Tidigare har David Jacoby, som är säkerhetsexpert på Kapersky Labs, visat hur han med hjälp av ett infekterat usb-minne kunde ta sig in i olika organisationers it-miljö. Nu kan han berätta om hur enkelt han fysiskt tog sig in på en myndighet och kom in i nätverket.
Efter att ha sysslat med penetrationstester i tio år, började David Jacoby tveka om han verkligen gjorde någon nytta.
– Jag gjorde penetrationstester, hittade sårbarheter och levererade rapporter. Men vad hände sedan då?
Han har själv åtskilliga gånger hållit föredrag på olika konferenser om dagens och morgondagens hot. I dag anser han att frågan om framtidens hot och risker är helt irrelevant.
– Sårbarheter uppstår genom ganska enkla försummelser.
Han började ställa frågan till säkerhetsansvariga om hur deras worst case-scenarior ser ut.
– Ingen kunde svara. Hur kan de då veta vad de ska investera i för säkerhetsprodukter?
Han bestämde sig för att göra ett test och tog kontakt med en it-chef som han känner och bad om att få göra en penetrationstest på hans myndighet. Han fick klartecken och i samarbete med en kollega på Outpost24 genomförde han den. Hans berättelse är hisnande.
De två kollegorna for till myndigheten och försökte inte komma in genom huvudentrén, men det fanns ett kafé i byggnaden och i den fanns en entré till myndigheten. När en anställd öppnade dörren inifrån myndigheten, så stod David Jacoby beredd med sin mobil intill örat.
– Jag låtsades tala med någon på myndigheten i mobilen och berättade att nu är vi här. Vi blev insläppta utan problem. Vi behövde bara vänta tre minuter.
Väl inne började de sitt test i kopiatorrummet.
– Genom närtverksingången kopplade vi upp en Raspberry Pi till nätverket.
Därefter störde han en medarbetare, berättade att han var där för att testa skrivarna och behövde låna en dator. Det fick han.
– Min kollega laddade ned en telnet-klient.
Därefter åker de båda säkerhetsexperterna upp till ett stort kopiatorrum intill ekonomiavdelningen. Där fanns en uppkopplad dator.
Mer om testet kan läsas på David Jaobys blogg.
