Fysieke pentest
Wat is een fysieke pentest?
Onze auditors proberen op een ongeautoriseerde manier binnen te komen bij een terrein, gebouw, afdeling of proces van uw organisatie. Eenmaal binnen proberen auditors aan vertrouwelijke documenten of middelen te komen. Dit gebeurt meestal door binnen een organisatie de toegangscontrole te omzeilen. Op deze manier worden de beveiligers en de andere beveiligingsmaatregelen van de organisatie getest. Er zijn verschillende manieren om op een ongeautoriseerde manier binnen te komen. Soms is het kinderlijk eenvoudig om bedrijven, en zelfs beveiligde afdelingen binnen bedrijven, ongeoorloofd binnen te dringen. Maar hoe gaan die indringers nu precies te werk?
Wij beschrijven hier een aantal methodes die we bij onze penetratietesten en bij onze Red Teaming activiteiten met veel succes inzetten. In veel situaties lukt het onze auditors om zo binnen te komen en op zoek te gaan naar informatie, kritische processen of kwetsbare personen.
Hoe we dat doen? Laten we beginnen met de meest bekende en eenvoudige vorm: simpelweg een geautoriseerd persoon volgen of zover krijgen dat hij of zij ons bewust binnen laat!
Om de handelingen te beschrijven van een onbevoegde persoon die, zonder toestemming, een bevoegde persoon volgt naar een gebied met beperkte autorisatie, worden ook wel de termen piggygacking en tailgaten gebruikt. In feite kunnen piggybacking en tailgaten elektronisch of fysiek zijn. De handeling kan legaal of illegaal zijn, geautoriseerd of ongeoorloofd, afhankelijk van de omstandigheden. De termen hebben echter vaker de connotatie dat het een illegale of ongeoorloofde handeling is. In termen van beveiliging lijken piggybacking en tailgaten veel op elkaar. We kunnen piggybacking vergelijken met ‘meeliften’ en we kunnen tailgaten vergelijken met ‘bumperkleven’. In beide situaties maakt een persoon oneigenlijk gebruik van de autorisatie van een ander persoon bij het betreden van bijvoorbeeld een terrein, gebouw of beveiligde zone binnen een gebouw.
Tailgaten
Wanneer een indringer een geautoriseerde persoon illegaal op de hielen volgt, zonder dat deze het in de gaten heeft, en zo samen een barrière passeert, dan spreken we van tailgaten (“bumperkleven”). Vergelijk het met het van dichtbij volgen van een andere auto bij een slagboom van een parkeerterrein waardoor de slagboom open blijft staan en de tweede auto dus uit kan rijden zonder een betaalbewijs aan te bieden. De geautoriseerde persoon heeft dit doorgaans niet in de gaten.
Maar het kan ook zo zijn dat die persoon wel merkt dat er iets iet klopt, maar het onvoldoende tot hem of haar door dringt of dat hij of zij op dat moment de indringer niet durft tegen te houden of aan te spreken. Dit kan dan weer te maken hebben met de natuurlijke (doorgaans positieve) eigenschappen van de mens in het algemeen. Kwaadwillenden maken hier graag gebruik van. Denk aan de natuurlijke eigenschap van mensen om geen fouten te willen maken zoals het aanspreken van de verkeerde persoon, of moeten constateren dat men het verkeerd heeft gezien en daarmee geconfronteerd wordt. Dan kan men maar beter doen of ze het helemaal niet gezien hebben. Een andere eigenschap is dat mensen van nature goedgelovig en behulpzaam zijn.
Hoe vaak komt het voor dat er iemand mee loopt die wel te goeder trouw is. Die kans is dus veel groter dan dat jij nu precies de dupe wordt van een kwaadwillende die jou aan het tailgaten is.
Piggybacking
Piggybacking lijkt veel op tailgaten en feitelijk worden deze termen ook vaak door elkaar gebruikt. Op zich is dat niet zo erg maar aan de hand van een uitleg over de verschillen proberen we meer inzicht te geven in deze verschillende aanvalsvormen en kunt u zich er wellicht gerichter tegen wapenen.
Bij piggybacking wordt een geautoriseerd persoon of een toezichthouder (receptie/ beveiliging) feitelijk om de tuin geleid waardoor deze niet in de gaten heeft dat men te maken heeft met een indringer. Beter gezegd; men ziet, in tegenstelling tot tailgaten, wel wat er gebeurt maar men ziet het niet als security breach.
Piggybackers hebben verschillende methoden om beveiligers of toezichthouders te misleiden.
Denk aan:
Het heimelijk volgen van een persoon die gemachtigd is om een locatie binnen te gaan, waardoor het lijkt alsof hij legitiem wordt geëscorteerd. Hierbij kan zo iemand hulpmiddelen gebruiken zoals bedrijfskleding of een nagemaakte bedrijfspas. Maar ook een vriendelijke groet kan al voldoende zijn om het vertrouwen te wekken bij de geautoriseerde persoon.
Deelnemen aan een grote groep die bevoegd is om ergens naar binnen te gaan. Men doet zich voor als een lid van een groep door zich erin te vermengen. Soms wordt alleen de woordvoerder van de groep gecontroleerd en bevestigd deze dat de rest bij hem hoort.
De piggybacker zoekt een bevoegde persoon die de regels van de betreffende organisatie negeert (bijvoorbeeld door te gaan roken bij een nooddeur en deze op een kier te laten staan), deze persoon wordt er dan bijvoorbeeld toe aangezet om te geloven dat de piggybacker ook is geautoriseerd en laat hem eenvoudigweg naar binnen gaan. Dergelijke methodes werken doorgaans erg goed bij expedities of tijdens verhuizingen en bouwwerkzaamheden. De piggybacker kan feitelijk zo op een prettige manier meeliften en wordt soms ook verder nog geholpen bij zijn actie.
Piggybacking en tailgaten zijn vormen van penetratietesten maar hebben zeker een relatie met eenvoudigere vormen van social engineering. Met een goede voorbereiding zijn dit zeer effectieve methodes die bij het Red Teamen worden ingezet.
Destructief en non-destructief manipuleren van toegangsmiddelen
Naast de voorgaande, wat eenvoudigere, manieren van ongeautoriseerd binnentreden zijn we bij Redteam experts specialist en marktleider op het gebied van destructief en non-destructief manipuleren van toegangsmiddelen. Het ongeautoriseerd verkrijgen van toegang tot gebouwen, terreinen of beveiligde zone binnen een gebouw kunnen wij op drie manieren doen:
Destructief: we manipuleren een toegangsmiddel (bijv. een (nood)deur of raam) middels destructieve gereedschappen zoals een (voorbedachte) kwaadwillende dat ook zou doen. De meest eenvoudige manier is het vernielen van een toegangsmiddel om zo toegang te krijgen tot de beveiligde zone. We zijn daarnaast in staat om cilinders van een deur te manipuleren (cilindertrekker) om zo toegang te krijgen. Ook kunnen we bijvoorbeeld een gat in de deur boren waardoor we van binnenuit het slot kunnen manipuleren. Hierdoor krijgen we toegang tot de beveiligde zone.
Non- destructief: we manipuleren een toegangsmiddel (bijv. een (nood)deur of raam) middels non-destructieve gereedschappen. Middels deze werkwijze kunnen we toegang verlenen tot een beveiligde zone zonder schade aan het toegangsmiddel aan te richten. Zo kunnen we middels een pasje of stuk stevig papier een deur ‘flipperen’ zodat we het slot van een slecht afgesloten deur kunnen overbruggen. Ook kunnen we de ‘hengel’ techniek toepassen, welke vaak bekend is van het ‘hengelen’ via de brievenbus om zo van binnenuit het slot te openen. Tot slot zijn we ook in staat om een slot te forceren middels een ‘valse sleutel’ (de juridische term) maar zoals bekender door het ‘lockpicken’ van een slot. Daarnaast zijn we in staat om bedrijfspassen te clonen zodat we ongeautoriseerd toegang kunnen krijgen tot de beveiligde zone, deze techniek is nader uitgewerkt onder identiteitsfraude.
Omzeilen: inmiddels zijn we bij Redteam experts ook zeer bekend met het omzeilen van toegangsmiddelen om zo op een bepaalde locatie te komen. Zo hebben we veel ervaring met het omzeilen van terreinomheiningen zoals hekken, poorten en slotgrachten. Dit doen we door bijvoorbeeld het overklimmen van muren en hekken om zo in een beveiligde zone te komen. Hiervoor is vrijwel niets ons te gek en hebben we inmiddels met zeer veel varianten ervaring. Zoals op het dak van een groot gebouw komen om zo ongeautoriseerd toegang te verschaffen of door het overvaren van slotgrachten om op deze wijze in een beveiligde zone te komen.
Deze lijst is een impressie van onze kennis en kunde en is daarmee niet limitatief. Wij zijn bij Redteam experts zeer innovatief in het verkrijgen van ongeautoriseerde toegang en onze portfolio laat zien dat niets voor ons te hoog is gegrepen.
Manipuleren in- en uitvoer van data- en elektriciteitsvoorziening
Vaak wordt er bij cyber gedacht aan de digitale manipulatie van data. Maar denkt ook u ook aan de fysieke kabels waarover deze data wordt verstuurd? Deze kabels liggen onder de grond en lopen vanaf verschillende plekken naar uw organisatie. Dat betekent dat de kabels fysiek te onderscheppen zijn en dat daarmee manipulatie mogelijk is. Zo kunnen wij bij Redteam experts onderzoek doen naar uw kabels en zijn we in staat om deze op te sporen en daarmee te manipuleren. Manipulatie kan bestaan uit het doorknippen van deze kabels waardoor uw organisatie wordt afgesloten van datavoorziening. Dit geldt ook voor elektriciteitsvoorzieningskabels welke fysiek gemanipuleerd kunnen worden waardoor uw organisatie wordt afgesloten van elektriciteitsvoorziening met daarmee een enorme impact op de bedrijfsvoering. Tevens kan manipulatie bestaan uit het aftappen van de datavoorzieningskabels waardoor een kwaadwillende ongezien informatie van en naar uw organisatie kan onderscheppen.
—- Blok onze werkwijze —-
Herkent u deze situatie? En wilt u liever niet dat uw bedrijf tussen deze nieuwsberichten komt te staan?
laat ons dan onderzoeken wat uw risico’s zijn, waar uw kwetsbaarheden zitten en hoe de kans op dergelijke incidenten tot het uiterste is te verkleinen!