Хакнете сървърната стая! Не се изисква технология

Както всички сме наясно с болка, ИТ сигурността се предлага в много форми, от технически подробности до физически бариери. Но един съвет: Проверете отново всички нови мерки за сигурност. След това отстъпете и помислете за всичко, което би могло да бъде свързано с промените, които сте въвели. И накрая, проверете дали и те са осигурени адекватно.

Преди няколко години работех в една компания, където ми беше даден офис близо до сървърна стая. Не много преди това ИТ изпълнителите бяха поискали мерки за по-добра защита на сървърите.

Загрижеността възникна, защото този сървър съхранява данни за операция на стойност милиард долара, която съдържа поверителна информация, която трябваше да запазим. Искаха да контролират плътно достъпа до стаята.

Сигурност на първо място

Изпълнителите на ИТ бяха попълнили заявка за формуляр с фабрични услуги за премахване на ключалката и инсталиране на ключалка с комбинация от числа. Само няколко избрани ИТ служители биха знаели комбинацията за отваряне на вратата.

Отделът за обслужване на централите направи точно както е казано: Те извадиха ключалката с ключ и инсталираха нова ключалка с цифрова клавиатура. Както скоро обаче стигнахме да разберем, никой не се вгледа внимателно в готовата работа.

Около шест месеца след инсталирането на новата ключалка климатикът се провали в сървърната стая. Тъй като офисът ми беше наблизо, чух алармата и се обадих на шефа си, за да докладвам какво става. Не след дълго се появи обслужващият персонал и се опита да влезе в стаята, но не им беше даден кодът или друг начин за отваряне на вратата. Аз също не бях.

Обадихме се на моя шеф и други служители, за които знаехме, че имат кода, но никой от тях не отговаряше на офис телефоните си (това беше в дните преди мобилните телефони да са били често срещани). Алармите продължаваха да звънят и времето минаваше, а ние трябваше да направим нещо.

Грешките стават възможности

Погледнах внимателно вратата и изскочиха няколко детайла. Те издигнаха червени знамена за общата сигурност на стаята, но ми дадоха идеи как да се погрижа за непосредствения проблем.

Първо бяха изложени шарнирните щифтове. Една от възможностите ни беше да забием щифтовете на пантите нагоре и навън и да премахнем вратата.

Второ, и по-бързо и лесно за нашите цели, техниците, които са инсталирали ключалката, са направили точно както е поискано и очевидно не са обмислили ситуацията. Бяха свалили заключващия цилиндър и бяха монтирали клавиатурата, но не бяха сменили заключващия болт - клавиатурата беше прикрепена към малко лостово рамо, което се спусна надолу, за да изтегли оригиналния заключващ болт. Освен това те не са си направили труда да закърпят или адекватно да покрият откритата зона, оставена след себе си: Все още можете да изтеглите ключалката на ключалката, като пъхнете тел за закачалка на мястото, където е бил цилиндърът на ключалката.

Климатикът беше фиксиран и предупредих началниците си за това, което открихме. Излишно е да казвам, че не отнема много време на ИТ изпълнителите да внедрят допълнителни промени във вратата на сървърната стая - под техен личен надзор.