»Ni kan inte skydda er«

Trots kodlås, vakter, luftslussar och fingeravtrycksskanning har även den mest stensäkra anläggningen alltid en svag punkt. Vi pratade med en säkerhetskonsult som får betalt för att agera som en inbrottstjuv.

»Jag jobbar på IT-säkerhetsföretaget Sentor. Historiskt sett har jag ägnat mig mycket åt penetrationstester, där man försöker hitta sårbarheter i ett företags nätverk. Våra mognare kunder, de som redan har koll på IT-riskerna, efterfrågar ibland ett fysiskt penetrationstest, eller en ›social engineering-attack‹. IT-säkerhet är svårt att förklara, det här är mer handfast. Vi ska lura oss in, infiltrera verksamheten, agera som skurkar.

Ett typiskt uppdrag kan vara att försöka ta oss in i ett mötesrum där man skulle kunna placera avlyssningsutrustning. Andra företag har data utspridd i olika serverhallar, då kan det hända att vi får i uppdrag att testa deras leverantör. Det kan också handla om att koppla in utrustning i deras apparatur eller försöka placera ut bombattrapper.

Under det första mötet säger kunden ofta: ›Ni får göra vad ni vill.‹ Då brukar vi säga att vi helst vill ha regler. Annars skulle vi kunna klä ut oss till väktare eller förstöra låsen med termit – en blandning av aluminiumpulver och järnoxid som när man tänder på blir runt 3 000 grader varm. Det finns recept en googling bort och en verklig angripare skulle absolut kunna använda något sådant, men vi undviker helst det på grund av brandrisken.

Annons

När vi har kommit överens om reglerna får vi dokument som är signerade av flera människor högt upp i företagets hierarki. Om vi skulle bli tagna kan vi sträcka upp händerna och visa pappren. Att vi faktiskt har tillstånd gör nog att vi vågar ta lite större risker. Sen är det väl lättare i Sverige också där folk inte skjuter först och frågar sen.

De roligaste uppdragen handlar om anläggningar som anser sig ha hög säkerhet. För ett tag sedan jobbade vi med en kund som var väldigt stolt över sin anläggning. De hade hundpatruller dygnet runt och för att komma in behövde man passera en grind, tre stängsel med kodlås, en reception med fyra vakter, en luftsluss med kod, passerkort, fingeravtryck, irisskanner, flygplatsskanner … ja, du förstår. Innanför allt det här fanns ett antal låsta rum. I varje rum fanns ett valv, i valvet fanns burar, och i burarna fanns serverrack. Vårt uppdrag var att ta oss in i ett specifikt sådant rack.

Då handlar det om att identifiera svagheten. Man börjar med att kartlägga verksamheten, ofta på LinkedIn, och får tag på lite mejladresser, så man vet hur de är formaterade. Man skickar ett mejl till någon i organisationen med en dum fråga och får tillbaka ett svar med lite loggor och en standardiserad mejlsignatur. Om man ska utge sig för att vara någon annan behöver man ta reda på vad chefen och de närmsta kollegorna heter. Och så får man ringa Skatteverket och kolla: Är jag gift? Har jag barn? Vad heter de? Bor jag tillsammans med dem?

»Varför ska man hoppa över staketet, spränga hål i väggen och slåss med hundpatrullerna för att komma åt servern?«

I det här fallet ringde vi upp en av anläggningens leverantörer och utgav oss för att vara en person inom deras verksamhet. Vi sa: ›Det ringer en massa människor och säger att ni i växeln lämnar ut fel nummer hit.‹ Sedan gav vi dem ett nytt nummer. Därefter mejlade vi en fråga till den administrativa personalen på anläggningen. Mejlet såg ut att komma från leverantören och innehöll numret till växeln. De ringde växeln, bad att bli kopplade – och hamnade hos oss. När vi fått svar på frågan sa vi: ›Jo, förresten, vi skulle behöva komma in till servrarna på tisdag, vem snackar man med då?‹ Om någon ställer en sådan fråga utifrån görs en rigorös kontroll, men nu såg den ut att komma inifrån organisationen. Vi blev inlagda i en accesslista och sen var det bara att knalla in.

Jag dyrkade upp låset till serverracket för hand, öppnade det och knäppte av ett kort. Det var ett ganska talande uppdrag, för jag menar … Varför ska man hoppa över staketet, spränga hål i väggen och slåss med hundpatrullerna för att komma åt servern? Det handlar om att hitta den enklaste vägen. Och den går alltid genom människor. Även om de här uppdragen inte tillhör min huvudsysselsättning har jag gjort 50–60 stycken sådana. Vi har aldrig misslyckats.

Det finns en del knep inom social engineering-världen. Om jag blir uppringd, snarare än ringer upp, är det mer sannolikt att jag får hjälp. Om jag börjar med att säga: ›Hej, skulle du kunna hjälpa mig med en grej?‹ och personen svarar ja ökar sannolikheten med några procent, för då har den redan förbundit sig att hjälpa. Men jag tänker sällan på sådan där pop-psykologi, utan försöker bara bete mig naturligt. Det är inte hypnos – människor vill hjälpa varandra. De vill vara tillmötesgående, de vill hålla upp dörren, de vill tro det bästa.

Men säkerhetsbrister bygger inte bara på människors välvilja. Ofta är det dåliga rutiner. Företag som vill skydda sig måste utbilda sina anställda, men framför allt bygga bort riskerna. Ta en bank, till exempel, de använder autentiseringsmekanismer som bankdosa eller mobilt bank-ID. Om de vi ringde i exemplet ovan haft ett liknande system hade det varit mycket svårare för oss. Vi hade tvingats bevisa att vi var de vi utgav oss för att vara.

Det är samma sak med dörrar. Som chef kan du säga: Ni får inte släppa in folk bakom er när ni går in. Men tänk att det är en mörk kväll och en kvinnlig anställd som väger 45 kilo ska gå in genom dörren och bakom henne går fyra muskelberg. Ska du lägga ansvaret på henne att säga: ›Stopp, legitimation!‹ Det går inte. Istället kan man bygga luftslussar med identifikation där bara en person åt gången kan komma in.

Jämfört med USA eller Centraleuropa är fysiska penetrationstester en liten bransch i Sverige, men området har börjat diskuteras mer även här. Folk har börjat inse att det är på riktigt, att det finns sofistikerade angripare med hög ambitionsnivå. Jag kan nog inte förklara det här utan att säga saker jag inte får säga, men till vissa kunder måste jag säga: Ni kan inte skydda er. Det är bara att budgetera in den här förlusten.