Social engineering: verslag van een hack

Als oprichter van de Amerikaanse beveiligingsconsultant Lares krijgt Chris Nickerson, expert in social engineering, van zijn klanten vaak de vraag of hij hun beveiliging eens wil testen. Nickerson geeft leiding aan een team dat security risk assessments houdt, via een methode die hij Red Team Testing noemt.

Nickerson en zijn team hebben onlangs zo’n test uitgevoerd voor een klant die hij omschrijft als “een retailer met een groot call center”. Volgens Nick was zijn team met een beetje voorbereiding vrij simpel in staat door te dringen tot het bedrijfsnetwerk en de database. Lees hier hoe ze dat hebben gedaan, en waar je op moet letten om zoiets bij jouw organisatie te voorkomen. Chris Nickerson:

"On-site vulnerability testing is vooral een kwestie van informatie verzamelen en onthouden. Het begint met gegevens verzamelen over je doelwit. Als ik voldoende informatie heb, kies ik een feestdag of een datum waarop een bepaald evenement wordt gehouden. In dit geval werd in de buurt een belangrijke paardenrace gehouden. In het gebied waar dit bedrijf zich bevind is het nogal een ding om bij die paardenrace aanwezig te zijn. Iedereen in die omgeving stond op het punt naar die race te vertrekken. Dat was een ideaal moment voor mij om dat kantoor binnen te stappen en te zeggen dat ik een afspraak had.

Het idee was dat ik naar de balie zou lopen en zou vragen naar iemand die we maar even Nancy zullen noemen. Ik wist dat Nancy niet op kantoor zou zijn omdat in haar MySpace profiel stond dat ze naar de race zou gaan. Toen ik via Twitter zag dat ze zich ging omkleden, wist ik dat ze naar huis was.

Ik droeg een Cisco-overhemd dat ik voor vier dollar in een tweedehands-kledingwinkel had gekocht. Bij de receptie zei ik "Hi, ik ben de nieuwe Cisco-vertegenwoordiger. Ik kom voor Nancy." Waarop die receptiemedewerker natuurlijk zegt dat ze niet achter haar bureau zit. Dus ik zeg "Ja, dat weet ik. We hebben al wat sms-jes uitgewisseld. Ze zei dat ze in een vergadering zit die wat uitloopt."

Dat was rond lunchtijd, dus ik zeg: "Als ik toch moet wachten, kan ik dan misschien ergens wat te eten krijgen?" Ik had natuurlijk al door dat het dichtstbijzijnde cafetaria een kilometer of acht verderop zat, want dat bedrijf zat ergens in een of andere buitenwijk. Dus die receptionist antwoordt: "Er is een paar kilometer verderop een McDonalds, maar we hebben hier ook een goede kantine. Als je wilt kun je daar wat eten."

Toen ik eenmaal de kantine in mocht, had ik meteen toegang tot de rest van het kantoor, want alleen de hoofdingang werd bewaakt. De kantine lag midden in het gebouw.

Dus ik ging naar de kantine en haalde wat te eten. Ik heb er ook wat USB-sticks laten vallen. Ik had er namen op gezet, zoals 'Loonlijst' of 'Strategie 2009'. De USB-sticks waren voorzien van rootkits. Sommige een autorun rootkit, andere had ik voorzien van Hacksaw, een stukje techniek dat je vanaf een U3-station kunt draaien. Zodra je dat in een computer steekt, en als die machine autorun aan heeft staan, verzamelt dat programmaatje dingen als wachtwoorden, gebruikersnamen en zo voorts. Die sticks zorgen er ook voor dat die informatie naar een bepaald emailadres wordt doorgestuurd. Dus zelf toen ik al lang weg was kreeg ik nog informatie binnen. Die sticks hebben maar een halve minuut nodig.

Als ik zoiets doe, leg ik die USB-sticks op plaatsen waar het logisch lijkt dat mensen zo'n ding verliezen of vergeten: in de toiletten bijvoorbeeld, of op een aanrecht. Bij een koffieapparaat is ook altijd goed. Plaatsen waar mensen hun handen leeg maken en misschien vergeten dat soort zaken weer op te pakken. Ik heb nog nooit USB-sticks achter gelaten zonder resultaat.