Найти в Дзене
Веб-студия и дата-центр ITSOFT
8 подписчиков

Пен-тест: как проникнуть в дата-центр … через туалет

1 мин
Penetration test (pentest или пен-тест) — тестирование на проникновение в помещение с целью проверки системы безопасности объекта на физическую уязвимость. Такому тесту подверг центр обработки данных специалист по кибербезопасности Эндрю Тирни (Andrew Tierney). Отчет о проделанной работе он разместил в серии твитов под ником @cybergibbons. “Один из моих любимых экспериментов – физический доступ в центр обработки данных через туалеты. Позволь объяснить. Мне нужно было получить доступ с менее защищенной стороны подвального этажа в более защищенную зону”. Изучив открытые планировочных документы Андрю нашел поэтажный план здания и обнаружил, что туалеты спроектированы со легкосъемными панелями и имеют небольшой коридорчик вдоль задней стороны каждого ряда кабинок для доступа сантехников. И этот коридор сопрягался с “защищенным” офисом центра обработки данных. “Получив доступ к общедоступной стороне, я вошел в туалет. Из доступной кабинки в коридор вела скрытая дверь. Я открыл ее и пошел да

Penetration test (pentest или пен-тест) — тестирование на проникновение в помещение с целью проверки системы безопасности объекта на физическую уязвимость. Такому тесту подверг центр обработки данных специалист по кибербезопасности Эндрю Тирни (Andrew Tierney). Отчет о проделанной работе он разместил в серии твитов под ником @cybergibbons.

-2

“Один из моих любимых экспериментов – физический доступ в центр обработки данных через туалеты. Позволь объяснить. Мне нужно было получить доступ с менее защищенной стороны подвального этажа в более защищенную зону”.

Изучив открытые планировочных документы Андрю нашел поэтажный план здания и обнаружил, что туалеты спроектированы со легкосъемными панелями и имеют небольшой коридорчик вдоль задней стороны каждого ряда кабинок для доступа сантехников. И этот коридор сопрягался с “защищенным” офисом центра обработки данных.

“Получив доступ к общедоступной стороне, я вошел в туалет. Из доступной кабинки в коридор вела скрытая дверь. Я открыл ее и пошел дальше. Убедившись (не вру), что в другой дальней кабинке никого нет, я вошел на охраняемую территорию центра обработки данных.

-3

Это помогло мне обойти ворота-ловушки и все цифровые охранные устройства. Таким образом я физически хакнул (в оригинале твита более жесткое выражение) дата-центр.”

В комментариях к серии твитов пользователи вспомнили и другие ошибки проектирования, с которыми они сталкивались. Например, отсутствие перегородок между общественной и закрытой зонами в пространстве над подвесным потолком и под полом или установка дверей петлями наружу так, что петельные штыри можно было снять без проблем.

===

О проникновении в дата-центр мы уже публиковали материал, в котором приводится пример, как “взломщики” представившись фирмой по уничтожению тараканов облазили все уголки ЦОДа. Правда там использовались методы социальной инженерии — подробно этот случай указан в статье “Баги дата-центра”.

Вообще, физической безопасности посвящено много статей и в этом вопросе идет традиционная борьба методов взлома и защиты. Например, некоторые ЦОДы для хранения и обработки сверх критичных данных оборудуют специальные сейфовые комнаты. Но победителей в кибервойне вероятно не будет, поэтому ждем новые случаи взлома, в том числе такие забавные (на первый взгляд), как проникновение в дата-центр через туалет.

-4

Материал подготовлен дата-центром ITSOFT