænsninger på hvad han må hacke når han laver sine teste og at det er en rigtig dårlig ide. Som han sagde “De vil ikke at jeg f.eks. tester deres domæne controller hvilket er dumt, få en anden skal nok “komme forbi og gøre hvad enten de vil have det eller ej”.
Jeg bruger i denne post lidt samme argument “Gør noget dumt og hack derefter dig selv” hvis ikke du gør det skal der nok komme en anden og gøre det for dig på et tidspunkt hvor det er belejligt for dig og på en måde så det bliver rigtig dyrt.
Dumhederne kender ingen grænser
Det er helt utroligt så mange helt utroligt dumme ting man støder på når man bevæger sig i miljøet og hver gang man tror at nu har man set det dummeste der kan gøres, så gør den menneskelige fantasi og kreativitet ens dom til skamme.
Nu er det jo ikke sådan at folk begår dumheder med vilje. De oplever at sikkerheden forhindre dem i at gøre et eller andet på en let måde eller som de slet ikke opfatter som usikkert og så finder de en måde sådan lige at omgå sikkerheden på. Hver gang jeg møder den slags ting, så er de altid gjort i den bedste mening og ofte opfatter den der har gjort tingene det lidt som om han faktisk har gjort virksomheden en tjeneste ved sådan for egen regning at forøge virksomhedens funktionalitet.
Typiske dumheder
Typisk handler det om at man tilslutter egen hardware til virksomhedens systemer, alt fra accesspoints, modemer, egne routere der tilsluttes internettet, egne netkort der forbindes til andet. Disse ting handler normalt om at få adgang til ressourcer som virksomhedens sikkerhedspolitik ikke tillader. Det kan være hjemme computere, det kan være fil sharing eller mulighed for at kunne bruge en mailserver der ikke scannes så man kan få de “helt nødvendige filformater” ind uden om virksomhedens firewall og scanner der normalt fjerner disse.
De fleste forstår det godt.
Langt de fleste medarbejdere forstår det godt og bliver relativt flove når man konfronterer dem med tingene. Desværre er det ofte sådan at jo højere uddannelse dumfucken er jo mindre forståelse vil han have for at han ikke må disse ting og desværre kommer man også nogle gange ud for at det ikke kan lade sig gøre at få disse folk fyret, så her kommer en historie der er løgn og aldrig sket i det virkelige liv.
Det er løgn og latin
I en virksomhed var ansat en ingeniør der havde den holdning at han viste det hele og at de IT sikkerheds folk ikke skulle bryde sig om at fortælle ham hvad man måtte og hvad han ikke måtte. Det havde de amatører alligevel ikke forstand på og de var også langt dårligere uddannet og begavet end han var.
Da IT sikkerhedschefen ikke kunne få overbevist virksomhedens chef om at denne ingeniør måtte væk gjorde han det at han overvågede ingeniørens PC med et stykke software, der også tillod han at overtage desktoppen. Da ingeniøren få dage efter forbandt sin pc, der sad på det lukkede forskningsnet med virksomhedens åbne Internet net for at kunne downloade et eller andet, overtog sikkerhedschefen kontrollem med pc’en da ingeniøren var borte et øjeblik og sendte design dokumenter for virksomhedens mest lovende projekt til deres hårdeste konkurrent. IT sikkerhedschefen havde selvfølgelig sørget for at sniffe alt der foregik på virksomhedens åbne Internet Net til en fil, hvorefter det var en smal sag at bevise at denne ingeniør lige havde send strengt fortrolige og meget værdifulde dokumenter til virksomhedens værste konkurrent.
Nu er denne historie det pure opspind og enhver lighed med virkelige hendelser og personer er ganske tilfældige for den slags gør en IT sikkerhedschef naturligvis ikke. Ingeniøren blev naturligvis heller ikke fyret og havde bagefter slet ingen problemer med at finde et nyt job i branchen hvor alle viste at det var løgn at han havde gjort hvad han jo ikke gjorde.
Pointen er
Pointen er at et er en rigtig god ide at gøre dumheder selv i et kontrolleret miljø for at se hvad der kunne ske, hvilke ressourcer der kunne blive tilgængelige og hvordan man efterfølgende kan opdage at de er blevet det. Ofte finder man veje til at formindske konsekvenserne på forhånd og dermed forhøje sikkerheden og når dumhederne sker, så skulle man gerne kunne stoppe dem og give et kvalificeretbud på hvad der er sket af katastrufen
hacking
it sikkerhedTags: Hacking, IT sikkerhed
