Hacket FBI på seks timer

Hacket FBI på seks timer

FBI ansatte en penetrasjonstester for å teste it-sikkerheten. Seks timer senere var databasene åpnet.

Penetrasjonstester er hackernes favorittyrke. Å få betalt for å bryte seg inn i it-systemene til ulike selskaper og organisasjoner er imidlertid de færreste forunt.

Chris Goggans har imidlertid vært penetrasjonstester siden 1991, og et av de minst sikre datasystemene han har vært ute for, var hos FBI.

Kjente hull

På ikke mer enn seks timer skaffet han seg tilgang til it-miljøet og databasene i det føderale etterforskningsorganet, som har over 30 000 ansatte, og blant annet har ansvaret for terroranslag og spionasje mot USA.

- Tilgangen kunne enkelt vært forhindret ved en grunnleggende sikkerhetsstrategi, som å skjerme politiets arbeidsmaskiner fra det landsdekkende nettverket hvor den virkelig sensitive informasjonen finnes, sier Goggans, som nå er ansatt som sikkerhetsekspert i Patchadvisor, til Computerworld.com.

Gjennom en rutinemessig scan av nettverket fant han en rekke kjente sikkerhetshull som ikke var tettet, og Goggans benyttet en svakhet i en webserver til å finne en rekke brukernavn og passord som var gjenbrukt i andre deler av systemet.

Ved å bruke disse kontoene, fant han igjen nye brukerkontoer som til slutt ga han administratortilgang, et klassisk eskaleringsangrep.

Keylogger

Ved å installere et verktøy for fjernadministrasjon fant han deretter programmer på politiets pc-er som automatisk koblet disse opp mot FBIs sentrale database, National Crime Information Center database (NCIC). En enkel keylogger som registrerer hva brukeren taster på tastaturet, var den siste åpningen han trengte for å få full tilgang til superhemmelige NCIC.

- Infrastrukturen var rett og slett dårlig designet. Man skulle aldri tillatt at etterforskernes pc-er både var koblet opp mot det nasjonale nettverket og NCIC. Dessuten skulle systemadministratorene ikke tillatt bruk av identiske brukernavn og passord flere steder i nettverket, sier Goggans.

Les om: