Every industrial cybersecurity question demands a tailor-made answer and solution. Our focused team of professionals who understand your business are here to assist your company in securing your mission critical facilities to the highest level.
Veel beveiligingslekken gaan gepaard met lekken, maar misschien niet op dezelfde manier als die van de bekende beveiligingsadviseur Andrew Tierney, die ongeoorloofde toegang tot een datacenter wist te krijgen via wat hij de “pisgang” noemt.
Tierney, die werkt als consultant, onthulde in een Twitter thread hoe een van zijn meest memorabele exploits inhield dat hij aantoonde dat het mogelijk was om fysieke toegang te krijgen tot het zogenaamd beveiligde gedeelte van een datacenter via de toiletten.
Tierney plaatste een diagram ter illustratie en liet zien dat de niet nader genoemde faciliteit een aparte toiletruimte had voor de algemene kantoorruimte en de beveiligde ruimte waar de IT-infrastructuur is ondergebracht. De twee toiletten waren echter aangrenzend, en Tierney realiseerde zich dat er eigenlijk een gedeelde toegangsruimte was voor het onderhoud van de toiletten, die achter beide cellen liep en die hij de “pisgang” noemde.
Het bleek dat deze toegangsruimte bereikbaar was via een verborgen deur in een toegankelijk hokje – een groter hokje ontworpen voor rolstoelgebruikers – aan weerszijden van de beveiligde/onveilige scheiding. Dat is dus precies wat Tierney deed: hij ging de toiletten binnen aan de kant van de algemene kantoorruimte en ging naar de “pisgang” via het toegankelijke hokje, en kwam er aan de zogenaamd veilige kant op dezelfde manier weer uit.
Tierney vermeldt niet of de verborgen deuren op slot waren om te voorkomen dat nieuwsgierige toiletbezoekers de toegangsruimte zouden betreden, of dat hij de sloten moest openbreken om toegang te krijgen.
Het enige ongemakkelijke moment had kunnen komen als het toegankelijke hokje aan de beveiligde kant bezet was geweest toen Tierney de verborgen deur opende, en daarom beweert hij dat hij dit pas deed nadat hij “zich er *echt* van had vergewist dat er niet nog iemand in het andere toegankelijke hokje zat”.
Opgewekt door zijn succes, merkte Tierney op dat hij er net in geslaagd was om de beveiliging van het datacenter te omzeilen, die bestond uit mantrap-ingangspoortjes waarbij het personeel “alle digitale apparaten moest inleveren” bij binnenkomst. Erger nog, de lay-out van het toilet was voor iedereen zichtbaar op openbare planningsdocumenten, wat betekende dat iedereen had kunnen bedenken hoe de beveiliging kon worden omzeild.
De les voor exploitanten van beveiligde faciliteiten is dat zij er goed op moeten letten dat zij niet betrapt worden op zulke voor de hand liggende manieren om fysieke beveiligingscontroles te omzeilen, en dat het altijd om meer gaat dan alleen IP-toegang.