Fizyczny test penetracyjny zakładu produkcyjnego - Case Study

Fizyczny test penetracyjny zakładu produkcyjnego – Case Study

W odpowiedzi na zapytania, które pojawiły się po opublikowaniu naszego pierwszego wpisu na temat pentestów zauważyliśmy potrzebę pogłębienia tego tematu. Skoro we wcześniejszym wpisie opisaliśmy już to, czym są w ogóle fizyczne testy penetracyjne, to naturalnym kolejnym krokiem jest przedstawienie testu samego w sobie w formie case study. W artykule została opisana udana próba wejścia na teren obiektu. Musimy uprzedzić jednak,  że umowy z naszymi klientami jak i sam przebieg testów objęte są tajemnicą, dlatego przykład w poniższym artykule został spreparowany w sposób uniemożliwiający powiązanie go z żadnym z wykonanych testów. Staraliśmy się jednak, by przykład zachował w stu procentach cechy rzeczywistego testu. Wszystkie podobieństwa do wykonanych testów są przypadkowe i niezamierzone. 

Opis sytuacji

Klient to duża firma produkująca części do samochodów, który kilka lat temu wybudował zakład produkcyjny na działce o powierzchni ok. 14 hA. Aktualnie klient podpisał umowę z nową firmą świadczącą usługi w zakresie ochrony obiektu i chce sprawdzić, jak efektywna jest taka ochrona i jeżeli są jakieś nieprawidłowości, to chce żeby je ujawnić i zidentyfikować. 

Przygotowanie do pentestów

Po podpisaniu umowy i ustaleniu, że formuła testu będzie miała charakter Black Box (nie otrzymamy żadnych informacji od klienta na temat obiektu) przystąpiliśmy do działania.

Pierwszym krokiem jest rozpoznanie OSINT, czyli to, co o danym obiekcie można „wywęszyć” w ogólnodostępnych zasobach internetu. W tym przypadku udało się znaleźć zdjęcia obiektu z satelity na Google Maps, kilka artykułów na lokalnych portalach informacyjnych oraz dotrzeć do informacji umieszczonych na oficjalnym profilu klienta na Facebook’u. Na LinkedIn znaleziono 156 nazwisk osób związanych zawodowo z testowanym obiektem, co mogło przydać się na etapie opracowywania scenariuszy działania. Testerzy zapoznali się z dostępnymi w internecie materiałami, z lokalizacją obiektu, jego topografią oraz najbliższą okolicą. Zlokalizowano, gdzie znajdują się bramy wjazdowe, budki ochrony, parkingi oraz najbliższe przystanki autobusowe, na których mogą wysiadać pracownicy zakładu. Testerzy sprawdzili również, jakie inne firmy obecne są w okolicy testowanego obiektu. Informacja ta może posłużyć do budowania legendy, czy planowania scenariusza testu. Po skompletowaniu informacji z „cyber-rozpoznania” można było przystąpić do rekonesansu fizycznie na miejsu. 

Rekonesans poprzedzający fizyczny test penetracyjny

Technicy obserwowali obiekt przez cały dzień, chcąc ustalić jak najwięcej detali z rutynowego działania zakładu. Udało się ustalić między innymi, że pracownicy przychodzą przed godz. 6, 14 i 22; praca w obiekcie odbywa się 3-zmianowo; pracownicy biurowi przyjeżdżają samochodami, autobusem i rowerami ok. godziny 7:30 i wychodzą o 15:30; pracownicy remontowi z parkingu przyszli o godzinie 7:30 i pracowali do godz. 18:00; pracownicy ochrony opuszczają budki ochrony w różnych sprawach; obchód rutynowy ochrony realizowany jest co 45 minut; ochrona sprawia wrażenie niezainteresowanych tym, co dzieje się w pobliżu ochranianego terenu; pracownicy przechodząc i wjeżdżając na teren zakładu używają kart SKD; niektóre osoby są przepuszczane po wyrobieniu przepustki; dostawcy obsługiwani są przed recepcją po przejechaniu bramy zewnetrznej, parkując przed recepcją; drugi szlaban obok recepcji jest cały czas otwarty – prowadzący na teren parkingu wewnętrznego VIP; obiekt można obserwować dogodnie z 2 stron. Dodatkowo, podczas rekonesansu testerzy zauważyli uszkodzone panele ogrodzenia od północy i zachodu na styku ogrodzenia panelowego ze starym ogrodzeniem betonowym. Informacje zebrane podczas rekonesansu na miejscu pozwoliły opracować kilka potencjalnie skutecznych scenariuszy.

Fizyczny test penetracyjny

Testerzy stawili się na miejscu o godzinie 5:30, by obserwować ruch pracowników zakładu. Jedni przychodzili do pracy na pierwszą zmianę, a inni wychodzili z pracy po trzeciej zmianie. Wzmożony ruch często stwarza okazję do realizacji przynajmniej jednego z przyjętych scenariuszy testu penetracyjnego.  Pierwsza okazja nadarzyła się dopiero ok. godz. 7:15. Tester, od strony południowej z przystanku autobusowego, przyłączył się do większej grupy pracowników próbujące wejść metodą tzw. „tailgetingu”. Wszyscy pracownicy wchodząc pieszo używali kart SKD przy bramie zewnętrznej i w recepcji. W recepcji przechodzenie przez bramki obrotowe odbywało się to w asyście ochroniarza. Testeży zauważyli, że pracownicy ochrony nie interesowali się tym, kto i jak wchodzi na teren przez bramę zewnętrzną.

Tester przeszedł przez bramę zewnętrzną zakładu za napotkanym pracownikiem, przytrzymując otwartą bramkę ręką. Nie spotkało się to z żądną reakcją ochrony ani obecnych na miejscu pracowników. Przy recepcji tester skręcił w prawo, nie wchodząc do środka, kierował się w stronę otwartego szlabanu. Następnie tester przeszedł pod podniesionym szlabanem, licząc na to, że pracownik ochrony będzie zajęty wchodzącą grupą ludzi. Tester, gdy już był na terenie zakładu, przeszedł wzdłuż parkingu VIP i udał się obok pracującej ekipy budowlanej na wprost. Celem testera był budynek oznaczony numerem 3. Tester przy okazji zwrócił uwagę na oznaczenie pobliskuch budynków. Budynek z recepcją oznaczony jest jako 1, a budynek po prawej stronie to kolejno 2 i 5. Ostatnia duża hala w północnozachodniej części zakładu oznaczona była numerem 4. Tester nie niepokojony chodził wyznaczonymi ścieżkami koło wszystkich budynków, udając prowadzenie rozmowy telefonicznej. 

Pierwsza okazja do wejścia do wnętrza jednego z budynków nadarzyła się przy drzwiach do budynku nr 3. Wychodzący z budynku pracownicy na gest testera przytrzymali drzwi i przepuścili go do wnętrza. Tester znalazł się w holu, z którego prowadziły 3 przejścia objęte elektronicznym systemem SKD. Zaczynając od lewej strony znajdowały się tam drzwi i krótki korytarz za nimi skręcający w prawo. Na wprost duże przeszklone, dwuskrzydłowe drzwi na halę produkcyjną, a na prawo drzwi na klatkę schodową i do windy. Tester udając zajętego telefonem poczekał w holu na osobę przechodzącą przez drzwi na klatkę schodową i udał się na 1 piętro. Na 1 piętrze znajdowały się drzwi objęte SKD do strefy biurowej, drzwi od windy i schody na 2 piętro. Niestety strefy biurowe na 1 i 2 piętrze nie wykazywała większej aktywności pracowniczej, w wyniku czego tester opuścił klatkę schodową, wracając do holu przy wejściu do budynku. Infografina na wejściu do strefy produkcji opisywała, że wymaga się używania odzieży ochronnej, okularów, obuwia i kasku, dlatego tester nie mając skąd wziąć tych rekwizytów nie podjął próby wejścia do strefy produkcji. Z powodu braku aktywności w holu tester opuścił budynek, nie widząc możliwości do kontynuowania próby. 

Po opuszczeniu budynku nr 3 tester udał się pod wejście do budynku 5. Udając rozmowę przez telefon tester oczekiwał około 5 minut na osobę wychodzącą z budynku nr 5. Wykorzystując okazję tester przeszedł przez otwarte drzwi za wychodzącą osobą. Tym razem tester nie nawiązał nawet spojrzenia z wychodzącą osobą, po prostu minął ją i wszedł. W budynku nr 5 tester zobaczył krótki korytarz z 3 drzwiami po prawej stronie i jednymi na wprost (poza jednymi wszystkie zamknięte). W pomieszczeniu z otwartymi drzwiami była szatnię, gdzie tester wziął leżące okulary, nauszniki i kask. Tester opuścił budynek nr 5 z rekwizytami i wrócił ponownie do budynku nr 3. Po krótkiej chwili wchodzące osoby przepuściły tester przez drzwi do wnętrza budynku. Pracownicy wchodzący do budynku użyli swoich kart SKD i weszli na klatkę schodową po prawej stronie. Tester, gdy już był w holu sam, założył rekwizyty i czekał spokojnie na kogoś wchodzącego lub wychodzącego z hali produkcji. Po około 2 minutach oczekiwania tester przeszedł przez drzwi na halę produkcji prosząc napotkaną osobę o użyczenie karty SKD, gdyż sam swojej zapomniał z samochodu. Osoba się zgodziła. Tester chodził i fotografował różne miejsca w obszarze produkcji przez około 20 minut, gdzie miał nieograniczony dostęp do różnego typu maszyn, robotów, paneli kontrolnych i pojemników z częściami. 

Dalszy przebieg testu wyglądał podobnie. Obaj testerzy uzyskali dostęp do wszystkich budynków, a w nich do pomieszczeń socjalnych, wydzielonych gabinetów, sal konferencyjnych, toalet, wind, klatek schodowych, obszarów roboczych wraz ze stanowiskami przy komputerach, do stref produkcji z bezpośrednim dostępem do linii montażowych, robotów i sterowni. Nikt nie zapytał o cel pobytu, nie wylegitymował testerów, nie powiadomił ochrony. Testerzy działali pod stałym nadzorem kamer CCTV jednak bez reakcji ochrony. Obydwaj testerzy w sposób nieujawniony opuścili obiekt. Jeden przez recepcję główną tłumacząc, że zostawił swoją kartę SKD w samochodzie i prosząc o otworzenie bramki, a drugi przez uszkodzone ogrodzenie na styku paneli i starego ogrodzenia betonowego. 

Co dalej po zakończonym penteście?

Z przeprowadzonego fizycznego testu penetracyjnego sporządzamy dokładny raport, który obejmuje wszystkie etapy realizacji zlecenia. Testerzy robią na bieżąco krótkie notatki zawierające godziny, zdarzenia i miejsca, by jak najwierniej oddać rzeczywistość w przygotowywanym raporcie. W zależności od zakresu działań w finalnym raporcie oceny podatności na infiltrację bezpośrednią zamieszczamy zdjęcia, mapy, spisane rozmowy, zrzuty z użytych programów komputerowych, tabele logów oraz nagrania video. Ujawnione przez testerów słabe punkty systemu oraz rekomendacje są kluczowym elementem raportu.

Podany przykład zawiera najprostsze techniki takie jak podstawowa socjotechnika i tailgeting, jednak w zależności od obiektu, testowanego elementu, procedur lub całego systemu bezpieczeństwa, w warstwie fizycznej lub IT, testerzy wykorzystują różnorodne rekwizyty, atrapy i stroje, narzędzia specjalistyczne, komputery itd. pasujące do sytuacji i testowanego scenariusza.

Podsumowanie

Podsumowując, opisany przypadek doskonale obrazuje, jak kluczowe jest odpowiednie podejście do kwestii bezpieczeństwa fizycznego w organizacjach. Zastosowanie odpowiednich środków takich jak technologia to nie wszystko, równie ważne są szkolenia personelu oraz regularne audyty, pozwalające minimalizować ryzyko i skutecznie zarządzać ewentualnymi zagrożeniami. Przeprowadzony test nie tylko wskazuje na znaczenie strategii prewencyjnych, ale również podkreśla, jak istotna jest ciągła adaptacja do dynamicznie zmieniających się warunków i zagrożeń. Ostatecznie, case study pokazuje, że to czynnik ludzki określa nam to, jak dobrze działa system bezpieczeństwa fizycznego i czy jest to stabilny fundament, na którym chcemy budować biznes.

Autor: Michał Nosowski

*Dane klientów zostały zanonimizowane przed publikacją.

Zapoznaj się z innymi artykułami na naszym blogu:


Scroll to Top