Безопасность глазами злоумышленника

Предлагая свои услуги для бизнеса, мы всегда стараемся взглянуть на действующие системы безопасности со стороны потенциального злоумышленника. Только когда проникновение на объект клиента или сбор конфиденциальной информации становятся нашей задачей — мы можем в полной мере анализировать все возможные уязвимости и принять меры для организации по-настоящему эффективной безопасности.

Для сохранения конфиденциальности клиента, мы не будем разглашать подробности мероприятия, имена и фамилии участников. Весь публикуемый материал — согласован с участвующими сторонами и предоставлен исключительно в образовательных целях!

В большинстве случаев, собственники бизнеса обращаются к нам с уже выявленными проблемами: «объемы хищения привели к убыткам», «принятый на работу без проверки сотрудник занимался промышленным шпионажем» или же «случившийся инцидент превратился в трагедию»…

В этой статье, пойдет речь о предпринимателе, который захотел предупредить возможные потери и риски, а потому первой задачей для нашей команды — стало выявление всех возможных уязвимостей физического периметра охраны.

Здесь мы расскажем об аудите исключительно физической безопасности компании.

Подобные задачи выполняют наши оперативные сотрудники, а потому далее мы предоставим фрагменты из финального отчета нашего специалиста:

Имея некоторый практический опыт в несанкционированных доступах, после получения вводных данных по объекту заказчика, я рыскал в безграничных просторах интернета в поисках планировки помещений и… успешно нашел на сайте арендодателя.

Объект представлял собой 12-этажное офисное здание, где помимо большого количества офисов 4-й этаж занимало интересующее меня предприятие. Внешний периметр охранялся ЧОПом и имел 3 поста охраны: двое сотрудников на турникетах при входе около ресепшн, сотрудник ПТБ (подразделения транспортной безопасности) на парковке с торца здания и еще один сотрудник около пожарного выхода. (Факт охраны пожарного выхода, действительно напрягал меня как пентестера и означал действительно профессиональный подход к обеспечению безопасности.) Также мной было обнаружено не менее 9 камер видеонаблюдения, но так как задачей было проникновение — я не стал тратить время на расчет их сектора обзора.

Вариант с поддельным оффером и попыткой проникновения через запись на собеседование отпал, так как ни в одной из расположенных в здании компаний не было HR-отдела (во всяком случае по этому адресу). Пришлось сходить за кофе в соседнее здание, чтобы более тщательно обдумать стратегию проникновения.

Важно отметить, что время на выполнение задачи было ограничено одним днем, поэтому в данном отчете нет рассказа о тщательной разведке и качественной подготовке.

Пока ждал кофе, засмотрелся на двух бездомных, пересчитывающих мелочь и… мне пришла идея, стать их временным работодателем.

В ходе наблюдения за зданием, было установлено, что раз в 30 минут один из двух охранников оставлял пост и шел на курилку, которая находилась с обратной стороны здания. Между прочим, при планировании курилки (хоть пропаганда курения это плохо), оптимально располагать ее в зоне видимости поста. Или же подменять сотрудника, отлучающегося на перекур.

Наверное это не слишком этично; но я предложил мужчинам без места жительства, за скромные 500 рублей на человека, по моей команде попытаться пройти за турникетную зону, а в идеале сделать все возможное для того чтобы сотрудник охраны покинул пост и зону видимости турникетов. Взвесив мое предложение, новоиспеченные пентестеры согласились.

Подождав около 20 минут, пока выйдет на перекур сотрудник охраны, мои новые коллеги, по команде ринулись в бой. Не прошло и 2 минут, как я сквозь стеклянную стену холла, увидел как охранник поднялся с места и приступил к попытке вывести моих «товарищей», естественно покинув турникетную зону. Кивнув, как старой знакомой, милой девушке на ресепшен я спокойно шмыгнул под турникет, пока охранник агрессивно выталкивал из стеклянных дверей, непризнанных специалистов.

Довольный прохождением первого периметра охраны, я зашел в лифт и очень огорчился:

Конечно в моем рюкзаке лежал замечательный набор слесарных инструментов, попросту говоря отмычек, но тратить добрых 40-50 минут чтобы вскрыть незнакомый замок не очень хотелось. Тем более, что меня все еще мучила мысль о том, что охранник после того как выведет бездомных мужчин, вспомнит промелькнувшего меня и пойдет убедиться что я не какой-нибудь негодяй-пентестер, который в данный момент стоит и с ужасом смотрит на кнопки в лифте.

Так как делать ничего не оставалось, я начал нажимать кнопки без всякого ключа и… Фиаско! Кнопка на 5 этаж, сработала и лифт действительно поехал.

Как выяснилось позже, данную систему контроля доступа подключили недавно и не всем арендаторам выдали ключи.

Оказавшись на 5 этаже, я искренне пожалел что не взял альпинистскую обвязку, метров 50 веревки и какую-нибудь спусковуху, хотя с учетом того что «базу» пришлось бы вязать на батарее, снаряжение бы мне не сильно помогло.

Пришлось искать выход на пожарную лестницу, который к счастью не был оборудован магнитным замком. По эвакуационной лестнице я спустился на 4 этаж, где располагался офис охранного предприятия и снова сюрприз:

Установить магнитный замок со стороны лестницы, оказалось не самой безопасной идеей. Если бы этот элемент располагался внутри, то это бы уберегло офис от моего визита, ну и старая модель замка, перестающая работать при отключении электричества — всегда радует злоумышленников. Подумав об ущербе и перебрав в уме несколько более этичных вариантов открытия, я просунул лезвие ножа между стеной и магнитом, где находились провода и перерезал их безо всякого труда и зазрения совести.

Кстати говоря со стороны офиса, для выхода на эвакуационную лестницу следовало приложить карту к NFC-считывателю, что довольно небезопасно при возникновении пожара.

Далее я оставил рюкзак на пожарной лестнице, дабы иметь более представительский образ, достал пустую кожаную папку, чтобы не создавать вид полного бездельника и прошмыгнув в коридор стал ждать кого-нибудь из сотрудников.

Вышедшая из кабинета сотрудницы предприятия, опередила мою легенду вопросом: «Вы из росгвардии?» и получив мой бессовестный утвердительный кивок, сама провела в кабинет руководителя.

По результату проникновения, нами были пересмотрены действующие регламенты безопасности, проведена перестановка охранных постов и система их взаимодействия, был нанесен профилактический визит к руководству ЧОПа (в дальнейшем нами было предложено более компетентное охранное предприятие), а также проведена переустановка систем СКУД (контроля удаленного доступа), для предотвращения возможного проникновения уже настоящего злоумышленника.

Не менее успешно специалисты компании «Securizor» провели аудит информационной безопасности. Сейчас мы предоставляем данной компании услуги комплексной службы безопасности и все периметры организации охраны, сведены на наших сотрудников, которые не только круглосуточно отреагируют на инцидент, но и предупредят возможность его появления.