Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 74, views: 36.518 •

De fysieke beveiliging van bedrijven hapert, waardoor de digitale veiligheid in het geding is, blijkt uit onderzoek van het Nederlandse beveiligingsbedrijf LBVD. Op verzoek van negentien bedrijven probeerde LBVD fysiek binnen te dringen en een router in het netwerk te pluggen.

In achttien van de negentien gevallen lukte dat, stelt woordvoerster Sharon Mangkoewihardjo van LBVD tegenover Tweakers. Onderzoekers van het bedrijf verkleedden zich bijvoorbeeld als inspecteur van de brandweer, monteur of verhuizer. Daarna werden ze alleen gelaten en konden ze de router met succes plaatsen. Vervolgens lukte het in driekwart van de gevallen om op afstand via wifi toegang te krijgen tot het interne netwerk.

Een beveiligingsmedewerker van een van de onderzochte bedrijven bevestigt dat het bedrijf met succes is binnengedrongen. "We hebben later de camerabeelden teruggekeken en zagen dat iemand op het parkeerterrein was gekomen door achter een andere auto aan te rijden", aldus de medewerker. Vervolgens liep de onderzoeker achter een andere medewerker aan, zodat hij toegang tot het gebouw had. Daarmee omzeilde hij de toegangspoortjes. In een leeg kantoor installeerde hij de router en eenmaal weer terug op het parkeerterrein had hij toegang tot het netwerk. "Hij had toen nog geen username en password, maar als hij had gewild was hij zeker verder gekomen."

Het onderzochte bedrijf, dat niet wil dat de bedrijfsnaam of de sector waarin het actief is bekend wordt, had de onderzoekers zelf gevraagd om de beveiliging te testen. Het bedrijf gaat maatregelen nemen om herhaling te voorkomen. Zo wordt een beveiligingsmaatregel ingevoerd waardoor niet zomaar een andere router in het netwerk geplaatst kan worden. "Honderd procent beveiliging bestaat niet, dus je moet er altijd van uitgaan dat er vreemden op je netwerk zijn", aldus de beveiligingsmedewerker. Social engineering blijft een zwakte. "Mensen houden de deur voor je open als je je handen vol hebt."

Ook bij andere organisaties waren er wel beveiligingsmaatregelen, maar die werden in de praktijk niet goed nageleefd. Zo was er een organisatie waarbij voor toegang tot elke ruimte een pasje nodig was. Bij die organisatie werd een van de vergaderruimten echter opengehouden door een stoel, waardoor de onderzoeker de ruimte kon betreden en de router kon aansluiten.

Slechts één bedrijf rook onraad. Hoewel de onderzoeker erin slaagde om toegang te krijgen tot het pand, werd hij ontmaskerd toen hij de router aan het installeren was. Omdat de onderzoekers in opdracht van de bedrijven zelf onderzoek deden, waren er geen juridische consequenties.

Reacties (74)

Het zou stijlvol zijn als een hacker dit op Tweakers had geplaatst door het bedrijf fysiek te hacken.

Dat gezegd hebbende is het zo dat het zeer lastig is om echt alles te beveiligen intern. Zelfs als je de infrastructuur goed hebt beveiligd heb je nog te maken met slecht opgevoedde users. Wachtwoorden en inlognamen op stick-its of makkelijk te raden wachtwoorden. Onbeveiligde USB-poorten en niet afgesloten serverruimtes.

In de huidige cultuur waarin er dagelijks nieuwe mensen aan- en af-rollen bij bedrijven komt daarbij ook nog eens het probleem dat je vaak toch ongewenst vrij tijdelijke werkkrachten redelijk veel vrijheid op de structuur moet geven wat een risicofactor is.

Vaak is de wil om de achtergrond te controleren er ook niet tot het mis gaat. Men 'geloofd' wel dat het oke is en de dunste laag van aannemelijke reden voor toegang tot het netwerk wordt door een hoop mensen al geaccepteerd.

Het is niet perse de ICT afdeling overigens die het fout doet, maar veelv aker gewoon Jan of Miep die ergens achter een bureautje zit binnen het bedrijf.

[Reactie gewijzigd door Auredium op 3 mei 2013 16:34]

Het zou stijlvol zijn als een hacker dit op Tweakers had geplaatst door het bedrijf fysiek te hacken.
Stijlvol, maar illegaal. Dit soort bureaus worden juist ingehuurd door bedrijven om hun eigen beveiliging te testen, wat wel legaal is. Het blijft wel spannend werk. :)

Overigens helpt maar bar weinig tegen ongeautoriseerde indringers. Mitigatie? Zorgen dat het niet interessant genoeg is om als persoon binnen te dringen.

Uit het artikel:
Een beveiligingsmedewerker van een van de onderzochte bedrijven bevestigt dat het bedrijf met succes is binnengedrongen. "We hebben later de camerabeelden teruggekeken en zagen dat iemand op het parkeerterrein was gekomen door achter een andere auto aan te rijden", aldus de medewerker. Vervolgens liep de onderzoeker achter een andere medewerker aan, zodat hij toegang tot het gebouw had. Daarmee omzeilde hij de toegangspoortjes.
Voorkom dus dat twee voertuigen/personen tegelijk door een poortje kunnen. Dat lost het probleem al deels op. Dit vereist natuurlijk ook voortdurende waakzaamheid van beveiligingspersoneel, en dat menselijk aspect is juist de zwakke plek. ;)

[Reactie gewijzigd door The Zep Man op 3 mei 2013 16:35]

Voorkom dus dat twee voertuigen/personen tegelijk door een poortje kunnen. Dat lost het probleem al deels op.
Tja... helaas is dit een ingebakken beveiliging in dit soort apparaten. Als er een auto onder de openstaande slagboom staat mag deze niet naar beneden komen.

Net zo goed dat een draaideur o.i.d. niet zomaar een mens mag plat drukken.

Beiden beveiligingsfuncties kan je niet zomaar uitzetten (denk maar aan claims als iemand zijn arm breekt in een deurtje of een slagboom op zijn auto krijgt.) Het komt dus vooral op de bewakers aan om alert te zijn op dit soort trucjes.
Als ik het bedrijventerrein oprijdt en ik zie dat er een auto zo ongeveer in mijn kofferbak zit (je moet er echt behoorlijk dicht op rijden om de slagboom te laten geloven dat het om 1 voertuig met bijv aanhanger gaat. lees max 50cm) dan is dat ook al reden om dat even aan te kijken of te melden bij de beveiliging. Geen van mijn collega's zou namelijk proberen direct achter een ander door een poortje te rijden maar openen hem netjes zelf.
Ik begrijp je punt, maar als ik de personen die ik ken moet gaan opnoemen die bijna nooit goed 'spiegelen' dan ben ik wel even bezig. Er zullen zat mensen zijn die het niet eens doorhebben omdat je toch in je spiegel moet kijken om te zien of er iemand op je bumper zit. Man... ik ken zelfs mensen die de spiegels zo gedraaid hebben dat ze helemaal niets zien bij een normale positie achter het stuur... 'want dan schijnen koplampen zo vervelend in je ogen!!.... die moeten dus altijd heen en weer bewegen om goed in de spiegels te kunnen kijken. Mensen letten donders slecht op wat er achter ze gebeurd in het verkeer en het verbaasd mij niets dat dit soort praktijken in de meeste gevallen dus gewoon werken.
Dit is 'makkelijk' op te lossen door een sluisje te maken met een tweede slagboom. De tweede gaat pas open als de eerste (achter je) weer dicht is. Tussen beide slagbomen is slechts ruimte genoeg voor een auto.

Bij Schiphol gebruiken ze dit om te voorkomen dat mensen achter elkaar de parkeergarage uit rijden zonder te betalen.
Ja en op P22 waar ik mijn auto moest plaatsen omdat ik er werkte.. Kon ik 9 van de 10 keer er niet doorheen.. omdat de stempel automaat niet de barcode juist aanpaste..

Dan druk je op een knop.. Ja hallo.. Ik kom van het schipholgebouw af.. En de stempel automaat is weer stuk..

Ahhh rij maar door.. Dus zo streng zijn ze op schiphol ook niet.

BTW... Waar ik nu werkzaam ben.. zijn de laptops helemal dicht gezet.. Ook voor ITers. Erg leuk NOT... Dus veel contracters pakken hun eigen laptop en verbinden deze aan het fysieke netwerk wat niet mag.. Maar zo kunnen ze wel werken.. En teamviewer op hun bedrijfs laptop zorgt er voor dat ze wel mail e.d. kunnen lezen.

Door NAC of NAP te gebruiken kunnen al vrij snel onbekende nic's geblokeerd worden..

[Reactie gewijzigd door To_Tall op 3 mei 2013 22:29]

maar als een slagboom langer open blijft voor een 2e auto dan zou dit dus wel gemeld kunnen worden aan de beveiliging door bijv een piepje ofzo. problem solved!
net zoals sluizen overigens.
Ik ben het met je eens dat niet alles te beveiligen is.

Toch kan je maar beter zo veel mogelijk maatregelen nemen. Het werkt ontmoedigend.

Vergelijk het met het op slot zetten van je fiets. Deze is vrijwel altijd alsnog mee te nemen, bijv. door het slot door te knippen met een betonschaar. Echter, als je de boel goed op slot zet, maak je het simpelweg minder interessant om jouw fiets te nemen - er zal immers ongetwijfeld ergens een fiets staan die je met veel minder moeite meeneemt.

Als iemand het echt wil, vindt men vaak wel een weg naar binnen, maar dan heb je het over gespecialiseerde en georganiseerde misdaad, voor zo ver ik weet en hoop, niet iets dat bijzonder veel voorkomt.
Dit is eigenlijk HEEL simpel te beveiligen... eentje van de 19 had dit schijnbaar ook... managed switch gebruiken... goedkope switches (lees unmanaged) inzetten... tsja....
Een managed switch gebruiken beschermt je niet tegen het aansluiten van computers, laptops of routers van derden, trouwens, bijna ieder fatsoenlijk bedrijfsnetwerk is opgezet met managed switches. Managed switches in combinatie met een ACS appliance is wel een oplossing. Alle geauthentiseerde computers komen op het bedrijfs-vlan, alle onbekende apparatuur komt automatisch op een guest-vlan terecht. Zo kunnen bezoekers toch hun webmail checken maar kunnen ze verder nergens bij.

[Reactie gewijzigd door Millgate op 3 mei 2013 21:05]

elcomsoft and brute forcen die hap;)
echt een oude truc.. welke hackers film was dat ook al weer ?
Sneakers (1992)
Takedown (2000)

[Reactie gewijzigd door 505261 op 3 mei 2013 16:34]

Hackers 2, operation takedown.

Volgt het leven van Kevin Mitnick die door social engineering ver binnen kwam.

Edit, deze moest onder pepijnb

[Reactie gewijzigd door tha_crazy op 3 mei 2013 16:34]

Ik denk niet dat je als bedrijf dit soort veiligheid risico's helemaal kan uitsluiten. Maar wel goed dat bedrijven de risico's onderzoeken. Ben benieuwd hoe vaak dit soort zaken in het echt gebeuren.
In een leeg kantoor installeerde hij de router
Bij mijn bedrijf zijn die ethernet putjes niet gepatched. Waardoor je niet zo maar ergens een apparaat in het netwerk kan prikken

[Reactie gewijzigd door daft_dutch op 3 mei 2013 16:28]

[...]

Bij mijn bedrijf zijn die ethernet putjes niet gepatched. Waardoor je niet zo maar ergens een apparaat in het netwerk kan prikken
Waarna je in plaats daarvan een pc losmaakt en op dat putje aansluit. De pc stop je dan weer in de router die je zelf (in bridge mode) geplaatst hebt.

99 van de 100 netwerken staat een dergelijke aanval gewoon toe.
Bij ons dus niet, niet geauthoriseerde PC en de poort word automatisch afgesloten. Alleen zit men blijkbaar met een probleem bij de configuratie waardoor netwerk printers er ook niet meer opgeraken. Poorten waarop een printer staan zijn dus weer unrestricted ...
Bij ons dus niet, niet geauthoriseerde PC en de poort word automatisch afgesloten. Alleen zit men blijkbaar met een probleem bij de configuratie waardoor netwerk printers er ook niet meer opgeraken. Poorten waarop een printer staan zijn dus weer unrestricted ...
Dat valt natuurlijk prima af te vangen. Prik er een switch tussen die in repeater mode staat en luister gewoon het MAC-adres van een PC af die op het netwerk wordt toegelaten.

Vervolgens met je eigen systeem/router die MAC spoofen, het verkeer van de PC erachter gewoon vrolijk doorlaten en het systeem heeft niet in de gaten dat er nog andere pakketjes tussendoor gestuurd worden die niet (fysiek) van die PC afkomstig zijn.
Een zeer bekende truuk zijn de spanningsbeveiligers. Dit zijn tafelcontactdozen met twee RJ45 stekkers. Je steekt eerst een kabel van de muur naar de contactdoos, en daarna van de contactdoos naar je computer. Zo bescherm je je computer voor spanningspieken op je netwerkkabels.

Er zijn echter ook apparaten die hier heel erg veel op lijken maar stieken een volwaardige Linux distro hebben draaien (op een ARM SoC), inclusief WiFi accesspoint en eventueel een microfoon / camera voor extra aftapmogelijkheden. Zeer pienter, maar ook zeer gevaarlijk.
Je hebt ze zelfs in-wall. Je maakt een RJ45 muur doos open, installeert je routertje en maakt de doos weer dicht.
Tricky spul, en zonder level 3 filtering nauwelijks op te sporen.
Je zal verbaast zijn bij hoeveel tokos je gewoon naar binnen kan lopen.
Als je dan ook nog een map en een koffertje bij je hebt is het nog makkelijker!

Eigen ervaring door jarenlang als field engineer bij diverse grote bedrijven langs te gaan.
Op de Hoogovens en KLM na was de beveiliging niet aanwezig...
Bedrijven met duizenden mensen personeel moeten wel. Maar ergens waar 100 man werkt is stiekem een routertje plaatsen meestal geen probleem. Wat ik nogal overdreven vind is dat dat onder hacken zou vallen. Er hoeft niets gehackt te worden. Software en apparatuur worden op een "normale" manier gebruikt zonder iets te manipuleren. Overigens geldt dat ook voor social engineering. In beide gevallen worden er mogelijk ongeauthoriseerd gegevens bemachtigd maar is er geen bijzondere technische kennis voor nodig.
Als er zo geredeneerd wordt vallen volgens mij alle scenario's waarin een voorwerp of een methode niet gebruikt/toegepast wordt zoals het hoort onder hacken.
Ergens heb ik het idee dat die trend min of meer bewust gestimuleerd wordt. Het lijkt een soort propaganda. Mensen met (te?) veel kennis worden telkens vaker geassocieerd met criminaliteit en als onbetrouwbaar afgespiegeld.
An sich valt dit inderdaad niet onder hacken. Het is echter een ingang creëren om vervolgens te hacken (en dit geldt evenzo voor social angineering). Eens je namelijk fysiek toegang hebt tot het netwerk wordt het veel eenvoudiger om het intern bedrijfsnetwerk binnen te geraken.
Ja dit is meer een soort van infiltratieactie zoals hij in 't echt gebeurd ook.

Overigens d'r probeerde er aantal jaar geleden ook een yank zo iets bij een bedrijf waar ik rondliep. Hij liep heel joviaal mee vanaf parkeerterrein. Ik hield de deur voor 'm open. Eerste security check. Camera voor ons, Camera boven ons en camera achter ons en receptiepersoneel voor ons.

Receptie ontfermde zich toen over 'm.

Daar leverde ik 'm af. Volgens mij snapte hij 't toen.

Deze infiltratieactie is natuurlijk wat we noemen 'economische spionage'. De vraag is in hoeverre ook bij ontwikkelafdelingen om te zwijgen over tradersgroepen wisten binnen te komen. Ik vermoed dat dat daar 0% gelukt is.
En uiteindelijk is het grootste risico voor elk bedrijf nog de vaste medewerker, die er allang werkt, alles kent en door iedereen vertrouwd wordt. En tenzij je elke medewerker elke keer dat die het pand verlaat een CAT-scan doet ondergaan om te verifieren dat hij/zij niet bijv. een 64 GByte microSD-kaartje met alle interessante informatie ergens op of in het lichaam meeneemt, dicht je het grootste lek niet.
Waarom niet gelijk een alert laten afgaan als iemand data aan het kopiëren is naar een extern opslag medium. Of als iemand meer dan een X aantal bestanden kopieert of X grootte aan bestanden. Mits dit technisch mogelijk is natuurlijk.

Wij hadden laatst ook een interimmer die bij de meeste klantendossiers kon. Op zich mocht hij dat en kon dat geen kwaad, maar toen uit een standaard screening van zijn account bleek dat hij wel heel veel klantendossiers geopend en hier en daar gekopieerd had op een goede ochtend, toch even een gesprek aangegaan.
Het voorbeeld is een routertje maar veel interessanter is de telefoontjes en de gesprekken afluisteren van managers van beursgenoteerde bedrijven.
Een CAT scan op een microSD kaart?
Ik loop iedere dag met een laptop het gebouw uit (en de volgende dag weer naar binnen natuurlijk).
Ik heb trouwens wel eens iemand tegengehouden die achter me aan wou lopen zonder met zijn pasje in te loggen. Hij bleek trouwens bij ons te werken, en was gewoon te lui om zijn pasje te pakken.

De voormalige hacker Johnny 'I hack stuff' Long heeft trouwens een heel boek over 'no-tech' hacking. Hij beschrijft precies de zaken die ook in dit artikel staan. Een heel aardige vond ik een personeels ingang met automatische schuifdeuren die open gingen middels een pasje. Om personeel dat het pand verlaat dan dienst te zijn, was aan de binnenzijde een bewegingsmelder geplaatst, zodat de deuren automatisch open gingen. Johnny (inmiddels een ingehuurde beveiligingsbeamte) wist de deuren te openen door een vlaggetje op een stokje tussen de schuifdeuren door te wurmen en een beetje te bewegen.
Eenmaal binnen heeft hij een Wifi router aangesloten, en hij wist ook nog wat top secret papieren te kopieren. Daarna is hij naar zijn opdrachtgever gegaan en laten zien wat hij gedaan had.

Zo zie je maar, als je goed wiltn beveiligen moet je niet alleen aan high tech oplossingen denken.
Vaste medewerkers die consultant worden inderdaad - dat is de grootste ellende.

Er staat ook geen gevangenisstraf op spionage. Google reed hier met auto's rond in NL. Werd gepakt dat ze probeerden iedereen te hacken en alle mobiele netwerken aftapten, maar niemand ging de bak in. Slechts 1 miljoen euro boete van de AFM.

Voor miljarden aan nuttige informatie gejat. Vooral de kleine bedrijfjes die professionele beveiliging niet betalen kunnen, die zijn de klos natuurlijk. Elke nieuwe ontwikkeling door google doorverkocht richting startups in USA.

Ik bedoel maar, volgende keer komt Google hier met 100 van die auto's.

Sterker nog, ze zijn met enorm datacentrum gekomen in NL.
Erm.... signalen die jij of anderen zelf op straat gooien (zonder beveiliging) opvangen en dat 'hacken' noemen?
Als jij in jouw tuin loopt te schreeuwen en ik neem dat op, hack ik dan ook? Maar goed, dit is off-topic.
Hoeveel nuttige data haal je binnen als je met 50 km/u door een straat rijdt en duizenden flarden willekeurige data opneemt? Ik denk zo ongeveer 0,0. Ik vond die hele zaak overdreven.
Ik denk dat een goed NAC systeem en netwerk segmentering dit gevaar kan mitigeren.
Stop daarnaast ook nog een IPS/IDS tussen je werkstation en server vlans en je kan dan in ieder geval zeggen dat je je best hebt gedaan.

[Reactie gewijzigd door schaijik op 3 mei 2013 16:28]

Offtopic:
Dat lijkt me pas een heerlijk beroep wat die onderzoekers hebben, gewoon legaal zonder dat het bedrijf het weet inbreken op het netwerk en ze daarna ermee confronteren.

Ontoppic:
Maar hoe willen ze dit dan gaan verbeteren?

De slagbomen truc die werkt altijd.
En mensen hebben nu eenmaal ''de zwakte'' om andere mensen te helpen bv bij een deur.
Ontoppic:
Maar hoe willen ze dit dan gaan verbeteren?


De slagbomen truc die werkt altijd.
En mensen hebben nu eenmaal ''de zwakte'' om andere mensen te helpen bv bij een deur.
Dubbele slagbomen en mantraps. Bij slagbomen gaat de tweede niet open als de eerste nog omhoog staat, en bij mantraps kan fysiek maar één persoon ergens tegelijk doorheen (eventueel onder menselijke bewaking).

[Reactie gewijzigd door The Zep Man op 3 mei 2013 16:40]

Wij hebben ook draaimolens staan waar in principe maar 1 persoon gelijktijdig doorkan. Toch hebben we al een keer gezien dat men er met 2 doorging, de andere klom er gewoon over.
Dubbele slagbomen. Dat had een bedrijf waar ik lang geleden werkte ook. Koste gemiddeld een half uur om van het parkeerterrein te komen en die waren dus snel weer weg.

Beveiliging werkt alleen maar als het uitvoerbaar is. Dit soort social hacks zijn vrijwel niet te vermijden. Natuurlijk is het afsluiten van poorten die niet in gebruik zijn een goed begin. SOP voor al mijn netwerk mensen. Als een poort 3 weken niet is gebruikt gaat ie automatisch dicht.
Dubbele slagbomen. Dat had een bedrijf waar ik lang geleden werkte ook. Koste gemiddeld een half uur om van het parkeerterrein te komen en die waren dus snel weer weg.
Dan doet jouw bedrijf iets fout. Zie de parkeergarage van Schiphol voor een voorbeeld hoe het wel kan en werkt.
Zo'n dubbele boom hoeft dan ook alleen maar als je naar binnen gaat, niet als je naar buiten gaat ;)
Het plaatsen van tourniquets met een receptioniste zou bijvoorbeeld goed kunnen werken.
In de regel is het zo dat bedrijven hier zelfs voor betalen :p Pen test bedrijven worden ingeschakeld om de beveiliging proactief te testen. Lijkt mij inderdaad een fijne job.
@rob6115, ze zijn dus nu 1x ingehuurd door 19 beursgenoteerde bedrijven.

Dat betekent dus schofterig weinig inkomsten tenzij ze ook echt data roven en verkopen :)
Heb ik al zo vaak bedacht. Of gewoon een willekeurig nummer van het bedrijf bellen, zeggen dat je van de it-helpdesk bent en dat je voor een update even username/password nodig hebt. Wedden dat je binnen 5 telefoontjes ingelogd bent?
Voor economische spionage is dat inderdaad iets wat soms werkt :)
Laatste klus waar ik zat werd me de toegang voor 7:45 uur ontzegt (men wilde mij lijfelijk aanwezig zien.... ;( ), maar om een webdeploy te kunnen doorvoeren moest ik voor 8:00 uur gereed zijn, dus liet de schoonmaker me binnen....

Maar als het wachtwoord van een van de belangrijkere webapplicaties van de al jarenlang gewoon de naam is van de applicatie....

En nee, ik zeg niet waar het is.... :)

[Reactie gewijzigd door HeSitated op 3 mei 2013 16:42]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013