Important notice: this blog is for educational purposes only. Do not use these techniques against targets without explicit permission of the system owner. This blog is part of the Blue Hat Hackers group insights.

Fysieke pentesten – een onmisbare aanvulling op digitale pentesten

Klassieke pentesten zijn voor veel organisaties een geijkte methode om hun cyberbeveiliging te testen. Door de effectiviteit van de beveiligingsmaatregelen met een gesimuleerde aanval te toetsen, worden kwetsbaarheden geïdentificeerd en kan de veerkracht van de organisatie worden vergroot. Naast het uitvoeren van een logische aanval is ook het fysiek binnendringen vaak een effectieve manier om gevoelige gegevens te bemachtigen. Sterke firewalls en andere best practices voorkomen dat aanvallers het netwerk binnendringen, maar deze houden geen stand tegen hackers die fysiek een gebouw betreden en daar een laptop aansluiten op een IP-verbinding, of simpelweg een laptop van een medewerker pakken die vergeten is het apparaat te vergrendelen tijdens de lunch. Bij een fysieke binnendringingstest wordt vaak ingespeeld op de menselijke kant van de beveiliging. Door eenvoudige, maar erg doeltreffende technieken te gebruiken, zoals piggy-tailing en social engineering, lukt het vaak om beveiligers, receptie en oplettende medewerkers te omzeilen.

Bij een van onze klanten voor wie wij de fysieke beveiliging onderzochten, drong onze security tester ‘Marc’ doeltreffend ver door in de beveiligde afdeling van een grote organisatie, met niets meer dan een versleten pas, een vriendelijke lach en een beetje zelfvertrouwen.

Marc, the accidental mystery guest

Het is vroeg in de ochtend wanneer Marc zijn verkenning uitvoert. Het gebouw wordt omringd door hoge hekken en is beveiligd met toegangssluizen en talloze camera’s. Hij loopt langs het hek en ziet op het fietspad een versleten groene pas liggen. Marc stopt en pakt de pas op. Er staan geen logo’s op de pas, alleen een registratienummer.

Terwijl Marc langs het hek loopt met de pas in zijn hand, stopt hij bij de eerste personeelsingang aan de achterzijde van het terrein. Marc haalt de pas langs de paslezer van de toegangspoort om te zien wat er gebeurt. Er verschijnt een rood licht aan de bovenzijde van de paal en de poort blijft gesloten. Marc drukt op de knop van de intercom, en over de krakende speaker klinkt een vriendelijke stem. “Welkom, waarmee kan ik u van dienst zijn?” “Deze pas werkt niet”, vertelt Marc, maar hij laat gemakshalve achterwege dat hij de pas alleen wil inleveren. “Dat kan gebeuren, komt u verder”, klinkt de stem over de intercom terwijl het hek opent. Marc haalt zijn schouders op, maakt van de gelegenheid gebruik en loopt het parkeerdek op, op zoek naar de personeelsingang. Aan het einde van de parkeerplaats ziet Marc dat de toegang is afgeschermd door een imposante beveiligingssluis. De sluis is gemaakt door een leverancier die erom bekendstaat optimale beveiliging te bieden tegen ongeautoriseerde toegang door personen. De sluis bestaat uit een draaideur die slechts plaats biedt aan één persoon, uitgerust is met een paslezer en bescherming biedt tegen tailgaiting. De draaideur reikt tot aan het plafond en wordt met camera’s in de gaten gehouden. Marc arriveert bij de draaideur en drukt ook hier op het knopje van de intercom. Uit de speaker klinkt dezelfde vriendelijke stem als bij de poort: “Met de receptie, ik had u al zien aankomen.” Het licht boven de deur springt op groen en Marc wordt binnengelaten.

Eenmaal binnen, kijkt Marc even om zich heen en zoekt de receptie. Doordat hij via de achterdeur is binnengekomen, is het hem niet helemaal duidelijk waar de receptie zich bevindt. Via de eetzaal komt Marc uiteindelijk bij de receptie aan. “Goedemorgen, deze pas werkt niet”, vertelt Marc glimlachend aan de receptionist. “Dat zou goed kunnen”, antwoordt de receptionist vriendelijk. “Mag ik het registratienummer van de pas?” Marc kijkt op de pas en leest het nummer dat erop staat voor. “Mogelijk is de toegangstermijn verstreken”, vertelt Marc erbij. “U hebt gelijk”, antwoordt de receptionist. “Ik zal er een jaartje bij doen.” Marc wacht geduldig bij de balie, terwijl hij zich erover verbaast dat hem niet om zijn ID wordt gevraagd. “Geregeld, fijne dag nog”, zegt zij vriendelijk wanneer ze klaar is. De receptionist overhandigt de pas aan Marc, en nog voordat hij iets kan zeggen draait zij zich snel terug naar haar scherm om het zoveelste binnenkomende telefoontje te beantwoorden.

Marc kijkt naar de pas, draait zich om en beseft dat hij – zonder enige inzet van technologie­­­­­­­­­­­­­­­­­­­ ­– ­­het komende jaar een werkende toegangspas heeft tot het hoofdkantoor van de klant. Hij kijkt naar de bewegwijzering, loopt de trap op naar een beveiligde afdeling van het kantoor en haalt zijn pas langs de sensor. Marc hoort een slot openschieten en een groen licht verschijnt, de deur opent en Marc ziet mensen druk aan het werk. Hij loopt over de gang en ziet laptops open staan, stapels documenten op de bureaus, planningen op de muren en hij hoort mensen druk discussiëren over het halen van projectdeadlines en budgetten. Terwijl Marc naar de koffieautomaat loopt en een bakje koffie pakt, ziet hij dat de toegangsdeur van een gecompartimenteerde afdeling wordt opengehouden door een markeerstift in de deursponning. Waarschijnlijk zit die stift daar, zodat mensen niet iedere keer hun pas hoeven te scannen om binnen te komen. Marc loopt de beveiligde afdeling op en neemt plaats op een bankje. Hij drinkt daar rustig zijn koffie, terwijl mensen om hem heen druk in de weer zijn. Het valt niemand echt op dat Marc daar zit. Na een half uurtje heeft Marc voldoende informatie verzameld, hij staat op en loopt naar de toegangsdeur. Terwijl deze beveiligde deur voor Marc wordt opengehouden door andere mensen die naar binnen gaan, wordt hij vriendelijk begroet. Marc loopt naar beneden en langs de receptie, via een andere toegang weer naar buiten. Eenmaal buiten, gooit Marc de pas door de bedrijfsbrievenbus.

Verschillende vormen van fysieke pentesten

In de basis zijn er drie verschillende manieren om de fysieke beveiliging te onderzoeken. Welke manier levert nu de beste resultaten en welke is daarmee het geschiktst om in te zetten? De drie typen fysieke assessments laten zich als volgt omschrijven:

Overt testing

Bij een zogenoemde Overt test (ook wel fysieke beveiligingsassessment) wordt in afstemming met de aanwezige beveiligingsmedewerkers de effectiviteit van de fysieke beveiligingsmaatregelen onderzocht. Denk hierbij aan het systematisch onderzoeken van mogelijkheden tot het bypassen van sloten, klonen van pasjes en dergelijke. Bij deze werkzaamheden wordt geen poging gedaan de testen onopgemerkt uit te voeren. Ook hebben de testers voorkennis van de doelwitorganisatie om een zo compleet mogelijk beeld te krijgen van zwakheden in de onderzochte maatregelen. De testwerkzaamheden kunnen hierbij tevens dienen als training van de beveiligingsmedewerkers, door ze mee te laten kijken met de uit te voeren (bypass)technieken en tools om de aanwezige beveiligingsmaatregelen te evalueren en mogelijk te omzeilen. 

Covert fysieke testen – tijdens werktijd/gedurende openingstijden       

In tegenstelling tot Overt testing is het doel van een Covert test om mogelijke acties van een aanvaller op realistische wijze te simuleren, en wordt deze uitgevoerd zonder het grootste deel (waaronder de fysieke beveiligers) van de doelwitorganisatie vooraf te informeren, op verzoek van het (hoger) management van de organisatie. Een belangrijk doel van een Covert test is om te testen en te bepalen welke schade of impact een aanvaller in de praktijk kan aanbrengen. Afhankelijk van het type aanvaller dat wordt gesimuleerd heeft het testteam bij een covert testaanpak veelal geen of beperkte voorkennis van de doelwitorganisatie en aanwezige maatregelen. Bij covert testen wordt veelal een aantal doelstellingen of flags gedefinieerd, zoals het plaatsen van een hacker device of het stelen van een voor de test afgesproken of geplaatste asset. De test is succesvol wanneer het testteam het afgesproken doel weet te bereiken zonder daarbij door het beveiligingsteam tijdig te worden opgemerkt en gestopt.

Een belangrijk verschil met Overt testing is dat bij Covert testing niet alle fysieke beveiligingsmaatregelen uitgebreid worden onderzocht, maar dat het testteam tools en technieken zo inzet om ‘onder de radar’ te blijven en dat de kans dat de inbreuk door de aanwezige beveiligers wordt opgemerkt wordt geminimaliseerd. Deze testen vereisen door dit heimelijke karakter aanzienlijk meer tijd (o.a. voor verkenning en het maken van testplannen), evenals aanvullende expertise om de test onopgemerkt te kunnen uitvoeren. Covert testen zijn daarmee kostbaarder en brengen meer risico’s met zich mee dan testen met een Overt testaanpak.

In de meeste gevallen wordt ervoor gekozen de Covert fysieke testen tijdens werktijd/gedurende openingstijden uit te voeren en maken testen in meer of mindere mate gebruik van social engineering, waarbij medewerkers actief worden misleid, of van technieken als tailgaiting, waarbij de testers onopvallend binnendringen om hun doel te bereiken.

Covert fysieke testen – buiten werktijd/buiten openingstijden of op verlaten locaties

Een alternatief is de simulatie ’s nachts of buiten kantoortijden uit te voeren, waarbij de testers pogen geheel onopgemerkt te blijven door de beveiliging of door aanwezige beveiligingsmaatregelen als sensoren en camera’s. Vergelijkbare condities zijn van toepassing op (industriële) locaties waar normaal gesproken geen of zeer weinig mensen aanwezig zijn en de testers niet kunnen opgaan tussen andere medewerkers. Bij het uitvoeren van fysieke testen ’s nachts of op verlaten locaties bestaat een verhoogd risico dat een tester, wanneer hij wordt opgemerkt en aangehouden, niet in staat is toe te lichten dat het een legitieme test betreft en wordt overgedragen aan de autoriteiten.

Bij het selecteren van de meest geschikte aanpak voor het uitvoeren van een fysieke pentest is het van belang vast te stellen welke vraag er met het onderzoek beantwoord dient te worden. Een Overt test geeft inzicht in de aanwezige kwetsbaarheden in de fysieke beveiligingsmaatregelen en is erop gericht om zo veel mogelijk kwetsbaarheden binnen de beschikbare tijd in kaart te brengen. Een Covert test richt zich op de combinatie van effectiviteit van deze maatregelen met de alertheid van het aanwezige personeel. Deze geeft daarmee een realistisch beeld van de combinatie van alle maatregelen in de praktijk. Omdat beide methoden hun eigen focus en voordelen hebben, is het aan te bevelen om zowel Covert als Overt testtechnieken toe te passen bij het uitvoeren van fysieke pentesten.

Contactpersonen

Marcel van Kaam

Senior Manager, Cyber Assessments
KPMG Nederland 

Bart Gruppen

Consultant, Cyber Assessments 
KPMG Nederland

Wij houden u op de hoogte per e-mail.
Geef hier uw voorkeuren door.