image

Hoe gevaarlijk zijn analoge hackers ?

zondag 20 augustus 2006, 09:57 door Redactie, 15 reacties

Ze kunnen zich voordoen als klusjesmannen, IT consultants of postbodes. Ze stelen pasjes, breken sloten open of lopen gewoon met het personeel mee naar binnen. Ze lenen wachtwoorden op Post-It notes, kopieren sleutels of sluiten hun laptop aan op het netwerk via een aansluiting in een lege vergaderzaal.

"Analoge hackers", ook bekend als fysieke hackers of social engineers behoren tot de gevaarlijkste dreigingen, maar zijn bij veel beveiligers onbekend of worden onderschat. Dit maakt het erg interessant voor analoge hackers. Het is winstgevend en er wordt geen rekening met ze gehouden. Er zijn dan ook geen cijfers bekend van hoeveel bedrijven van sociaal engineers bezoek krijgen. Iets wat ook komt omdat ze geen sporen achterlaten. Getroffen bedrijven weten vaak niets eens dat ze het slachtoffer zijn geworden.

Ze werken vaak overdag en in koppels en kunnen zich als iedereen uitgeven. De één houdt het personeel bezig, terwijl de ander door het gebouw loopt. Ook het doorzoeken van het vuilnis levert veel waardevolle informatie op. Consultant Jim Stickley adviseert bedrijven dan ook om alles te shredden.

Een oplossing is het gebruik van betere deuren en sloten, surveillance camera's en alarmsystemen. Vooral het gebruik van camera's zou analoge hackers afschrikken. De beste beveiliging blijft echter het onderwijzen van het personeel. "Fysieke beveiliging moet een collectieve onderneming zijn, anders werkt het niet. Je kunt het niet overlaten aan een paar mensen van de automatiseringsafdeling" zegt Steve Stasiukonis.

Reacties (15)
20-08-2006, 11:02 door beamer
Een aanrader voor wat betreft "Social Engineering" is het
lezen van Kevin Mitnick's boek "The Art of Deception", je
snapt door alle voorbeelden vrij snel hoe het werkt en hoe
het b.v. ook in jouw bedrijf zou kunnen werken. Als je een
beetje handig zoekt is het boek ook wel via google te vinden.
Bescherming tegen "Social Engineering" begint inderdaad met
"Security Awareness", maar dan moet het wel een blijvende
effort zijn (dus niet eenmalig een A4tje verspreiden).
Verder binnen het gebouw compartimentering toepassen, net
zoals je met firewalls zou doen, dus meerdere lagen van
toegangsmaatregelen in het gebouw en dan via je security
awareness er weer voor zorgen dat je medewerkers niemand
laten meeliften.
20-08-2006, 12:04 door [Account Verwijderd]
[Verwijderd]
20-08-2006, 12:31 door Anoniem
In nederland is dit bijna onmogelijk en is afhankelijk van hoe goed een
beveiligings organisatie is.Deze zijn verrantwoordelijk voor de personen
die een gebouw in en een uit gaan. Bezoekers of ander personeel kan
alleen na binnen volgens afpsraak. Bij twijvel wordt altijd de manager
geinformeerd over personeel die zich voor doet als "kpn monteur".Voor
middel en klein bedrijf wordt het makkelijker omdat deze een receptioniste
hebben en vaak dom zijn dus makkelijker beinvloedbaar.
Een grotere bedreiging in nl is de telefonie door dat er ongelovelijk
afdelingen zijn bijvoorbeeld het uwv etc is het makkelijker je voor te doen
als een medewerker vaak denkt dat personeel niet eens na helemaal als
je als manager voor zou doen.
20-08-2006, 13:57 door Anoniem
HaHaHa,

Erg leuk allemaal, echter word de belangrijkste en zwakste
schakel voor het 'gemak' maar overgeslagen. De integriteit
van de beveiliger en zijn/haar organisatie. Al heb je 6
lagen van beveiliging, het is allemaal afhankelijk van
integriteit van medewerkers. Aangezien er steeds meer
arbeidsconflicten ontstaan, onstaat er ook steeds meer
rancune naar de (voormalig) werkgever toe. Deze ontslagen
personen zijn vaak bereid cruciale gegevens te verstrekken
om het voor 'inbrekers' zo makkelijk mogelijk te maken om
het bedrijf een 'hak' te zetten.

Ik heb geruime tijd geleden een bedrijf bezocht dat op
bepaalde niveau's biometrische toegangscontrole had
ingevoerd, echter was dit systeem zo complex voor de
beheerder dat deze gemakshalve alleen nieuwe gebruikers
toegevoegde en oude gegevens nimmer verwijderde onder het
mom van 'ze moeten eerst nog langs de bewaking in de hal van
het bedrijf'.

Oja, een telefoontje naar het zelfde bedrijf om door te
geven dat meneer X van bedrijf Y later arriveerde dan
afgesproken deed wonderen, de beveiliging werkte erg goed
mee om meneer X zo snel mogelijk toegang te verschaffen tot
het gebouw om tijdwinst te boeken voor zijn/haar verlate
afspraak.
Dit terwijl meneer X geen afspraak had!

Toegang tot gebouwen mag nimmer door 1 peroon geregeld
worden, juist daar moet men al beginnen met 2 of 3 lagen van
beveiliging. Beveiliger 1 ontvangt de bezoeker en meld dit
aan beveiliger 2 die de afspraak controleert en bevestigd
aan beveiliger 1 welke het dan overdraagt aan beveiliger 3
die de bezoeker begeleid naar zijn/haar afspraak locatie.
Uiteraard word de bezoeker bij vertrek ook weer naar de
centrale hal begeleid door de medewerker of beveiliger.
(Deze methode word inmiddels al door verschillende
ondernemingen toegepast)

B

Zolang bedrijven brakke PBX/VoIP systemen gebruiken die
'eenvoudig' gemanipuleerd kunnen worden kan een
buitenstaander zich telefonisch voordoen als een manager en
een bezoek afspraak laten noteren bij de beveiliging. Menig
PBX is slecht of helemaal niet beveiligd voor aanvallen van
buitenaf....
20-08-2006, 13:59 door [Account Verwijderd]
[Verwijderd]
20-08-2006, 14:00 door Anoniem
Of je bent een monteur die in een gezamelijk pand waar meerdere
bedrijven zijn gevestigend bezig. Dan is het soms ook wel nodig dat je
weer en loopt tussen de verschillende bedrijven. Dan is men vaak ook
naief, men zal niet even controleren bij het bedrijf wat een etage hoger zit of
het wel waar is het die monteurs zeggen. Of de patchruimte is wel op
fysiek op slot, maar de meterkast waar bij kleine bedrijven vaak router
hangt is niet op slot.
20-08-2006, 14:20 door Fabienne
Door Anoniem
In nederland is dit bijna onmogelijk en is afhankelijk van
hoe goed een
beveiligings organisatie is.Deze zijn verrantwoordelijk voor
de personen
die een gebouw in en een uit gaan. Bezoekers of ander
personeel kan
alleen na binnen volgens afpsraak. Bij twijvel wordt altijd
de manager
geinformeerd over personeel die zich voor doet als "kpn
monteur". Voor
middel en klein bedrijf wordt het makkelijker omdat deze
een receptioniste
hebben en vaak dom zijn dus makkelijker beinvloedbaar.

Ik kan je uit de praktijk melden dat het bij zowel grote als
kleine bedrijven over het algemeen juist heel makkelijk is
om binnen te komen. Vanuit m'n werk kom ik op heel veel
plaatsen en als je maar vriendelijk lacht en goedemorgen
roept dan wandel je zo verder. Uiteraard werkt dat niet bij
een portier waar je jezelf zou moeten melden, maar er zijn
tal van deuren die bij bedrijven open staan (denk eens aan
een expeditie bijvoorbeeld) en zolang je dus maar gewoon
doet of het de normaalste zaak van de wereld is dat jij daar
binnen loopt is er geen hond die je aan zal spreken. Het
gaat om de achteloosheid waarmee je naar binnen loopt, want
als je om je heen gaat kijken of je niet betrapt wordt gaat
het al snel mis.

Een voorbeeld? Bij een niet nader te noemen hele grote
aannemer in het zuiden van het land stond ik bijvoorbeeld
binnen 5 minuten in de serverruimte van het bedrijf door
simpel even naar een wc te vragen. Natuurlijk dient zo'n
ruimte afgesloten te zijn, dus daar zit het dan ook al
scheef maar degene die me de weg wees vroeg verder helemaal
nergens naar en ik liep dus zo naar binnen. Zo kan ik nog
tal van voorbeelden noemen, maar het gaat even om het idee
en om dan te zeggen dat het in Nederland bijna niet mogelijk
is... tsja... dan hoop ik dat je niet voor de beveiliging
van een bedrijf hoeft te zorgen want dan zie je een heleboel
dingen over het hoofd ben ik bang...

Gr. Fabienne.
20-08-2006, 19:38 door Anoniem
Ik kan je uit de praktijk melden dat het bij zowel grote als
kleine bedrijven over het algemeen juist heel makkelijk is
om binnen te komen

Zoals ik al zei is dat afhankelijk van het beveiligings bedrijf het bedrijfs
mangement.Vaak is personeel zelf te laks zich aan beveiligings
regels te houden en dan vergeten dat ze op die manier het makkelijker
maken voor een een persoon die andere bedoelingen heeft.Dan zou een
portier dus ook minder snel toegangs controle toepassen en kan je
gewoon na binnen lopen.

Maar toch is er wel een verschil van iemand die in het bedrijfs leven werkt
weet ook alle wegen in het gebouw.Voor iemand die alleen achter een pc
zit en nooit in een kantoor gewerkt heeft zou al veel eerder door de mand
vallen.Dit is net zo met het aanmelden voor een afspraak.Iemand die niet
weet hoe die procedures werken wordt het al een stuk moeilijker.

Hieruit kan je dus ook opmaken dat mensen die aan social ingeneering
doen vaak zelf werkzaam waren in een kantoor en zo ook makkelijker
een portier kunnen bedriegen omdat ze de procedures kennen.
20-08-2006, 23:28 door Lenin2
Ik hou er echt van ... tja je moet je personeel gewoon erop trainen vind ik
en een social engineer die coldreading onder de knie heeft kan met een
communicatie toegang krijgen tot welke systeem dan ook. Trouwens de
ISP's in Nederland zijn hiervoor kwetsbaar met een goed verhaal kun je
zeker je eigen wachtwoord achterhalen probeer het maar eens.
21-08-2006, 10:50 door Anoniem
Wat ik niet begrijp in dit artikel is de link naar fysieke beveiliging. Iemand
die een gebouw binnen dringt en met een babbeltruc pleegt oplichting.
Hoezo "Social Engineering"?
21-08-2006, 10:58 door Anoniem
Dan toch even een reactie van een "ervaringsdeskundige" ;)

Camera's zijn écht het laatste waar we ons druk over maken.
Over het algemeen worden CCTV beelden niet live bekeken, en voor zover
ze dat wél worden weet de centralist of operator vaak helemaal niet wát hij
zou moeten zien of juist niet....

De grootste hindernis die we moeten nemen is het krijgen van toegang tot
het gebouw.

Bij de meeste bedrijven zou er kunnen worden volstaan met een
telefonische controle naar de (vermeende) gastheer, op een moment dat
een "gast" zich meldt bij uw receptie/ toegang/ laadperron/ enz...
Wij zouden keihard door de mand vallen als al onze beweringen gewoon
even telefonisch werden gecontroleerd, kleine moeite toch?


Oversight
21-08-2006, 13:22 door Anoniem
Trouwens de
ISP's in Nederland zijn hiervoor kwetsbaar met een goed verhaal kun je
zeker je eigen wachtwoord achterhalen probeer het maar eens

Jah dat klopt als je het modem adress en wachtwoord wil weten van een
persoon hoef je alleen maar de providers op te bellen net zo lang tot je de
juiste hebt en dan te vragen of ze je wachtwoord kunnen resetten omdat je
wachtwoord vergeten bent. En dan iets met "Mag ik u een rare vraag
stellen ziet u toevallig ook wat voor ip ik heb ben namelijk een router aan
het configureren en kan ik die gelijk even invoeren op de router" .
21-08-2006, 16:30 door [Account Verwijderd]
[Verwijderd]
21-08-2006, 16:46 door Lenin2
Moet u maar eens in de bedrijf proberen waar u werkt:

Goede morgen spreek ik met de administratie?

Ik hoop dat ik gelegen uitkom u spreekt met Karel Koolstra ik ben gehuurd
om de netwerk te updaten zo te zien is mijn collega ... [de naam van de
systeem beheerder] op dit moment afwezig.

Ik ben bezig met het upgraden van de database maar in dit nieuwe
systeem kunnen er een paar karakters niet voorkomen?

is het goed als ik het nu gelijk probeer dan bespaard u mij tijd.

wat is uw gebruikers naam ?

moment ok gevonden

wat is uw wachtwoord ok het werkt de systeem blijft ongewijzigd voor u
maar de server is geupdate bedankt voor uw medewerking.

goede dag

dit werkt echt :) ik heb nu een soort dialoog geschreven maar veel mensen
zijn gevoelig en als je de vertrouwen wint krijg je de gevraagde informatie
21-08-2006, 23:00 door Anoniem
Hehehe of iets onzinnigs vanwege Terrorisme bestrijding doen wij
onderzoek na het veiligheids niveau in ons bedrijft heeft u even tijd?
Ok mag ik wat vragen wat u email gebruikers naan en wachtwoord is?
wilt u dan zo vriendelijk te zijn na start run cmd in te voeren en dan ipconfig?
en dan het ip adress voor te lezen.

Dank u wel voor u medewerking en fijne werkdag verder voor meer
informatie kan u altijd onze ictérs bellen voor als u iets verdachts op merkt.
ons telefoon nr is... afdeling ict en tot ziens!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.