Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Echte veiligheidstest, gratis!, party trick 1.

30-11-2011, 12:06 door Thaddy, 16 reacties
Dit forum wordt gelezen door zowel professionals als geinteresseerden.
Probeer deze eens op de werkvloer, vraag wel van te voren toestemming op schrift, liefst zo hoog mogelijk in de organisatie:

Train jezelf met je mobiel zonder te kijken de camera te focussen op het toetsenbord en beeldscherm van een collega.
Roep hem of haar terug van bijv. lunch (aanname: uitgelogd)
Pretendeer aan de telefoon te zijn.
Stimuleer je collega eventueel iets op te zoeken.
Hij/zij zal inloggen.

Nogmaals: doe dit met de hoogst mogelijke toestemming! Zeg metéén nadat je het hebt gedaan, zonder dat je überhaupt in staat was je cinematografische gaven te gebruiken tegen je collega dat hij/zij buiten het bereik van jouw camera het paswoord moet veranderen! (Nog geen reden geven, wellicht)


Speel hem of haar het filmpje terug, maak er eventueel een slomo van.

Elke amateur kan dit. Mijn resultaten zijn > 80%

Wat zijn jullie resultaten? Ik ben benieuwd! Gaan jullie er wat mee doen?

Afhankelijk van de reacties zal ik meer party tricks publiceren.
Reacties (16)
30-11-2011, 12:19 door SirDice
Door Thaddy: Train jezelf met je mobiel zonder te kijken de camera te focussen op het toetsenbord en beeldscherm van een collega.
Beter bekent als "shoulder-surfing".
30-11-2011, 12:23 door Thaddy
Yup. Onderschat in industriele spionage (ook wel gasten genaamd)
30-11-2011, 12:25 door Thaddy
Yup. Onderschat in industriele spionage (ook wel gasten genaamd)
Security awareness verdient dit soort luchtige eye-openers, niet?
30-11-2011, 12:29 door Thaddy
Door SirDice:
Door Thaddy: Train jezelf met je mobiel zonder te kijken de camera te focussen op het toetsenbord en beeldscherm van een collega.
Beter bekent als "shoulder-surfing".

Wellicht weet jij ook nog een paar inkoppertjes die vrijwel altijd werken?
Wordt IMO tijd ze weer eens te laten zien, nu met wat zelfwerkzaamheid.

Groetjes,

Thaddy
30-11-2011, 13:14 door SirDice
Door Thaddy: Wellicht weet jij ook nog een paar inkoppertjes die vrijwel altijd werken?
Wat USB sticks laten slingeren op een parkeerplaats schijnt ook erg effectief te zijn.
30-11-2011, 13:24 door Thaddy
Door SirDice:
Wat USB sticks laten slingeren op een parkeerplaats schijnt ook erg effectief te zijn.

Voldoet niet aan mijn ethische voorwaarden, helaas.
Te groot gevaar voor collateral damage. (iemand anders dan je doel)
Maar dat het werkt staat vast.

Kan bovendien simpeler.
Staat bij jullie het printerhok ook altijd open? Met zakelijk briefpapier en enveloppen?

Wellicht in een ander scenario?
30-11-2011, 13:38 door Rubbertje
Ik heb verhalen gelezen waarbij men een pand huurt en met telescopen door het raam naar binnen kijken bij het kantoor aan de overkant en op die manier toetsaanslagen ontfutselen.
30-11-2011, 14:15 door Thaddy
Die zijn wáár en gebeuren nog dagelijks, al is het door luiaards/ondeskundigen/stalkers.
Het is ook wáár dat je vooral je oude aquarium straling (crt) door het beton heen buiten kan omzetten in een zichtbaar beeld. Met bwvs €2,50 aan hardware. Maar dat zijn al geavanceerder hacks dan ik met de party tricks wil laten zien.

Geen extra materiaal, scholing of fancy hardware noodzakelijk.

Maar wel altijd met een beschrijving hoe je het moet doen zonder meteen ontslagen te worden.

Om meteen te laten zien dat op verzoek of met toestemming hacken/pentesten geen strafbaar feit hoeft te zijn wat hier wel eens wordt gesteld.
En ook dat het vaak niets met techniek, maar met procedures te maken heeft. Dat zijn ook hacks en bovendien vaak veel gevaarlijker dan een technisch lek

Het gaat niet om de truuks, maar om bewustzijn.
30-11-2011, 15:00 door Anoniem
"vraag wel van te voren toestemming op schrift, liefst zo hoog mogelijk in de organisatie"

Zo hoog mogelijk ? Je moet iemand hebben met mandaat/bevoegdheid om die toestemming te verlenen. Zo hoog mogelijk zegt eigenlijk niets.
30-11-2011, 16:21 door Anoniem
vergeet niet je flitslamp uit te zetten!! :P
30-11-2011, 16:26 door Anoniem
Dat mandaat ligt ultimo bij degene die verantwoordelijk is voor de organisatie, niet alleen de ICT organisatie, die sterk beperkt is tot techniek.
Dat lijkt me duidelijk? Dat is meestal een van de directieleden. Bij wat grotere bedrijven met kennis van de raad van commissarissen. Gedelegeerde bevoegdheden zeggen hier niet veel.
Het gaat hier niet over ICT, hoor. Dan heb je het niet begrepen.

Een goed aanspreek punt is in een kleine organisatie de directeur zelf. In een wat grotere de CIO, ICT manager en/of HR.
Als het maar goed wordt voorbereid en vastgelegd, met oog voor de cultuur van de organisatie.
30-11-2011, 20:37 door cjkos
Door Anoniem: vergeet niet je flitslamp uit te zetten!! :P

Cool!
Gelukkig maar dat die niet werkt bij het filmen van de toetsaanslagen.
30-11-2011, 21:14 door Thaddy
Door Anoniem: Dat mandaat ligt ultimo bij degene die verantwoordelijk is voor de organisatie, niet alleen de ICT organisatie, die sterk beperkt is tot techniek.
Dat lijkt me duidelijk? Dat is meestal een van de directieleden. Bij wat grotere bedrijven met kennis van de raad van commissarissen. Gedelegeerde bevoegdheden zeggen hier niet veel.
Het gaat hier niet over ICT, hoor. Dan heb je het niet begrepen.

Een goed aanspreek punt is in een kleine organisatie de directeur zelf. In een wat grotere de CIO, ICT manager en/of HR.
Als het maar goed wordt voorbereid en vastgelegd, met oog voor de cultuur van de organisatie.

Of de security officer.
30-11-2011, 21:41 door Anoniem
http://www.ad.nl/ad/nl/1041/Amsterdam/article/detail/3057328/2011/11/30/Diamantair-ontdekt-verborgen-camera-op-raam.dhtml


bedoel je zo ?

;)
01-12-2011, 13:22 door golem
Ik denk niet dat de gemiddelde collega het waardeert om op een dergelijke
manier door andere collega even zo te kijk wordt gezet.

Je denkt goed te doen, maar zet misschien wel een hoop kwaad bloed.
Grote kans dat ze je terug willen pakken, je goed in de gaten gaan houden.
Je aanzien voor een kontkusser van de leiding enz enz.

Eerst maar eens langere tijd/meerdere malen vanuit de directie
voorlichting/bewustzijn campagnes starten.
03-12-2011, 08:46 door Anoniem
is een keylogger installeren niet veel makkelijker als je al aanneemt dat je in je eigen pand wilt inbreken en dus toegang hebt tot fysiek alles?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.