Die Aufgabe:
Wolf-im-Schafspelz-Test
Die Lösung von Goebel Consult:
Im Office-Netz eines Software-Entwicklungsunternehmens wurden die gröbsten Schwachstellen gesucht. Auftrag: "Das, was ein Mitarbeiter mit etwas Aufwand, aber ohne Hacker-Know-how finden kann."
Die Lösung im Detail
Das Netz war ein Windows-Netzwerk mit Domänen. Gefunden wurden u.a.:
- "versteckte" Shares, mit sensiblen Daten (Gehaltsdaten), auf die jeder Domänen-User zugreifen kann, der den Sharenamen kennt (den Namen herauszufinden ist problemlos möglich).
- keine Trennung zwischen Entwickler- und Office-LAN, im Entwicklernetz aber "laxere" Sicherheit, teilweise auch Daten von Kunden.
- Physikalische Sicherheit: Server stehen in einer kleine Kammer, dort keine ausreichende Klimatisierung, daher Tür immer offen. Lösung: Gittertür einbauen.
- Sensibilität: Bei ersten Besuch konnte ich mich im Büro bewegen, ohne dass jemand Notiz genommen hat.
Die Ergebnisse wurden stichpunktartig in einer Tabelle dokumentiert, ohne viel Blabla. Abschlussbesprechung.