Security tests
Sogeti biedt security tests aan. Social engineering opdrachten, die hieronder vallen, zijn specifiek bedoeld om de fysieke beveiliging en de alertheid van de medewerkers te peilen. Als gevolg van Covid-19 zijn deze de laatste jaren een stuk minder vaak aangevraagd. Begrijpelijk, want het beeld leeft dat deze altijd op locatie moeten worden uitgevoerd. Deze aanvallen kunnen echter ook telefonisch (en zelfs per e-mail) worden uitgevoerd. In deze blog gaan we in op dit type aanval.
Elke security test begint met een intakegesprek. Hierin stellen we samen met de klant vast wat zij verwachten, wat dit concreet inhoudt en welke van onze oplossingen hier het beste bij past. Daarbij wordt er vastgesteld wat het doel van de specifieke opdracht is. Dit kan uiteenlopen van toegang verkrijgen tot iemands mailbox, oneigenlijke toegang tot een belangrijke ruimte binnen het bedrijfspand, mystery visits, of misschien wel malware voor toegang op afstand (RAT) installeren op het systeem van een eindgebruiker. De mogelijkheden zijn niet eindeloos, maar zelfs tussen twee vragen die in principe hetzelfde praktische doel hebben, is er genoeg variatie dat het voor ons altijd een leuke verrassing is om te zien hoe de opdracht zich ontwikkelt.
Samenwerken met Red Team
Begin dit jaar was er een opdracht waarbij ik samenwerkte met mijn collega’s binnen het Red Team. Voor het onderdeel waar ik aan meehielp was er al gedegen voorwerk gedaan. De bedoeling van de opdracht was het verkrijgen van consistente (langdurige/blijvende) toegang op interne systemen van de klant. Het plan was dit te bewerkstelligen vanuit een positie als supportmedewerker.
Bij het uitvoeren van dit soort testen kijken wij altijd naar de opbouw van de organisatie en proberen wij zoveel mogelijk de huisstijl te imiteren. Als wij eruitzien, doen en klinken alsof wij ergens thuishoren, is het voor de gemiddelde medewerker een stuk moeilijker om vast te stellen of de verzoeken die wij doen rechtmatig zijn. Dat helpt ons met het uitvoeren van additionele stappen waarmee wij de oneigenlijke toegang kunnen verankeren.
Dit zijn ook de stappen die een daadwerkelijke aanvaller zou uitvoeren. De meerwaarde voor de klant hierbij is dan ook niet alleen dat het bekend wordt hoe wij onszelf specifieke toegang verschaft hebben tot bepaalde systemen, maar ook dat zij als organisatie in zijn geheel hier in de toekomst beter mee om kunnen gaan. Daarnaast is het nooit zo dat er op basis van onze bevindingen specifieke personen gestraft worden. Het gaat altijd om een wisselwerking tussen mens, cultuur en aanwezige hard- en software. De bedoeling is altijd het vaststellen van het beveiligingsniveau, en het informeren, opleiden en alerter maken van medewerkers op basis daarvan.
De juiste kandidaat
Vanwege mijn vriendelijke telefoonstem en ervaring met de procedures die bij IT-ondersteuning aanwezig zijn, was ik bij uitstek geschikt om de rol van een supportmedewerker na te bootsen. Van de collega’s die het voorwerk gedaan hadden, kreeg ik informatie over de scope, en - in dit geval - een lijst van mensen die door mij benaderd mochten worden. Deze selectie is uiteraard in samenspraak met de klant gedaan. Dit soort opdrachten worden alleen met expliciete toestemming van de klant uitgevoerd en de klant tekent dan ook de nodige waivers en vrijwaringen om ons als medewerker te beschermen.
Opzet en doel social engineering aanval
In het geval van Red Teaming en social engineering proberen we altijd in overleg duidelijk te maken wat de impact is voor medewerkers. Samen maken we dan de beslissing wie wij gaan benaderen. Wanneer er meerdere mensen zijn met dezelfde rechten is dit handig, daar we niet alleen backup ‘targets’ hebben, maar ook de meest geschikte mensen kunnen selecteren die door ons worden aangevallen.
Verder zorgen we er altijd voor als een medewerker met reden de beveiliging – fysiek dan wel IT – inschakelt, dat er iemand in de escalatieboom zit die hier a) van afweet, b) voorkomt dat autoriteiten nodeloos worden geïnformeerd* en c) vanaf intern kan bijsturen dan wel een beslissing kan maken over het eventuele door laten gaan van de opdracht.
Afhankelijk van de afspraak en het type opdracht zijn er verschillende doelen. Bijvoorbeeld doorgaan tot wij ‘gepakt’ worden. Of hoeveel personen binnen bepaalde tijd reageren, ondanks dat er al melding is gemaakt. Soms is het juist waardevol om te zien hoe de afwikkeling van de melding wordt gedaan.
Red Team in actie
Mijn gedeelte van deze opdracht bestond uit het werkelijke contact met de klantcollega’s met het doel ze te overtuigen ons stappenplan te volgen. Dit had als gevolg dat mijn Sogeti-collega’s toegang tot het interne klantsysteem zouden krijgen. Van daaruit konden zij de rest van hun opdracht vervullen; namelijk doorstoten naar een kritiek systeem in de klantomgeving. Om dit zo soepel mogelijk te laten verlopen doen wij voorafgaand een aantal dry runs, waarbij de Sogetisten als ‘klant-collega’ opnamen en ik de mogelijkheid had om de stappen door te nemen. Naast een gedegen voorbereiding is ook geluk een factor in deze. Je moet maar net een iemand te pakken krijgen die of vatbaar is voor dit type aanval of bijvoorbeeld een minder goede dag heeft en daardoor even minder alert is. Maar dat niet alleen, de collega’s die klaar zaten om de technische stappen uit te voeren - denk aan het inladen van malware of inloggen met gestolen logingegevens - moeten ook mee kunnen bewegen. Binnen het Red Team is voor dit soort opdrachten goede samenwerking een must. Communicatie op de vloer is een combinatie van goed gebruik van de mute knop, schrijven op een white board en wat snelle handsignalen heen en weer om ervoor te zorgen dat iedereen snel kan schakelen. Na een aardig gesprek tussen mij en de behulpzame klantcollega kon ik de overdracht naar mijn Sogeti-collega’s faciliteren. Uiteindelijk waren we erin geslaagd om de medewerker te overtuigen zijn gebruikersnaam en wachtwoord in te laten vullen op een site van ons en met de gestolen informatie konden mijn Red Team collega’s weer verder.
De rapportage die uit zo’n soort opdracht rolt is anders opgebouwd dan die voor een webapplicatie wordt opgeleverd, daar er veel meer variabelen zijn betrokken bij de evaluatie van de stappen en de gespendeerde tijd. De informatie hierin wordt gebruikt om de klantmedewerkers beter te informeren over wat zij niet moeten accepteren - ook niet van zogeheten collega’s – maar ook monitoring krijgt op basis van onze testen meer inzicht over de specifieke onderdelen waar ze op moeten letten.
Ethical Hacking iets voor jou?
We zien vanuit de klant dat zij alle moeite die wij in dit soort opdrachten steken erg waarderen, en dat het het eindresultaat er altijd zeker mag zijn. Dat wij dit soort opdrachten met veel liefde en plezier uitvoeren is natuurlijk mooi meegenomen. Passie motiveert, en dat merk je bij Sogeti. Meer weten? Neem gerust contact op met Sigrid of bekijk de vacatures.
* In verband met het type opdracht dat wij uitvoeren zijn er uitvoerige waivers en vrijwaringen die ervoor zorgen dat wij onze opdracht kunnen uitvoeren zonder dat wij hiervoor vervolgd worden. De beschreven stappen worden alleen in overeenstemming met de klant uitgevoerd. Het afvuren van een social engineering aanval zonder de daarvoor benodigde toestemming en contracten kan leiden tot legale en financiële gevolgen voor de uitvoerder.
