Waarom onbeheerde niet uitgelogde pc’s gevaarlijk kunnen zijn?

Bedrijven geven veel geld uit aan security. Websites worden beveiligd, Firewalls worden gekocht en ingericht en er zijn complete policy’s waaraan wachtwoorden moeten voldoen. Maar vaak wordt er vergeten om te kijken naar de standaard inrichtingen van hun Cliënt server omgeving.

Gebruikers krijgen een pc met een wachtwoord. Dat wachtwoord moet voldoen aan diverse eisen. Complexiteit, lengte, duur dat het gebruikt mag worden etc. Maar is dat dan veilig?

Om bedrijven van dit gevaar op de hoogte te brengen hebben we van de zomer een aantal bedrijven de vraag gesteld hoelang men dacht dat ik nodig had om intern achter een pc, met behulp van standaard gebruikers rechten, de beveiliging te omzeilen. De antwoorden gingen van 1 uur tot onmogelijk.

Het echte antwoord is 90 seconden. Een aantal van de bedrijven zijn de uitdaging aangegaan, en verbaasden zich over het feit dat ik na 90 seconden in staat was om in databases te kijken, en zelfs servers uit te schakelen. En de reden is heel eenvoudig. In Microsoft omgevingen wordt veel gebruik gemaakt van de login- en logoff- scripts. Deze zijn nagenoeg altijd voorzien van “Elevated Privileges”.

Tijdens de uitlogprocedure is het mogelijk om door middel van een toetsencombinatie de procedure af te breken en met behulp van de “Elevated privileges” admin of poweruser rechten te krijgen op de machine. Daarna kan er een extern opslagmedium gekoppeld worden aan de pc, en kunnen zogenaamd “single executabel” applicaties gestart worden. Daarna is het vrij eenvoudig om scripts en dos commando’s te starten. Door dan vervolgens op de lokale machine of een server een scriptje achter te laten die connectie maakt met een externe server wordt de firewall van intern opengezet, en heeft de indringer van waar dan ook toegang tot het interne netwerk.

Maar vanuit de “single executabel” is het ook mogelijk om database servers te zoeken, en daar SQL queries op los te laten met verrassend resultaat. Iemand die dit in de praktijk wil gebruiken heeft maar drie dingen nodig.

• Toegang tot het pand.
• Beschikking over een niet gelockte pc waarvan de gebruiker even van zijn plek is.
• 3 minuten tijd om de pc te gebruiken en een script achter te laten.

In de meeste gevallen staat hij/zij dan binnen 5 minuten weer buiten en treft de gebruiker bij terug komst een pc aan die uitstaat. Vol verbazing (of niet) zal hij deze weer starten waarmee het achter gebleven scriptje geactiveerd word. De indringer heeft vervolgens vanaf een veilige locatie toegang tot het netwerk en kan data ophalen vanaf dat netwerk. Zonder dat de firewall hem/haar detecteert. 95 % of zelfs meer van de zaken waarbij data in de openbaarheid komt word op een dergelijke methode “van binnen uit” gedaan.