Kölcsönös előny: hóeltakarítás, szabad bejárás
Kristopher Johnson és munkatársa, Michael hivatásos „red teamerek”, akik fizetésért törnek be cégek informatikai rendszereibe, tesztelve azok védelmét. Mostani feladatuk egy cég fizikai és informatikai védelmének felmérése volt – főnökük, Dahvid Schloss csak távolról figyelte akciójukat. Az időzítés tökéletes volt: a karbantartók által használt hátsó bejárat nyitva állt, és a csapat bentről közelíthetett. Egyetlen dolgozó kérdezősködött, de ők egyszerűen azt mondták, hogy újak az IT-részlegen, nincs belépőkártyájuk, viszont szívesen besegítenének a hóeltakarításban. A karbantartók örültek az ajánlatnak.
Amíg Michael lapátolta a havat, Johnson néhány szívélyes szóval bent maradt, és kérte, hadd menjen fel előre, hogy beállítsa „új” munkatársa laptopját. Segítőkészen beengedték.
Raspberry Pi a konferenciaterem szemetesénél
Bent Johnson gyorsan feltérképezte a terepet: egy megfelelő helyet keresett a saját Raspberry Pi számítógépének elrejtésére, hogy azt csatlakoztatva komoly támadótámaszpontot alakíthasson ki – akár távolról is. Az AV-szobában ugyan volt szabad Ethernet-port, de ott a hálózat-hozzáférés-ellenőrzés miatt nem sikerült csatlakoznia. Végül a konferenciaterem padlóján talált egy élő hálózati portot, ahol viszont nem volt ilyen védelem. A mini PC-t a szemetes mögé rejtette.
A kijutás már nehezebben ment: a főbejáraton belépőkártya nélkül nem lehetett távozni, ismeretlenek pedig nem segítenek ilyesmiben. Visszatért a hátsó ajtóhoz, ahol a karbantartó szívesen kiengedte. Johnson a parkolóban várta meg az éppen dolgozó cinkostársát.
Lelplezés, de későn: két hét alatt végzetes kár
Másnap minden lelepleződött: amikor Johnson és Michael visszamentek, a biztonsági főnök várta őket. Mint kiderült, a karbantartó szerette volna megköszönni az IT-nak Michael – a sosem létező – segítségét; az IT azonban nem ismert ilyen nevű kollégát. Ekkor indult a vizsgálat, amelyben a kamerafelvételeket is átnézték, sőt Johnson bérelt autójának rendszámát is próbálták lekérni. A Raspberry Pi-t azonban senki nem fedezte fel, az zavartalanul két héten át csatlakozott a hálózathoz.
Ebben az időszakban a betörők adatbázisokat térképeztek fel, hozzáfértek az Active Directory-hoz, bemérték a domainkontroller-gépeket, és célzott jelszópróbákat végeztek. A „winter2023!” jelszót 50-60 dolgozónál találták – nem kizárt, hogy ez jelentős részük alapértelmezett jelszava volt.
Kritikus hiányosságok: a gyanakvás hiánya és a gyenge jelszavak
A rendszer feltérképezése után a hackerek tanulságokat vontak le, amelyek minden szervezet számára hasznosak lehetnek. Egészen pontosan: a dolgozók többsége alapból elhiszi, hogy akinek „dolga van” az épületben, az tényleg ott dolgozik – főleg, ha segítőkész, és viselkedése beleillik a megszokott keretekbe. Ezt hívja a pszichológia „símaszk-hatásnak” (ski mask bias): mindenki csak akkor gyanakszik rosszra, ha valaki símaszkban, fegyverrel rohan be.
A karbantartóknak gyanakodniuk kellett volna a magukat újaknak kiadó, beléptetést kérő „IT-sek” láttán – még akkor is, ha segítettek a hóeltakarításban. Az informatikai hálózatnak nem lett volna szabad minden konferenciatermi porton szabadon hozzáférhetőnek lennie, az ismeretlen eszközök csatlakozását blokkolni kellett volna. Végül pedig elengedhetetlen egy erős jelszópolitika: számos fióknál az alapértelmezett „winter2023!” jelszó, valamint a többfaktoros hitelesítés hiánya tette lehetővé a támadóknak az adminisztrátori szintű hozzáférést – a Raspberry Pi két hét múlva került csak elő, akkor már feleslegesen.
