Hvor svært kan det lige være at tiltuske sig adgang til tophemmelige filer i regeringen?
Det spørgsmål stillede den svenske sikkerhedsspecialist David Jacoby sig selv for et stykke tid siden.
Da 32-årige David Jacoby med titlen senior sikkerhedsresarcher hos sikkerhedsselskabet Kaspersky ville have svar på spørgsmålet, henvendte han sig til en it-direktør hos en myndighed i den svenske stat.
Her spurgte David Jacoby, om han ikke godt måtte prøve at komme ind til myndighedens fortrolige filer.
Det fik Kaspersky-sikkerhedsekperten lov til og allierede sig straks med it-direktøren Martin Jartelius fra it-sikkerhedsfirmaet Outpost24, der skulle med som en hjælpende hånd til at brække sikkerheden op med en blanding af social engineering, hacking og en god portion frækhed.
Her er historien om, hvordan de to mænd kunne skaffe sig adgang til hemmelige filer på den svenske stats servere på blot 30 minutter.
Til højre i faktaboksen kan du se, hvilke formål de to undercover-sikkerhedsspecialister havde opstillet for deres mission.
En ganske stor myndighed
David Jacoby vil ikke fortælle, hvilken myndighed som de to mænd henvendte sig til for at teste sikkerheden.
Han vil dog gerne afsløre, at myndigheden har 1.500 aktive brugerkonti, fire geografiske lokationer i Sverige, en it-afdeling på omkring 30 mennesker og servere med kritisk infrastruktur.
"Så vi taler altså ikke om en lille myndighed," forsikrer David Jacoby til Computerworlds udsendte medarbejder.
Efter at have fået grønt lys fra myndighedens it-direktør, som var den eneste med kendskab til den hemmelige sikkerhedsmission, traskede de to sikkerhedsfolk op til myndighedens hovedindgang, hvor der var flere overvågningskameraer.
Hvem beskytter netværkstrafik ud af virksomheden?
De to sikkerhedsfolk iført skumle hensigter i dagens anledning gik derpå rundt om bygningen og fandt et tilstødende cafeteria, hvor de kunne se en dør, der førte ind til myndigheden.
"Jeg tog min mobiltelefon op til øret, sagde ganske højt 'ja, jeg er på trapperne, vi ses om 10 sekunder' og så åbnede jeg døren og gik ind til myndigheden. Helt simpelt," fortæller David Jacoby, som medbragte sin sikkerhedskollega ind i den bygning, hvor de to begyndte at snuse omkring.
Punkt et på to-do-listen kunne streges.
Sender oplysninger fra printeren
David Jacoby fandt hurtigt et printerrum, hvor han hev sin lille Rasberry Pi-computer i kreditkortstørrelse frem for at sende netværksbeskeder om myndighedens IP-adresse tilbage til sin computer på Kaspersky-kontoret.
Herefter havde han dybest set fjernadgang til myndighedens netværk, hvilket vil sige, at punkt to på to-do-listen kunne krydses af.
"De fleste virksomheders firewalls beskytter kun mod trafik udefra, mens det er meget sjældent, at der er beskyttelse på den trafik, der bliver sendt indefra og ud," forklarer David Jacoby.
Mens David Jacoby fægtede med sin mini-computer i printerrummet, havde hans medsvorne charmeret en af myndighedens medarbejdere ude på kontoret til at låne sin computer til den ukendte it-sikkerhedsspecialist fra Outpost24.
Forklaringen på at låne medarbejdernes maskine gik på, at sikkerhedsspecialisten forklarede, at han kom fra it-afdelingen og skulle undersøge netværksadgangen.
10 minutter efter var der installeret en bagdør på myndighedsmedarbejderens computer, og dermed kunne punkt tre og fire på to-do-listen blive hakket af.
"Vi kunne dog ikke finde noget interessant på den erobrede computer, og vi vidste stadig ikke, hvor de fortrolige informationer lå i bygningen," forklarer David Jacoby.
Bingo på sjette
De to herrer på hemmelig mission begyndte at arbejde sig opad i den seks etager høje bygning.
Så lang tid tog det at hugge fortrolige dokumenter
Etage efter etage kiggede de ind i alle åbne rum for at spejde efter brugbare informationer eller efterladte computere, men de fandt ikke noget, før de nåede til en ulåst dør på sjette sal, som førte de to sikkerhedseksperter ind i et rum med en maskine, som havde en del ekstra hardware omkring sig.
"Der stod en Windows-maskine uden password, og vi kunne hurtigt se, at netværksdeling var tilgængelig," forklarer David Jacoby, som efter at have studeret maskinen og den medfølgende hardware kunne konkludere, at denne maskine blev brugt til at indscanne fortrolige dokumenter.
Hurtigt fandt de flere filer, der netop indeholdt fortrolige dokumenter, og missionen var overstået på omkring en halv times tid.
"Da vi gik til it-direktøren med vores fund, var hans første svar bare 'crap!'," forklarer David Jacoby, som også fortæller, at topledelsen i myndigheden efterfølgende blev informeret om penetrationstesten.
Efterspillet i skoven
It-direktøren tog dog i første omgang de to sikkerhedsfolk med på en køretur ud til en af myndighedens afsidesliggende lokationer i et skovområde, hvor alle myndighedens computere, printere og andet netværksforbundet it-grej er samlet.
Mens it-direktøren sad og ventede i bilen, kunne de to sikkerhedsfolk på ingen tid få adgang til netværks-operationscentret. Det skete med en løgnehistorie om at de var nye i it-afdelingen og sat til at gennemføre en foto-dokumentering af printere.
"Derinde kunne vi så tappe al den trafik, som gik ind og ud af myndighedens netværk og computere," fortæller David Jacoby.
Han er på ingen måde overrasket over, hvor nemt det hele gik til, selv om der også var en vis portion held indblandet.
"Sikkerhedsfolk er altid interesserede i den nyeste teknologi, men hvis man kun taler om det nyeste, så glemmer man gamle teknikker som social engineering," opsummerer han oplevelsen.
Normalt i større virksomheder
Computerworld har tidligere talt med både danske og udenlandske sikkerhedseksperter om såkaldte penetrationstests, hvor man afprøver it-beredskabet ved et planlagt, men dog uanmeldt besøg.
Blandt andre har et af verdens største it-sikkerhedsselskaber, Symantec, berettet om, hvordan en ung, smuk lyshåret pige ved hjælp af sit ydre skaffede sig adgang til en produktionsvirksomhed, hvorefter hun plantede virus-inficerede USB-nøgler i virksomhedens computere.
Også den danske medicinalgigant Lundbeck og Danske Bank tester jævnligt sine medarbejderes evne til at modstå luskede forsøg på social engineering til at trænge ind i selskabernes it-systemer.