Hack la stanza dei server! Nessuna tecnologia richiesta

Come tutti sappiamo dolorosamente, la sicurezza IT si presenta in molte forme, dai dettagli tecnici alle barriere fisiche. Ma un consiglio: ricontrolla tutte le tue nuove misure di sicurezza. Quindi fai un passo indietro e pensa a tutto ciò che potrebbe essere correlato ai cambiamenti che hai messo in atto. Infine, controlla per assicurarti che anche quelli siano protetti adeguatamente.

Alcuni anni fa ho lavorato in un'azienda dove mi è stato assegnato un ufficio vicino a una sala server. Non molto tempo prima, i dirigenti IT avevano chiesto di prendere misure per proteggere meglio i server.

La preoccupazione è sorta perché questo server memorizzava i dati per un'operazione da miliardi di dollari che conteneva informazioni sensibili che dovevamo preservare. Volevano controllare strettamente l'accesso alla stanza.

La sicurezza prima di tutto

I dirigenti IT avevano compilato un modulo di richiesta con i servizi dell'impianto per rimuovere la serratura a chiave e installare una serratura a combinazione numerica. Solo un ristretto numero di membri del personale IT conoscerebbe la combinazione per aprire la porta.

Il reparto servizi dell'impianto ha fatto esattamente come detto: hanno tirato fuori la serratura a chiave e hanno installato una nuova serratura della tastiera numerica. Tuttavia, come presto scoprimmo, nessuno guardò da vicino il lavoro finito.

Circa sei mesi dopo l'installazione della nuova serratura, l'aria condizionata si è guastata nella sala server. Poiché il mio ufficio era vicino, ho sentito l'allarme e ho chiamato il mio capo per riferire cosa stava succedendo. Non molto tempo dopo, il personale dei servizi si presentò e cercò di entrare nella stanza, ma non gli era stato dato il codice o nessun altro modo per aprire la porta. Nemmeno io.

Abbiamo chiamato il mio capo e altri dipendenti che sapevamo avessero il codice, ma nessuno di loro ha risposto ai telefoni dell'ufficio (questo era nei giorni prima che i cellulari diventassero comuni). Gli allarmi continuavano a suonare e il tempo scorreva e dovevamo fare qualcosa.

Gli errori diventano opportunità

Ho guardato attentamente la porta e sono saltati fuori alcuni dettagli. Hanno sollevato bandiere rosse sulla sicurezza generale della stanza, ma mi hanno dato idee su come affrontare il problema immediato.

Innanzitutto, i perni dei cardini sono stati esposti. Una delle nostre opzioni era sollevare e rimuovere i perni dei cardini e rimuovere la porta.

In secondo luogo, e più veloce e più facile per i nostri scopi, i tecnici che hanno installato la serratura avevano fatto esattamente come richiesto e apparentemente non avevano pensato alla situazione. Avevano rimosso il cilindro della serratura e installato la tastiera, ma non avevano cambiato il chiavistello della serratura: la tastiera era attaccata a un piccolo braccio di leva che scendeva per tirare indietro il chiavistello originale. Inoltre, non si erano presi la briga di rattoppare o coprire adeguatamente l'area esposta lasciata indietro: si poteva ancora tirare indietro il chiavistello infilando un filo di appendiabiti nel punto in cui si trovava il cilindro della serratura.

L'aria condizionata è stata riparata e ho avvisato i miei superiori di ciò che avevamo scoperto. Inutile dire che non ci volle molto perché i dirigenti IT implementassero ulteriori modifiche alla porta della sala server, sotto la loro supervisione personale.