Violazione fisica in un data center protetto attraverso un percorso nascosto che passa dietro i bagni dell’azienda sua cliente. È quanto ha affermato il consulente di sicurezza Andrew Tierney che ha raccontato la sua esperienza su Twitter dichiarando che la violazione di accesso fisico a un data center più particolare della sua carriera è stata basata sull’utilizzo dei bagni dell’azienda cliente.
Il consulente di sicurezza, che lavora per la società di servizi di consulenza e test sulla sicurezza Pen Test Partners, si sarebbe introdotto fisicamente nel data center in questione utilizzando un percorso nascosto che passava dietro i bagni.
Il suo scopo era dimostrare a un cliente che era possibile accedere fisicamente all’area presumibilmente protetta di un data center.
La struttura disponeva di bagni separati per gli uffici generali e per l’area sicura in cui erano ospitate le infrastrutture IT, ma le due aree dei servizi igienici erano adiacenti. Studiando le planimetrie dell’edificio, Tierney ha notato uno spazio di accesso condiviso per la manutenzione che correva dietro entrambe le serie di cubicoli. Questo corridoio poteva essere raggiunto attraverso una porta nascosta in un cubicolo più grande, presente su entrambi i lati della divisione tra area protetta e area non protetta. Tierney è quindi entrato nei servizi igienici dal lato degli uffici generali e ha raggiunto lo spazio di servizio attraverso questo cubicolo, uscendo dal lato considerato sicuro nello stesso modo.
Così facendo, il pentester è riuscito a eludere i cancelli d’ingresso di sicurezza che prevedevano la consegna di tutti i dispositivi digitali per ottenere l’accesso.
Tierney ha fatto notare che questa soluzione di attacco è stata individuata su documenti di pianificazione pubblicamente accessibili.
L’aneddoto, oltre a essere singolare, sottolinea come sia facile non osservare un problema di sicurezza anche di notevole entità, e quanto sia possibile per un malintenzionato non solo violare in remoto i sistemi informatici, ma anche accedervi fisicamente aggirando i controlli di sicurezza fisica.
https://www.securityinfo.it/2022/07/11/quando-lattacco-viene-dal-bagno/