0
0
Muitas violações de segurança envolvem vazamentos, mas talvez não da mesma maneira que a revelada pelo notável consultor de segurança Andrew Tierney, que conseguiu obter acesso não autorizado a um datacenter através do que ele deliciosamente chama de “corredor de mijo”.
Tierney, que trabalha como consultor da equipe de serviços de segurança Pen Test Partners, revelou em um tópico no Twitter como uma de suas façanhas mais memoráveis envolveu a demonstração de que era possível obter acesso físico à área supostamente segura de um datacenter por meio de seus banheiros.
Postando um diagrama para ilustrar, Tierney mostrou que a instalação sem nome tinha uma área de banheiro separada para o espaço geral do escritório e a área segura onde a infraestrutura de TI está alojada. No entanto, as duas instalações sanitárias estavam adjacentes, e Tierney percebeu que havia realmente um espaço de acesso compartilhado para manutenção dos banheiros que corriam atrás de ambos os conjuntos de cubículos, que ele batizou de “corredor de mijo”.
Descobriu-se que esse espaço de acesso poderia ser alcançado através de uma porta escondida em um cubículo acessível – um cubículo maior projetado para acesso a cadeiras de rodas – de ambos os lados da divisão segura/insegura. Então foi exatamente isso que Tierney fez, entrando nos banheiros do lado geral do espaço do escritório e acessando o “corredor de piss” através do cubículo acessível, saindo do lado supostamente seguro da mesma maneira.
Tierney omite mencionar se as portas escondidas estavam trancadas para impedir que qualquer cliente curioso do banheiro entrasse no espaço de acesso, ou se ele teve que pegar as fechaduras para entrar.
O único momento estranho poderia ter chegado se o cubículo acessível no lado seguro estivesse ocupado quando Tierney abriu a porta escondida, e então ele afirma que só fez isso depois de “*realmente* certificando-se de que não havia mais alguém no outro cubículo acessível”.
Rubor de seu sucesso, Tierney observou que tinha acabado de derrotar a proteção de segurança do datacenter, que envolvia portões de entrada de mantrap, onde o pessoal tinha que “enderizar todos os dispositivos digitais” na entrada. Pior ainda, o layout do banheiro era visível para todos verem nos documentos de planejamento público, o que significa que qualquer um poderia ter descoberto como contornar a segurança.
A lição para os operadores de instalações seguras é tomar muito cuidado para que você não seja pego com maneiras tão óbvias de contornar os controles de segurança física, e lembre-se de que sempre é mais do que apenas acesso IP.
FONTE: THE REGISTER