Fysieke inbraak is een aanvalsfase die bestaat uit een aanvaller die op verschillende manieren inbreekt in het pand van een bedrijf. Het doel van deze fase is om de eerste toegang tot het doelwit te krijgen, vooral als andere pogingen zijn mislukt (phishing, internetaanvallen), of omdat het doel alleen fysiek kan worden bereikt, of wanneer de realisatie ervan weinig moeilijkheden lijkt op te leveren.
De mogelijkheid van een fysieke inbraak wordt regelmatig verwaarloosd in de beveiliging van een information system, maar biedt aanvallers niettemin een effectieve manier om rechtstreeks toegang te krijgen tot de IT-apparatuur van een bedrijf en om de netwerktoegang te gebruiken om verschillende interne aanvallen uit te voeren.
Hierdoor heeft de aanvaller directe toegang tot alle intern toegankelijke bronnen door alle perimeterbeveiligingsmaatregelen te omzeilen (de verdedigingslinie tussen internet en het interne netwerk van het bedrijf), bestaande uit netwerkfirewalls, applicatiefirewalls en andere gebruikte apparatuur en configuraties om te voorkomen dat een aanvaller deze grens overschrijdt.
Hierdoor kan een aanvaller toegang krijgen tot vaste werkstations van gebruikers, die over het algemeen een lager beschermingsniveau hebben dan mobiele werkstations omdat ze als minder kwetsbaar worden beschouwd. Bovendien kan de aanvaller door fysieke toegang tot de servers van het bedrijf het informatie systeem technisch afsluiten door de hardware te saboteren.
Een gerichte fysieke inbraak, zoals die door onze experts wordt toegepast, omvat eerst een voorbereidingsfase. Deze fase is vooral belangrijk omdat het de kans op succes van de missie maximaliseert. Het bestaat voornamelijk uit het realiseren van verkennen en verzamelen van informatie om een maximum aan ingangsvectoren te ontdekken en de scenario's die zullen worden opgezet zo goed mogelijk bij te sturen.
Het internet is de belangrijkste informatiebron voor deze fase. We onderscheiden drie hoofdtypen bronnen.
OSINT (Open-Source Intelligence): dit zijn alle gegevens die vrij beschikbaar zijn. We kunnen bijvoorbeeld de website van het bedrijf, openbare aanbestedingen – in het bijzonder voor bouw- of beveiligingsprojecten – persberichten of de lijst met leveranciers van het bedrijf aanhalen.
SOCMINT (Social Media Intelligence): dit zijn alle gegevens die beschikbaar zijn op sociale netwerken. Nuttige informatie is zowel te vinden in communicatie van de officiële accounts en in de openbare publicaties van werknemers (vakantiedata, foto’s van gebouwen tijdens de borrel, foto's van de verkregen badge op de eerste werkdag, etc.).
GEOINT (Geografische Intelligentie): dit is de geografische informatie die wordt weergegeven door sites zoals OpenStreetMap, Google Maps, Geoportail... Deze sites maken het mogelijk om talloze weergaven van het doel op te halen, zowel vanuit de lucht als street view, en soms zelfs het interieur van het pand of de campus.
Deze aanpak wordt meestal aangevuld met één of meerdere fysieke onderzoeken, on-site of in de omgeving.
Van de verzamelde informatie zijn de meest interessante:
Al deze informatie wordt vervolgens geaggregeerd en gebruikt om een of meer inbraakscenario's op te zetten.
Fysieke inbraakmethoden kunnen worden ingedeeld in 3 categorieën. Deze categorieën zijn complementair en moeten worden gecombineerd om de kans op succes van een missie te maximaliseren.
De eerste categorie betreft social hacking (of social engineering) en is gebaseerd op de menselijke factor. Dit is het meest complexe aspect voor een bedrijf om te beheersen en is daarom vaak de meest effectieve manier om het beoogde pand binnen te dringen. Social hacking bestaat uit het misleiden van de waakzaamheid van het personeel van het bedrijf om geen argwaan te wekken, of zelfs, in het beste geval, het verkrijgen van hulp van werknemers. Sommige succesvolle scenario's zijn bijvoorbeeld het zich voordoen als een IT-serviceprovider die toegang tot de serverruimte nodig heeft om een update uit te voeren.
De tweede categorie, fysiek hacken, bestaat uit het omzeilen van fysieke beveiligingsmaatregelen. Hiervoor bestaan veel technieken zoals het openen van sloten om vergrendelde deuren of lockers te openen. Er worden ook methoden gebruikt om alarmen uit te schakelen of nooduitgangen van buitenaf te openen. De eenvoudigste (maar meest bewezen) techniek is echter bumperkleven: de aanvaller maakt gebruik van een open deur (of een deur die als beleefdheid wordt vastgehouden) door een medewerker die toegang heeft, vooral wanneer ze terugkomen van een pauze. Dit is vooral effectief bij ingangen waar slechts één persoon kan inloggen en de deur kan openen voor een groep collega's.
De laatste categorie is digitaal hacken. Een van de belangrijkste aanvallen op dit gebied is het maken van een duplicaat van de badge van een werknemer. Afhankelijk van de gebruikte technologie kan het zeer betaalbaar zijn om binnen een redelijke tijd een contactloze toegangsbadge (RFID) te klonen, bijvoorbeeld met speciale apparatuur die in een computertas is verborgen. Het enige wat u hoeft te doen is langs het doelwit te lopen (in een gang of een metro, aan de receptie of de uitgang van het bedrijf) om de gegevens van de badge te verkrijgen en vervolgens een geldige toegang tot het pand te creëren.
Deze categorie omvat ook alle logische inbraaktechnieken die worden ingezet na een succesvolle fysieke inbraak. Op netwerkniveau is het mogelijk om een implantaat te plaatsen dat op afstand toegang geeft tot het interne netwerk van het doelwit. Dit implantaat kan, indien nodig, het netwerktoegangsbeveiligingsmechanisme (802.1x) omzeilen dankzij het speciale Fenrir-project. Op het niveau van de werkstations en servers zal het doel zijn om backdoors te installeren dankzij verschillende kwetsbaarheden waarvan de exploitatie mogelijk wordt gemaakt dankzij de fysieke toegang tot de machine:
Fysieke inbraak audits kunnen als aparte pentest worden uitgevoerd. Ze worden echter meestal opgenomen in technische audits van het Red Team als een effectieve manier om toegang te krijgen tot de IS en gegevens van een bedrijf.
Tijdens een operatie van het Red Team wordt het bedrijf het doelwit van onze experts, die proberen in te breken met behulp van realistische technieken die door cybercriminelen worden gebruikt, over een periode die kan variëren van één tot meerdere maanden. Er wordt een veelvoud aan vectoren gebruikt, zoals de exploitatie van blootgestelde diensten op internet, spear-phishing [4], telefoontjes om informatie van werknemers te onttrekken of fysieke inbraak in het pand.
De exacte datum van de inbraak wordt over het algemeen niet gecommuniceerd aan de teams van de klant om het verrassingseffect te behouden en om de beveiligingsteams, de kwaliteit van de ingevoerde processen en hun naleving in reële omstandigheden het best te evalueren. De doelstellingen worden in overleg met de klant bepaald en variëren naargelang zijn behoeften.
Sommige zijn vrij algemeen, zoals een simpele druppel van ons netwerkimplantaat of USB-sleutels die een virale lading binnen het pand bevatten. Andere verzoeken kunnen specifieker zijn, zoals het aanvallen van een specifiek beperkt gebied zoals een archiefruimte of een datacenter, het stelen van papieren documenten, het herstellen van wiskundige algoritmen, enz.
Hier zijn enkele voorbeelden van inbraken die we namens onze klanten hebben uitgevoerd.
Het doel was om de IS van het bedrijf in gevaar te brengen als onderdeel van een Red Team-missie. Na de detectiefase werd een eerste inbraakpoging gedaan via de parkeerplaats van het bedrijf. Eenmaal ter plaatse had de auditor toegang tot het datacenter van het bedrijf via een ontgrendelde deur die direct vanaf de parkeerplaats toegankelijk was. Van daaruit kon hij lang genoeg blijven om de hele IS in gevaar te brengen, een achterdeur te introduceren en het pand onopgemerkt te verlaten.
Na een korte wachttijd bij de hoofdingang van het bedrijf kon de auditor het pand betreden door een medewerker te volgen (tailgating). Omdat het personeel van de receptie niet reageerde ondanks het ontbreken van een zichtbare badge, kon de auditor zich vrij door het pand bewegen, enkele foto's maken, een netwerkimplantaat bij een printer plaatsen en verbergen en op dezelfde manier vertrekken. Ondanks deze fysieke beveiligingsfouten, ontdekte het IT-beveiligingsteam van het bedrijf (genaamd het Blue Team) een paar dagen later een aanval van het implantaat op het netwerk. Zonder hun waakzaamheid zou deze korte ingreep voldoende zijn geweest om de hele IS in gevaar te brengen.
Nadat hij zich bij de receptie van een van de gebouwen van het doelbedrijf en buiten het veld van de camera's had gevestigd, onderschepte de auditor enkele medewerkers met RFID-toegangsbadges tot het bedrijf. Hij presenteerde zich als een dienstverlener die een verificatie van badge-updates moest uitvoeren, badges die hij dus kon compromitteren dankzij speciale apparatuur.
Bovendien kon dankzij het verzamelen van informatie op sociale netwerken de afbeelding van de badge identiek worden gereproduceerd, waardoor onze teams functionele en realistische kopieën van de toegangsbadges tot het pand konden krijgen. Deze konden worden gebruikt om het pand te betreden zonder de minste argwaan te wekken en de gevraagde vertrouwelijke documenten werden teruggevonden. Eenmaal ter plaatse hebben de auditors ook verschillende gebruikersstations gecompromitteerd met behulp van de BadUSB [5]-aanval. Deze aanval maakt het mogelijk, met behulp van een speciale USB-sleutel, een toetsenbord te simuleren en op zeer hoge snelheid een reeks voorgeprogrammeerde commando's te "typen".
De mogelijkheid van een fysieke inbraak is gebaseerd op fysieke bescherming, toezicht, procedures en hun juiste gebruik, maar ook op het niveau van bewustzijn van werknemers en leveranciers.
Om dergelijke valkuilen te vermijden, is het aan te raden om de volgende vragen te stellen:
De experts van Orange Cyberdefense kunnen u helpen deze vragen te beantwoorden en u adviseren over de beveiliging van uw pand. Aarzel niet om hen te contacteren!
Opmerkingen:
[1] Basic Input Output System
[2] Direct Memory Access
[3] Pre-boot Execution Environment
[4] Spear-phishing is een specifiek op maat gemaakte phishing-techniek op basis van social engineering.
[5] BadUSB is een aanval die misbruik maakt van een inherente kwetsbaarheid in USB-firmware.