Z ulice až do serverovny. Jak je pro hackery těžké proniknout do firmy fyzickou cestou?

Barbora Nováková

Barbora Nováková
12. 10. 2023

Z ulice až do serverovny. Jak je pro hackery těžké proniknout do firmy fyzickou cestou?

SDÍLET

Vedlejším efektem vysoké fluktuace zaměstnanců ve firmách je i snížená pozornost pracovníků v kancelářích vůči novým kolegům a externím spolupracovníkům. Nízké ostražitosti proto hackeři s oblibou využívají. Fyzické vloupání a zneužití hmotných předmětů k proniknutí do IT infrastruktury patří dnes do závažných hrozeb pro firemní kyberbezpečnost. Přitom firmy tento aspekt často podceňují. Proč má smysl otestovat svou odolnost vůči takovému útoku? 

Ochrana fyzických aktiv se v roce 2022 podle výzkumu společnosti Rhombus stala z hlediska zabezpečení informačních sítí a citlivých firemních dat hned druhou největší prioritou bezpečnostních týmů. I proto roste význam penetration testerů, tedy specialistů, které si dnes mohou firmy najmout, aby otestovali fyzické zabezpečení jejich firemního sídla –⁠ od dveří a zámků přes CCTV kamery až po přístupy k samotnému IT systému. Cíl je jednoduchý: najít a zdokumentovat všechna zranitelná místa, která by hackeři jednou mohli využít.

Proč se vyplatí takový penetrační test neboli pen test podstoupit? Podle manažera IT bezpečnosti divize Unicornu Jiřího Vaňka bývá fyzické vloupání kolikrát častější než jiné typy kyberútoků. „Zabezpečení sítě z hlediska přístupů mají dnes zejména velké technologické firmy už většinou zvládnuté,“ tvrdí Vaněk. Proto se útočníci soustředí na odhalení slabin, které jim umožní dostat se do budov fyzicky a nabourat firemní síť zevnitř.



Z dosavadních zkušeností Jiřího Vaňka vyplývá, že slabost zabezpečení většinou vychází z nedůslednosti na různých úrovních. Zkopírovat kartu je stále jednoduché, zabezpečení portů bývá nedotažené a řízení přístupových práv nedomyšlené. Jinde technologie zastarávají nebo nejsou dostatečně zašifrované. Fyzické penetrační testování slouží právě k tomu, aby firmy zjistily, kde přesně se nacházejí jejich slabiny.

Mnoho firem si není schopno připustit, že by se měla věnovat pozornost i fyzické bezpečnosti. Tady je potřeba udělat změnu mindsetu.

Jiří Vaněk Jiří Vaněk
manažer IT bezpečnosti společnosti Unicorn

Při fyzických útocích hackeři někdy využívají prosté vylomení zámku. Nebo se pokoušejí zámky obejít pomocí tzv. lockpickingu (staré dobré otevření zámku bez poškození a použití klíče) a klonování RFID (neoprávněné zkopírování dat z RFID čipu – třeba z přístupové karty – na jiný čip nebo zařízení). Jindy ani to není nutné. „Už několikrát se nám podařilo projít turniketem za nepozorným zaměstnancem dřív, než se stačil zavřít,“ popsal Jiří Vaněk v podcastu O2 CyberCast. Metod, jak získat přístup k citlivým firemním údajům fyzicky, je zkrátka celá řada.


Jak probíhají penetrační testy ve firmách?

Pen testeři během testování obvykle postupují následovně. Začnou mapováním perimetru (tedy hranice mezi vnitřním, chráněným prostředím sítě a vnějším světem, který může obsahovat potenciální hrozby) a vstupních bodů, které lze obejít. Nepozorovaně prozkoumají prostory firemního sídla zblízka i zdálky, přičemž ke sběru informací často využívají také Google mapy, systém open-source intelligence xxx(OSINT) nebo i fotoaparáty s teleobjektivem –⁠ třeba k tomu, aby zjistili, kde nosí zaměstnanci firmy kartičky nebo jak to vypadá uvnitř kanceláří. Pokud je to pro tento účel potřeba, dostanou se pen testeři přímo do firmy například pod záminkou pohovoru nebo obchodní schůzky. Během této přípravy zdokumentují všechny zranitelnosti, na které narazí, a pak se pod falešnou identitou snaží získat přístup do budovy. 

Jakmile se pen testeři ocitnou uvnitř, pokračují hledáním citlivých informací, které by jim umožnily dostat se do IT systému. „Řada věcí se kolikrát jen tak povaluje na stolech nebo je mají lidé ve skříňkách, které snadno otevřeme. My například sbíráme hesla pomocí keyloggerů. Po takové návštěvě si často odnášíme zajímavé citlivé informace, na základě kterých pak naši etičtí hackeři pokračují v kyberútoku,“ přibližuje Jiří Vaněk z Unicornu. „A klientům necháváme nálepky na místech, kam jsme byli schopní se dostat,“ dodává. Na konci testu pak vypracují report se všemi zjištěními a doporučeními, díky kterému může firma posílit své fyzické zabezpečení.

Jak může vypadat fyzický útok v roce 2023?

Scénáře, které se pen testeři snaží simulovat, se nezřídka podobají scénám z akčního filmu. Jejich součástí může být i zdánlivě neškodná nová kolegyně, která si půjčí kartu od svých kolegů, jimž tvrdí, že si ji zapomněla v kanceláři. Díky tomu z ní získá prostřednictvím ukrytého bezdrátového zařízení přístupové údaje.  

Metody, které hackeři používají, jsou často kombinované, dlouhodobě plánované a promyšlené. Může to být například dumpster diving, kdy útočníci cíleně prohledávají odpadkové koše před budovou, aby našli informace, které jim v útoku pomůžou. Nebo se podvodníci vynalézavě dokážou převléct za údržbáře a tyto informace následně získat jen tím, že se pracovníkovi při pohybu po budově podívají přes rameno na obrazovku počítače. Ale i záměrné spuštění požárního poplachu za účelem vyvolání chaosu pomůže splnit jejich cíle. 

Častou metodou je také tzv. tailgating, kdy dotyčný jednoduše projde turniketem za skutečným zaměstnancem, nebo strčí nohu do zavírajících se dveří. A nechybí ani metody sociálního inženýrství (Vaňkův tým si například vytipovává síťové administrátory, na které pak cílí phishingové útoky) nebo zkoumání toho, zda se dají zneužít ethernetové zásuvky, které se používají pro připojení počítače k internetu přes kabel.


Proč se nechat otestovat? 

Jak dokládá tento článek, proniknout do firmy nemusí být tak obtížné, jak se na první pohled může zdát. Fyzickým zabezpečením si nemůžete být jistí, pokud ho netestujete. Stejně tak je ale důležité také testování IT infrastruktury, které nabízíme i v O2. Naše penetrační testy simulují útoky hackerů na různých úrovních, abychom posoudili, jak dobře organizace odolává kybernetickým hrozbám, včetně neautorizovaných akcí vašich zaměstnanců.  

Tyto testy slouží k identifikaci slabých míst v systému a architektuře, ke kontrole datové důvěrnosti, integrity a dostupnosti, což v konečném důsledku podporuje bezproblémový provoz informačních technologií a souvisejících podnikových procesů. Simulací různých útoků vám můžeme pomoci identifikovat a řešit vaši zranitelnost dříve, než to udělají útočníci. Jestliže máte zájem o ochranu vaší firmy před novými a stále sofistikovanějšími hrozbami, pomůžeme vám vytvořit bezpečnější prostředí pro vaši firmu, vaše zaměstnance a vaše klienty. Chci ochránit


Co si z článku odnést? 

  • Fyzické vloupání je pro hackery funkční cestou, jak se dostat k firemním citlivým datům
  • Fyzická stránka zabezpečení vaší firmy je stejně důležitá jako ta softwarová a je potřeba se jí věnovat.  
  • Nechte se testovat průběžně – hackeři své strategie neustále vylepšují a s tím by se měla zvyšovat i kvalita vašeho zabezpečení. 
  • Na základě doporučení pen testerů posílíte fyzické zabezpečení vaší firmy. 


Barbora Nováková Barbora Nováková
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Analýza rizik

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
SOC 2 cloud

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb
Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?
Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost
Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding
5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?