Chỉ cần "nhỏ nhẹ" nhờ vả, kẻ tấn công đã chiếm được quyền root tại công ty này

Chào mừng quay trở lại với chuyên mục PWNED, nơi chúng tôi giúp bạn chuẩn bị cho thành công về bảo mật bằng cách nghiên cứu những thất bại nhục nhã của người khác. Câu chuyện bi thám ngày nay liên quan đến những cá nhân cố gắng làm đúng điều cho một giám đốc điều hành bằng cách hạ thấp cảnh giác, một động thái không bao giờ khôn ngoan.

Câu chuyện của chúng tôi đến từ Brandon Dixon, hiện là CTO và đồng sáng lập của công ty bảo mật AI Ent. Tuy nhiên, trong quá khứ, Dixon từng là một chuyên gia kiểm thử xâm nhập (pentester) thuê và ông đã chứng kiến những sự kiện khiến người nghe phải rùng mình.

Trong một nhiệm vụ kiểm thử, Dixon đã tìm hiểu xem việc đánh cắp tài khoản của ai đó bằng kỹ thuật xã hội (social engineering) dễ dàng đến mức nào. Câu trả lời là: Gần như không gặp trở ngại nào.

Dixon đã gọi điện cho bộ phận an ninh IT và giả vờ là Trưởng phòng An ninh bị mất mật khẩu. Khi họ hỏi các câu hỏi xác minh, ông nói rằng mình cũng đã quên câu trả lời cho những câu hỏi đó. Sau đó, ông đưa cho họ mật khẩu mà ông muốn sử dụng qua điện thoại và họ đã thực hiện đặt lại cho ông. Sau đó, ông có thể vào mạng và làm bất cứ điều gì mình muốn ở đó.

Có quá nhiều điều sai trái rõ ràng ở đây đến mức khó biết nên bắt đầu rút bài học từ đâu. Các nhân viên hỗ trợ IT không nên tin lời Dixon rằng ông là quản trị viên bảo mật, đặc biệt là sau khi ông không trả lời được các câu hỏi xác minh, và họ nên từ chối yêu cầu đặt lại mật khẩu của ông. Có lẽ họ đang nghĩ "người này là giám đốc điều hành và chúng tôi không muốn làm anh ta tức giận" thay vì "chúng tôi có các quy trình mà mọi người phải tuân theo".

Vấn đề khác ở đây là bộ phận IT đã nhập mật khẩu do Dixon đề xuất cho ông qua điện thoại. Trước hết, bộ phận IT nên gửi liên kết đặt lại mật khẩu đến email hoặc số điện thoại của nhân viên thực sự. Thứ hai, việc bất kỳ ai biết mật khẩu của người dùng ngoại trừ chính người dùng đó là một sai lầm bảo mật nghiêm trọng.

Dixon cũng chia sẻ một câu chuyện khác về kỹ thuật xã hội từ thời ông tư vấn cho một công ty dược phẩm. Các thành viên của đối thủ cạnh tranh sẽ gọi cho các đại diện bán hàng và tiếp thị, giả vờ là đồng nghiệp, sau đó khai thác thông tin về các loại thuốc sắp ra mắt. Điều này cho phép đối thủ cạnh tranh biết trước những gì sắp tới và cách phản ứng.

Để giải quyết vấn đề, Dixon đã thiết lập một hệ thống trong đó nhân viên thực sự phải đưa ra mật khẩu bí mật ở đầu cuộc trò chuyện.

"Tôi đã xây dựng một hệ thống gọi là 'Chal-Resp', viết tắt của 'thách thức-đáp ứng' (challenge-response), tạo ra các cặp làm việc để người dùng có thể xác nhận rằng họ đang nói chuyện với một nhân viên thực sự," ông nói với The Register. "Người gọi sẽ cần nói từ đó và người dùng cuối sẽ cần phản hồi với thử thách phù hợp; chỉ nhân viên mới có quyền truy cập."

Điểm chung của cả hai câu chuyện của Dixon là bằng chứng cho thấy con người rất sẵn lòng làm hài lòng và giúp đỡ người khác. Nhưng sự nghi ngờ là gốc rễ của an ninh thông tin (infosec), vì vậy việc chúng ta bớt giúp đỡ người lạ một chút tại nơi làm việc là điều cần thiết.