Penetration test (pentest или пен-тест) — тестирование на проникновение в помещение с целью проверки системы безопасности объекта на физическую уязвимость. Такому тесту подверг центр обработки данных специалист по кибербезопасности Эндрю Тирни (Andrew Tierney). Отчет о проделанной работе он разместил в серии твитов под ником @cybergibbons.
“Один из моих любимых экспериментов – физический доступ в центр обработки данных через туалеты. Позволь объяснить. Мне нужно было получить доступ с менее защищенной стороны подвального этажа в более защищенную зону”.
Изучив открытые планировочных документы Андрю нашел поэтажный план здания и обнаружил, что туалеты спроектированы со легкосъемными панелями и имеют небольшой коридорчик вдоль задней стороны каждого ряда кабинок для доступа сантехников. И этот коридор сопрягался с “защищенным” офисом центра обработки данных.
“Получив доступ к общедоступной стороне, я вошел в туалет. Из доступной кабинки в коридор вела скрытая дверь. Я открыл ее и пошел дальше. Убедившись (не вру), что в другой дальней кабинке никого нет, я вошел на охраняемую территорию центра обработки данных.
Это помогло мне обойти ворота-ловушки и все цифровые охранные устройства. Таким образом я физически хакнул (в оригинале твита более жесткое выражение) дата-центр.”
В комментариях к серии твитов пользователи вспомнили и другие ошибки проектирования, с которыми они сталкивались. Например, отсутствие перегородок между общественной и закрытой зонами в пространстве над подвесным потолком и под полом или установка дверей петлями наружу так, что петельные штыри можно было снять без проблем.
===
О проникновении в дата-центр мы уже публиковали материал, в котором приводится пример, как “взломщики” представившись фирмой по уничтожению тараканов облазили все уголки ЦОДа. Правда там использовались методы социальной инженерии — подробно этот случай указан в статье “Баги дата-центра”.
Вообще, физической безопасности посвящено много статей и в этом вопросе идет традиционная борьба методов взлома и защиты. Например, некоторые ЦОДы для хранения и обработки сверх критичных данных оборудуют специальные сейфовые комнаты. Но победителей в кибервойне вероятно не будет, поэтому ждем новые случаи взлома, в том числе такие забавные (на первый взгляд), как проникновение в дата-центр через туалет.
Материал подготовлен дата-центром ITSOFT
