Cái khóa phòng máy "rởm" nhất mọi thời đại: Bài học về bảo mật vật lý

Một công ty đang cố gắng đạt chứng nhận ISO 27001 đã phát hiện lỗ hổng nghiêm trọng khi chiếc khóa phòng máy hai yếu tố của họ có thể mở cửa chỉ bằng cách nhập bừa một chuỗi ký tự dài. Câu chuyện này là lời nhắc nhở đanh thép rằng an ninh mạng sẽ vô nghĩa nếu bảo mật vật lý không được đảm bảo.

Chào mừng quay trở lại với chuyên mục Pwned, nơi chúng ta ghi nhớ những lỗ hổng tồi tệ nhất mà các tổ chức tự tạo ra cho chính mình. Nếu bạn là kiểu người để cửa xe mở và đống tiền trên taplo, câu chuyện tuần này dành cho bạn.

Câu chuyện buồn này đến từ một độc giả chúng ta gọi là Pete. Pete từng làm việc tại một công ty quản lý phí đỗ xe và đang cố gắng đạt chứng nhận ISO 27001 cho các biện pháp kiểm soát an ninh của mình.

Một lỗ hổng được phát hiện trong lần sàng lọc an ninh ban đầu là mạng phòng máy chủ được kết nối trực tiếp với mạng trung tâm dữ liệu sản xuất. Điều này có nghĩa là bất kỳ ai bước vào phòng đó đều có thể tiếp cận mọi thứ. Giải pháp: Lắp một cái khóa trên cửa phòng máy.

Công ty mua một chiếc khóa sử dụng xác thực hai yếu tố (2FA). Người vào phải quẹt thẻ ID, sau đó nhập mã PIN 4 chữ số. Nếu sai mã, nỗ lực thất bại sẽ được ghi lại.

Vào ngày kiểm toán viên đến, đội ngũ thực hiện một buổi diễn tập cuối cùng. Ban đầu mọi thứ ổn. CTO quẹt thẻ, nhập đúng PIN, vào được. Một quản trị viên hệ thống (sysop) cấp cao quẹt thẻ, nhập sai mã, bị từ chối. Một sysop cấp thấp làm tương tự và cũng bị chặn như mong đợi.

Tuy nhiên, sysop cấp thấp sau đó quyết định thử "đập bừa" các phím trên bàn phím mà không quẹt thẻ trước. Ngạc nhiên thay, cửa tự mở ra. Sysop cấp cao đã tái hiện lại hành vi bất ngờ này.

Hóa ra, vấn đề nằm ở chỗ nếu bạn nhập hơn 10 hoặc 11 chữ số, chiếc khóa sẽ bị quá tải và tự động mở. Nếu bạn nhập đúng 4 chữ số nhưng sai, hoặc không quẹt thẻ, nó vẫn đóng kín.

Với cuộc kiểm tra diễn ra ngay trong ngày, công ty đối mặt với vấn đề lớn và giải quyết bằng cách "thông minh" giấu kín thông tin này. Khi kiểm toán viên đến, sysop cấp cao chỉ demo bằng cách nhập đúng 4 chữ số mỗi lần. Nó hoạt động như mong đợi và kiểm toán viên đã ký duyệt chứng nhận.

Nhà cung cấp thiết bị không thể sửa lỗi vì họ không phải là nhà sản xuất. Nhà sản xuất supposedly sẽ chịu trách nhiệm cung cấp thay thế, nhưng điều đó chưa xảy ra trong thời gian Pete làm việc tại đó.

Theo như ông biết, không ai từng khai thác lỗ hổng bảo mật vật lý này, nhưng nó vẫn đáng lo ngại. Hãy nhớ rằng: Mọi nỗ lực an ninh mạng trên thế giới sẽ sụp đổ nếu bạn không có bảo mật vật lý tốt.

Bạn có câu chuyện về việc ai đó để một lỗ hổng lớn trong mạng của họ không? Hãy chia sẻ với chúng tôi tại [email protected]. Ẩn danh có thể theo yêu cầu. ®

Cái khóa phòng máy "rởm" nhất mọi thời đại: Bài học về bảo mật vật lý

Bài viết liên quan