Situace
Výrobní podnik s několika sty zaměstnanci nás oslovil s jednoduchou otázkou. Investovali roky do firewallů, antiviru a školení, ale nikdo jim nikdy nevyzkoušel, jestli to celé drží pohromadě. Chtěli vědět, jak daleko se dostane skutečný útočník, který nehraje fér a nezůstává jen na síti.
Všechny údaje v této referenci jsou anonymizované. Neuvádíme jméno klienta, lokalitu ani žádné identifikovatelné detaily. U bezpečnostních zakázek je diskrétnost samozřejmost.
Cíl
Zadání bylo jasné. Dostat se k doménovému administrátorovi a prokázat přístup k výrobním datům, aniž bychom byli odhaleni. Povolili jsme si přitom kombinovat útok přes síť, sociální inženýrství i fyzický průnik do budovy. Přesný rozsah, hranice a kontaktní osoby jsme předem sepsali do pravidel zapojení, takzvaných Rules of Engagement.
Co jsme udělali
Začali jsme rekognoskací. Z veřejných zdrojů a z pozorování na místě jsme zmapovali, kdy se střídá ostraha, jak vypadají vstupní karty a kudy chodí dodavatelé. Fyzickou část jsme vedli společně s kolegy z GBH Defence, kteří mají zkušenost ze speciálních jednotek.
Do budovy jsme se dostali takzvaným tailgatingem. Operátor s krabicí v ruce počkal u bočního vchodu na zaměstnance, který mu ze slušnosti podržel dveře. Žádný poplach se nespustil. Na recepci jsme se vydávali za externí techniky, kteří mají přijít na servis. Do nehlídané zasedací místnosti jsme připojili malé zařízení do volné síťové zásuvky a získali tak vzdálený přístup do vnitřní sítě.
Z vnitřní sítě už šlo všechno rychle. Našli jsme špatně nastavené sdílené složky, vytěžili přihlašovací údaje z paměti jedné stanice a postupně eskalovali oprávnění. Během necelých dvou dnů jsme se dostali až k účtu doménového administrátora a tím i k řízení celé domény.
Vizuální důkaz
Celý postup jsme dokumentovali. Pořídili jsme fotografie z míst, kam jsme se neměli dostat, snímky obrazovky z administrátorské konzole a časovou osu jednotlivých kroků. Ostraha ani IT oddělení o průniku po celou dobu nevěděli. Vizuální důkaz byl pro vedení nejsilnějším argumentem, proč mezery řešit.
Obchodní dopad
Kdyby šlo o skutečný útok, podnik by čelil zastavení výroby, zašifrování dat a možnému úniku know-how ke konkurenci. Ukázali jsme, že obrana nestojí jen na technologii. Selhání jednoho zdvořilého gesta u dveří stačilo k tomu, aby se útočník dostal dovnitř a odtud k nejcennějším datům.
Náprava
Společně s podnikem jsme sestavili plán nápravy seřazený podle závažnosti. Patřilo do něj oddělení návštěvnické sítě od interní, ověřování externích techniků, zaslepení nepoužívaných síťových zásuvek, zpřísnění oprávnění v doméně a praktické školení ostrahy i zaměstnanců na tailgating. Po nápravě jsme provedli retest a doložili, že nejzávažnější cesty útoku jsou skutečně uzavřené.