Programování

Hackněte serverovnu! Není nutná žádná technologie

Jak si všichni bolestně uvědomujeme, zabezpečení IT má mnoho podob, od technických detailů až po fyzické bariéry. Ale několik rad: Zkontrolujte všechna svá nová bezpečnostní opatření. Pak krok zpět a přemýšlejte o všem, co by mohlo souviset se změnami, které jste provedli. Nakonec zkontrolujte, zda jsou i oni dostatečně zajištěni.

Před několika lety jsem pracoval v jedné společnosti, kde jsem dostal kancelář poblíž serverovny. Nedlouho poté IT výkonní ředitelé požádali o přijetí opatření k lepšímu zabezpečení serverů.

Obavy vyvstaly, protože tento server ukládal data pro miliardovou operaci, která obsahovala citlivé informace, které jsme museli uchovat. Chtěli přísně kontrolovat přístup do místnosti.

Zabezpečení jako první

Výkonní pracovníci IT vyplnili žádost o formulář se službami závodu, aby odstranili zámek klíče a nainstalovali zámek kombinace čísel. Jen pár vybraných zaměstnanců IT by znal kombinaci, která by otevřela dveře.

Oddělení služeb elektrárny postupovalo přesně podle pokynů: Vytáhli zámek ovládaný klíčem a nainstalovali nový číselný zámek klávesnice. Jak jsme se však brzy dozvěděli, nikdo se na dokončenou práci zblízka nepodíval.

Asi šest měsíců po instalaci nového zámku selhala klimatizace v serverovně. Protože moje kancelář byla blízko, zaslechl jsem poplach a zavolal svému šéfovi, aby oznámil, co se děje. Nedlouho poté se objevil servisní personál a pokusil se dostat do místnosti, ale nedostali kód ani jiný způsob, jak otevřít dveře. Ani jsem neměl.

Zavolali jsme mému šéfovi a dalším zaměstnancům, o kterých jsme věděli, že mají kód, ale nikdo z nich neodpověděl na své kancelářské telefony (to bylo v dobách, kdy nebyly běžné mobilní telefony). Alarmy stále řinčely a čas plynul a my jsme museli něco udělat.

Chyby se stávají příležitostmi

Podíval jsem se pozorně na dveře a vyskočilo několik detailů. Zvedli červené vlajky o obecné bezpečnosti místnosti, ale dali mi nápady, jak se postarat o okamžitý problém.

Nejprve byly odkryty čepy závěsu. Jednou z našich možností bylo vyjmout čepy závěsu nahoru a ven a odstranit dveře.

Zadruhé, a pro naše účely rychlejší a jednodušší, technici, kteří zámek nainstalovali, udělali přesně to, co požadovali, a zjevně situaci neuvažovali. Sejmuli cylindrickou vložku zámku a nainstalovali klávesnici, ale nevyměnili pojistný šroub - klávesnice byla připevněna k malému pákovému ramenu, které šlo dolů a vytáhlo původní zajišťovací šroub. Rovněž se neobtěžovali adekvátně zafixovat nebo zakrýt zbývající exponovanou oblast: Stále byste mohli vytáhnout zámek zámku zasunutím drátu závěsu do místa, kde býval cylindr zámku.

Klimatizace byla opravena a já jsem upozornil své nadřízené na to, co jsme objevili. Není nutné říkat, že netrvalo dlouho, než vedoucí IT provedli další změny ve dveřích serverovny - pod jejich osobním dohledem.