Dator på vift – en stor säkerhetsrisk

Vi på Basalt kontaktades av en kund som ville ta reda på hur illa det kunde gå om en av företagets datorer blev stulen eller borttappad. Vår kund var osäker på vilka skyddsmekanismer som var installerade och om de faktiskt skulle fungera ifall en företagsdator hamnade i orätta händer. 

Det visade sig att Basalt inte bara lyckades få tillgång till informationen i själva datorn, utan även full kontroll av alla anslutna företagsdatorer i hela nätverket och dess mest känsliga system. Affärs- och ekonomisystem, mejl, inloggningsuppgifter, personuppgifter och HR-dokument är bara exempel på vad vi fick tillgång till i detta uppdrag.

När lösenord inte räcker till

Enligt kunden var ju datorn nerlåst med lösenord. Hur kunde en stulen, borttappad eller glömd dator leda till detta?

Det absolut viktigaste som kunden hade glömt i detta fall var att kryptera hårddiskarna på företagsdatorn. När diskkryptering saknas finns det inget skydd mot att en angripare kan läsa eller ändra innehåll på datorn trots att du har ett lösenord aktiverat i Windows. Denna typ av attack går att göra på många olika sätt, allt från att enkelt ta ut den fysiska hårddisken till att använda en USB-sticka

När Basalt hade fått åtkomst till företagsdatorn kunde vi i klartext läsa känslig information från sparade filer, men också få tillgång användarens lösenord. Med hjälp av de funna lösenorden kunde vi via företagsdatorn få access till företagsnätverket genom att låtsas vara personen som ägde datorn och därmed ansluta till de olika tjänsterna som personen hade åtkomst till.

Så kommer en angripare åt din information

När en angripare har fått fotfäste i en kunds miljö, denna gång via en stulen dator, så är det vanligt att man söker sig vidare efter mer intressanta system på kontorsnätverket. Vanligtvis så väljer en angripare sitt nästa system efter hur intressant eller hur sårbart systemet är, denna process försöker även vi att återskapa i vår test-metodik.

Basalt använder alltid en adaptiv metodik, det vill säga att vi i varje kunduppdrag agerar som verkliga angripare och letar därför efter den enklaste vägen in i ett nätverk. Vägen dit kan se olika ut, men vanligtvis kartlägger den som gör det riktiga intrånget följande svagheter: 

• Har användaren administratörsrättigheter på andra datorer i nätverket? 
• Har användaren åtkomst till känsliga filer med fler lösenord på nätverket? 
• Har användaren åtkomster eller rättigheter som kan missbrukas på nätverket? 
• Kan användaren komma åt äldre maskiner på nätverket som inte har fått säkerhetsuppdateringar på länge och som kan exploateras? (Teknikskuld är en klassisk fälla där gammal teknik kan innebära större sårbarhet) 
• Och så vidare… 

I detta fall visade det sig att kunden inte bara hade glömt att kryptera diskarna på sina företagsdatorer, utan även hade fuskat med uppdateringar på äldre maskiner i nätverket som blev den svaga länken och vår väg in.  

När man inte uppdaterar sin it-miljö så öppnar man sig inte bara upp för att en angripare enkelt kan navigera sig vidare i nätverket men det ökar även risken för att virus och ransomeware sprider sig snabbt och får enkelt fotfäste i nätverket med hjälp av kända sårbarheter, vilket kan leda till låsta datorer och en utpressare som börjar kräva pengar.  

Hur hade kunden kunnat undvika detta?

När en angripare väl har fått ett fotfäste i en företagsmiljö, via en laptop eller genom att en användare har klickat på ett illasinnat mejl från nätfiske, så brukar det gå väldigt fort att hitta en väg framåt. Men det finns sätt att undvika detta. Efter ett avslutat arbete med Basalt så hjälper vi alltid kunden framåt med konkreta åtgärder eller rekommendationer till åtgärder kunden kan ta till att förbättra sin it-miljö. 

Vi ser att många företag glömmer att skydda sina klientdatorer så vi vill gärna gå ut följande råd för att hjälpa fler att öka säkerheten, både i företagsdatorer och sin it-miljö. 

Basalt rekommenderar 

Om du vill undvika de vanligaste attackerna mot stulna eller glömda företagsdatorer rekommenderar vi följande åtgärder.

För dina datorer:

• Kryptera hårddisken
  För att undvika att någon kommer åt informationen när datorn är avstängd. 
• Använd BIOS- och UEFI-lösenord
  För att inte obehöriga skall kunna ändra bootmedium eller inställningar på datorn. 
• Aktivera secure boot
  För att förhindra rootkit eller annan skadlig kod ersätter din startladdare eller manipulerar den, tillåter UEFI inte operativsystemet att starta. 
• Aktivera pre-boot PIN
  En PIN-kod före start förhindrar att krypteringsnyckeln automatiskt laddas in i systemminnet under startprocessen, vilket skyddar mot direkt minnesåtkomst (DMA). 
• Avaktivera viloläge
  Se till datorn transporteras samt lämnas i avstängt läge för att undvika att känslig information lagras i minnet. (Krypteringsnycklar till hårddiskar kan angripas med DMA attacker på datorer i viloläge med verktyg som exempel PCILeech.)

För din it-miljö: 

• Se till att de senaste säkerhetsuppdateringarna tillämpas. 
• Se till att säkerhetsövervakning och logghantering samt backup av viktiga system finns på plats om olyckan är framme. 
• Se till att företaget använder en stark lösenordspolicy och ställer krav på komplexa lösenord på alla viktiga system och användarkonton. 
• Genomför regelbundna nätverksrevisioner och regelbundna penetrationstester för att identifiera era svaga länkar i nätverket. 

Det finns alltid utrymme för förbättringar, både när det gäller att säkra företagets datorer, it-miljön eller att utbilda personalen. Att arbeta systematiskt med sitt säkerhetsarbete är en av de största faktorerna till att sårbarheter kan upptäckas i god tid. Om du regelbundet genomför granskningar ligger du steget före. 

Författare
Fredrik Sandström, Senior it-säkerhetskonsult

---