Chỉ cần "nhỏ nhẹ" nhờ vả, kẻ xâm nhập đã có được quyền root tại công ty này

Chào mừng bạn đến với một câu chuyện khác trong loạt bài về những thất bại bảo mật "ngượng ngùng" mà chúng ta có thể rút ra bài học. Hôm nay, chúng ta sẽ xem xét một trường hợp mà các cá nhân cố gắng làm hài lòng một giám đốc điều hành đã buông lỏng cảnh giác, dẫn đến hậu quả không thể ngờ tới.

Câu chuyện buồn này được chia sẻ bởi Brandon Dixon, hiện là CTO và đồng sáng lập công ty bảo mật AI Ent. Tuy nhiên, trong quá khứ, Dixon từng là một chuyên gia kiểm thử xâm nhập (pentester) thuê, và ông đã chứng kiến những sự việc khiến bất kỳ ai cũng phải rùng mình.

Trong một nhiệm vụ kiểm thử, Dixon muốn xem việc đánh cắp tài khoản của ai đó thông qua kỹ thuật xã hội (social engineering) dễ dàng đến mức nào. Câu trả lời là: "dễ như ăn bánh".

Dixon đã gọi điện cho bộ phận hỗ trợ an ninh IT và giả vờ mình là trưởng bộ phận an ninh vừa bị mất mật khẩu. Khi họ hỏi các câu hỏi xác thực (challenge questions), Dixon nói rằng anh ta cũng đã quên mất câu trả lời cho những câu hỏi đó. Sau đó, anh ta cung cấp cho họ mật khẩu mà mình muốn sử dụng ngay qua điện thoại, và họ đã thực hiện việc đặt lại mật khẩu cho anh ta. Ngay sau đó, anh ta có thể truy cập vào mạng và làm bất cứ điều gì mình muốn.

Có quá nhiều điều sai trái ở đây đến mức khó biết nên bắt đầu rút ra bài học từ đâu. Các nhân viên hỗ trợ IT không nên chỉ nghe lời Dixon nói rằng ông là giám đốc an ninh, đặc biệt là sau khi ông không trả lời được các câu hỏi bảo mật, và họ nên từ chối yêu cầu đặt lại mật khẩu của ông. Có lẽ họ đang nghĩ "người này là giám đốc điều hành và chúng ta không muốn làm anh ta phật ý" thay vì nghĩ "chúng ta có các quy trình mà mọi người phải tuân theo".

Vấn đề khác ở đây là bộ phận IT đã nhập mật khẩu do Dixon đề xuất cho ông ta ngay qua điện thoại. Trước hết, bộ phận IT nên gửi liên kết đặt lại mật khẩu đến email hoặc số điện thoại thực của nhân viên đó. Thứ hai, việc bất kỳ ai khác ngoài người dùng biết mật khẩu của người dùng là một bảo mật kém cỏi.

Dixon cũng chia sẻ một câu chuyện khác về kỹ thuật xã hội từ thời ông tư vấn cho một công ty dược phẩm. Các đối thủ cạnh tranh sẽ gọi cho đại diện bán hàng và tiếp thị, giả vờ là đồng nghiệp, sau đó khai thác thông tin về các loại thuốc sắp ra mắt. Điều này cho phép đối thủ biết trước những gì sắp tới và cách phản ứng.

Để giải quyết vấn đề này, Dixon đã thiết lập một hệ thống trong đó nhân viên thực sự phải đưa ra một mật khẩu bí mật vào đầu cuộc trò chuyện.

"Tôi đã xây dựng một hệ thống gọi là 'Chal-Resp', viết tắt của 'thử thách-phản hồi' (challenge-response), tạo ra các cặp công việc để người dùng có thể xác nhận rằng họ đang nói chuyện với một nhân viên thực sự," ông nói với The Register. "Người gọi sẽ cần nói từ khóa và người dùng cuối sẽ cần phản hồi với thử thách phù hợp; chỉ nhân viên mới có quyền truy cập."

Điều chung giữa cả hai câu chuyện của Dixon là bằng chứng cho thấy con người rất sẵn lòng làm hài lòng và giúp đỡ người khác. Nhưng sự nghi ngờ là gốc rễ của an ninh thông tin (infosec), vì vậy chúng ta nên bớt "hữu hảo" một chút với những người lạ trong môi trường làm việc.