Sånn bryter de seg inn på jobben din: – Vi bare smiler, takker og småprater

– Vi elsker å pen-teste norske arbeidsplasser. Og vi kommer oss stort sett inn hvor som helst. Vi bare smiler og går rett inn. Det kan hackere også gjøre, advarer Alina Krogstad og Tryggve Altman Krogstad.

Alina Krogstad og Tryggve Altman Krogstad forteller hvor enkelt de kommer seg inn på jobben din med falske adgangskort, og falske smil. 📸: Privat
Alina Krogstad og Tryggve Altman Krogstad forteller hvor enkelt de kommer seg inn på jobben din med falske adgangskort, og falske smil. 📸: Privat Vis mer

Hva kan to UX-ere om sikkerhet, tenker kanskje du? Er ikke UX-ere bare opptatt av gode brukeropplevelser?

Joda, vi er opptatt av det. Men vi er også opptatt av å kartlegge brukeroppførsel og finne ut hvordan brukerne faktisk bruker systemene. Derfor har vi gode forutsetninger for å finne sikkerhetshull, og brukerne utgjør faktisk en av de største truslene.

Det er Nasjonal Sikkerhetsmåned og i år er et av hovedtemaene sosial manipulering. Ved å bruke det som på engelsk heter social engineering kan man lure folk til å bare gi seg tilgangene man trenger. Da slipper man å drive med komplisert IT og brute force hacking.

Og ikke noe sted er det lettere å bedrive social engineering enn i et land med generell høy tillit og generell lav IT-sikkerhetskompetanse.

Brukerne er et konstant sikkerhetshull

“The user is the eternal zero day” sier man i hacking-miljøer. En zero day er et sikkerhetshull som produsenten ikke vet om enda, altså har visst om i null dager.

Brukerne utgjør et konstant sikkerhetshull som produsenter av hardware og software aldri vil klare å fullstendig beskytte seg mot fordi man klarer rett og slett ikke å forutse hva en bruker kan finne på å gjøre.

I det siste har mange arbeidsplasser gitt de ansatte opplæring i å vokte seg mot phising og å ikke trykke på skumle lenker. Men hvorfor skal hackere gidde å skrive et komplisert virus og sende det på epost? De kan jo bare skaffe seg tilgang til nettverket deres direkte.

Vi er ikke hackere, men for å få tilgang trenger vi bare to ting og de er begge skammelig lett å få.

#1: Tilgang til kontoret

Å komme seg inn på kontoret deres er kjempelett. I et land hvor alle holder opp døra for hverandre er tailgating super-enkelt.

Hvis vi bare smiler, takker og småprater litt så smelter all skepsis vekk hos enhver nordmann.

Er du likevel litt skeptisk til å slippe oss inn, så viser vi deg bare adgangskortet vårt. Det ser helt ekte ut, men vi har laget det selv basert på et bilde vi fant på LinkedIn hvor din nyeste ansatte eller sist fratredte viser det frem i full farge og god oppløsning.

Det er kjempevanlig i Norge å legge ut bilde av seg selv mens man holder frem adgangskortet som henger om halsen som om det var en slags medalje man har fått. Fullstendig uten tanke for at dette kortet er en viktig del av sikkerheten på arbeidsplassen. En gavepakke til folk som ønsker å skaffe seg urettmessig tilgang.

#2: Tilgang til en PC

Så snart vi er inne er det lett å få tilgang til systemene deres. Dere tvinger sikker deres ansatte til å bytte passord annenhver måned. Kanskje har dere to-faktor også, men hva hjelper det når 9 av 10 av deres ansatte går fra PC-ene sine ulåst?

De skal bare en tur på do, eller hente en kaffe og PC-en låser seg jo automatisk. Ja, de fleste gjør det, men ikke før det har gått minst et helt minutt. Den ansatte bruker bare 10 sekunder på å gå ut av kontoret eller langt nok bort fra PC-en til at hen ikke ser at vi setter oss.

Med en gang noen rører tastaturet er låseprosessen avbrutt og nå har vi god tid til å sjekke det vi ville sjekke eller installere det vi ville installere. Skulle det komme noen og spørre hvorfor en av oss sitter på Torkjells plass og bruker hans PC, viser man bare frem ID-kortet og sier at man er nyansatt og fikk lov til å låne Torkjells PC litt.

Forklaringen er kanskje tynn, men ettersom vi har adgangskort som ser helt riktig ut, blir alle skeptikere beroliget. Og det føles jo ugreit å spørre så mye også.

Et spørsmål om kultur

IT-sikkerhet handler mye om trygge IT-systemer, men det handler også i stor grad om systemene rundt. Det vi kan kalle kulturen.

Vi må gjøre det mer akseptabelt å lukke døren etter seg, selv om det kommer noen etter. Vi må gjøre det mer akseptabelt å stille kritiske spørsmål når du ser noen på kontoret du ikke kjenner. Vi må gjøre det helt uakseptabelt å ikke låse PC-en selv om du bare skal «en liten tur ut». Og vi må få slutt på den evindelige fotograferingen av ID-kort som deles på nett.

Vi foreslår følgende handlingsplan:

  • Ser vi noen dele bilde av adgangskort på nett, så ber vi de fjerne det. Selv om vi ikke kjenner dem.
  • Ser vi noen sitte med kortet synlig på trikken så ber vi dem snu det eller ta det av.
  • Ser vi en ulåst PC, så tukler vi med innstillingene dine så skjermvisningen din er oppned eller du har kyrillisk tastatur når du kommer tilbake.

Bli med på dugnad du også!