Het blijkt in de praktijk soms kinderlijk eenvoudig om binnen te komen in een bedrijf of instelling. Toch is lang niet iedereen zich daarvan bewust. Pentesting of red teaming is een op scenario’s gebaseerde methode om een bedrijf of instelling te laten leren van hun (natuurlijke) zwakheden. Zo maken we ze nog sterker in hun bescherming, en hun te beschermen belangen. Om een pentest uit te voeren worden weleens onorthodoxe maatregelen genomen. Zelf heb ik mijn vrouw eens zo ver gekregen om samen met haar vriendin verkleed als Zwarte Pieten twee landelijke meldkamers met vitale systemen voor infrastructuur te betreden. Het lukte hen bijna moeiteloos.
Pentest in een penitentiaire inrichting
Hoe doe je een pentest in een penitentiaire inrichting (PI)? Voor deze vraag zag John Strand zich in Amerika gesteld. Zijn beveiligingsbedrijf was door de staat South Dakota ingehuurd om het veiligheidsniveau van de PI te onderzoeken. Physical security en Cybersecurity in een PI zijn om voor de hand liggende redenen cruciaal. Als iemand in de instelling in kan breken en computersystemen kan overnemen, wordt het misschien wel heel gemakkelijk om iemand uit de instelling te bevrijden.
Gaten in de beveiliging
Deze zwakheden in de organisatie, die van menselijke of technische aard kunnen zijn, worden ook wel GAP’s genoemd oftewel gaten in de beveiliging. Door een pentest op de juiste manier uit te voeren laten we medewerkers in de praktijk ervaren wat hun menselijke zwakheden zijn en leren we ze daar op een effectieve manier weerstand tegen te bieden. Zo leert de organisatie welke technische en organisatorische GAP’s er mogelijk in de beveiliging/bescherming zitten, hoe ze daar bewust mee om kunnen gaan en hoe ze deze GAP’s eventueel zelfs kunnen dichten.
PEN test PI in South Dakota
Terug naar de casus betreffende de PI in South Dakota. John’s moeder Rita bleek het antwoord op die vraag. Zij had een carrière als gezondheidsinspecteur achter de rug en zou die kennis en ervaring kunnen inzetten om de PI proberen binnen te komen. Deze opzet lukte. Met een vlotte babbel, een gefingeerd identiteitsbewijs en een klembord vol met papieren wist Rita zich naar binnen te kletsen. Ze vertelde de bewakers bij de ingang dat ze een onaangekondigde gezondheidsinspectie uitvoerde. Ze lieten haar niet alleen toe maar ze mocht zelfs haar mobiele telefoon houden, waarmee ze de hele operatie opnam. In de keuken van de faciliteit controleerde ze de temperaturen in koelkasten en diepvriezers, deed ze alsof ze op bacteriën op de vloeren en toonbanken zwabberde, zocht naar verlopen voedsel en nam foto’s.
Toegang tot de IT-systemen
Vervolgens vroeg ze toegang tot de werkplekken van werknemers en pauzezones, het netwerkverwerkingscentrum van de gevangenis en zelfs de serverruimte. Dit om de ruimtes te controleren op insectenplagen, vochtigheidsgraad en schimmel. Niemand zei nee. Rita mocht zelfs alleen in de gevangenis rondlopen, waardoor ze ruim de tijd had om foto’s te maken. Ook kreeg ze de mogelijkheid USB-sticks te plaatsen in de aanwezige computers waardoor haar zoon John toegang tot de IT-systemen kreeg. Je moet er niet aan denken wat voor gevolgen/impact dit zou kunnen hebben als er daadwerkelijk sprake was geweest van kwade opzet.
Professionele pentesten
Het spreekt voor zich dat het in eerste instantie professionals zijn die wij bij pentesten inzetten, waarbij het niet gaat om wie er het eerste ‘binnen’ is. Maar wat John Strand heeft gemerkt en wat ook wij vaak ervaren is, dat wanneer mensen bij recepties beweren inspecteurs, auditors of iemand met autoriteit te zijn, er veel deuren open gaan die eigenlijk gesloten moeten blijven. En dat komt simpelweg door de menselijke factor die nu eenmaal een belangrijk onderdeel van de beveiliging is. Twijfelt u of uw bedrijf of organisatie ‘waterdicht’ is? Wacht dan niet langer en neem contact met ons op, voor het te laat is.
Rob Van Dijk RSE RCE ATO
