Днес вече не е задължително атакуващия да се рови в нета за да вади парче по парче идентифицираща информация. Социални мрежи като MySpace, Facebook, LinkedIn (Oсобено LinkedIn!), сайтове за запознанства - могат за секунди да бъдат преровени чрез автоматизирани програми. Ако сте гледали филми в които служител на ФБР въвежда името на човек, и на екрана се появява цяла мрежа от хора свързани с него, неговия адрес, телефон, и хоби - такива програми вече са притежание на хората които са на лов за информация - изглеждат много красиво и смайват с функционалността си, повярвайте ми. Дори и те са безсилни обаче срещу компании и хора, които са внимателни за това което публикуват в публичното пространство.
Служителите ви трябва да знаят, че всеки коментар в публичното или интернет пространство без знанието на работодателя може да причини изтичане на поверителна информация. И не е толкова важно съдържанието на коментара а това, че потенциален атакуващ може да използва тези дори малки количества информация за да се представи за вътрешен човек и да получи още повече такава.
Използването на служебен мейл за цели различни от служебните трябва не само да се забрани но и да се контролира. Ако някой редовно се регистрира онлайн за какво ли не, ползвайки служебния си адрес, рано или късно адресът ще попадне не където трябва. И тук опасността не идва толкова от спам, колкото от таргетирани атаки - ако аз знам че служителят Иван Петров има мейл ivan_petrov@company.com, и че той е главният счетоводител, няма да му пращам спам за виагра, а ще му пратя “методи за спестяване на време при извършване на финансов анализ” - които естествено, ще съдържат в себе си и малка изненада… И естествено информацията съдържаща се в неговия компютър ще ми е много по-полезна от тази намираща се в компютъра на неизвестен служител от компанията. Много по-трудно е да го направя, ако не мога да извлека от интернет връзката между името му, позицията му и неговата поща.
Мислите, че това не е толкова вероятно да се случи на вас? Помислете пак. Веднъж при оглед на компютър на счетоводител, открих 17! вируса от типа “троянски кон”, и това при положение че имаше инсталирана антивирусна програма. Проблемът не беше технически - не беше заради неработеща антивирусна - а в това, че счетоводителя не знаеше как да се държи в интернет.
При едно проучване направено много наскоро се установи, че до 15 минути! след презентация на продукт, започват таргетирани атаки срещу точно определени хора в компанията, съдържащи в себе си името на продукта а понякога и слайдове от тази презентация! Естествено, не става въпрос за български компании, но изводите са очевадни.

Phone mining

Социалните инженери* използват желанието на човек да помогне на колега в нужда. Един примерен сценарий:
Банка. Обаждане на телефон, получен чрез социален инженеринг от друго място, или чрез проучване на уеб коментари или дори на официалния сайт на компанията. Този телефонен номер би трябвало да се знае само от служители, затова телефонния оператор вдига слушалката вече с доверие към обаждащия се.
“Здравей, тук в клон Х ни падна отново връзката с основния сървър, и не знам вече какво да правя, аз съм нов(a) а тук има много важен клиент. Казва че е клиент на банката, но аз няма как да проверя - ще ти дам неговото ЕГН, и трите му имена, ще провериш ли в системата за неговия IBAN и наличност по сметка и да ми ги продиктуваш, за да сравним с това което той ми даде?”
За съжаление не съм банков служител и не мога да използвам “банкови” термини, но се надявам да сте уловили есенцията на това което се случва в горния диалог.
Обаждащия се не се идентифицира. Дори да е научил име на служител от съответния клон и да се представя за него, трябва да има изградени начини за автентификация с информация, която не може да се получи отвън - добра практика за това е всеки служител да има уникален идентификационен номер който може да се види в директория на служителите - но никъде извън компанията. Когато се обади някой и се представя за служител, и иска поверителна информация, винаги ще може да го попитате “А какъв е твоят id номер?” - ако каже ще се обадя по-късно, е време да проверите автентичността на обадилия се. Ако сте записали името му, намерете служебния му телефон от директния му ръководител или от служебна директория и му позвънете - ако потвърди че той се е обаждал, дайте му нужната информация. Ако каже че не знае за какво става въпрос, имаме инцидент и служителите по сигурността трябва незабавно да бъдат информирани, че някой опитва да атакува компанията. Защото ако някой се опитва да получи конфиденциална информация по телефона, едва ли това е единствената област в която ще търси пролуки.
Друг начин да предотвратим изтичане на информация по телефона е като изградим изцяло вътрешна телефонна мрежа, която не е достъпна отвън. Но отново, служителите които могат да получат подобни обаждания, задължително трябва да преминат през инструктаж за това какво да очакват, как да идентифицират обаждащия се, каква информация могат да дават по телефона и каква - не, дори ако се обажда прекият им ръководител. Много често социалните инженери използват именно страха от висшестоящ когато се обаждат - много е трудно да откажеш на някой от който зависи заплатата ти, и те го знаят.
Понякога атакуващите се представят за служители от ИТ отдела, които тестват нещо и искат от нищо неподозиращата секретарка да щракне на тестовия файл който току-що са и изпратили.. всеки служител трябва да е наясно с тази опасност - по-долу ще намерите примери как да се предотврати.

Стъпки за действие:
Като цяло, начините за компрометиране на потребителски компютър не са много - или чрез отваряне на линк към файл в интернет, или чрез отваряне на уеб сайт който съдържа в себе си изпълним код (Java, gifar (Java в Gif файл), javascript, exploit in client OS), или чрез отваряне на атачмънт. Атачмънтът също може да не е изпълним файл а просто картинка съдържаща изпълним код (като популярния ani еxploit, който зарежда код само чрез показване на ani mouse cursor) - затова, служителят трябва да е информиран кои негови действия могат да доведат до компрометиране на неговия компютър. Ако знае кое е опасно, той няма да изпълни дори молбата на мним ИТ специалист да отвори атачмънт или да посети даден уеб адрес - ще знае, че това е опасно и ще поиска ИТ специалиста да измисли друг начин да тества системите си.
Трябва да внимават за линкове имитиращи популярни уеб ресурси - като www.dirr.bg, или http://89.119.22.35/index.html - линкове съдържащи IP адреси, много много рядко са легитимни. Темата за порнографията е неудобна, но трябва да бъде спомената във фирмените обучения. Информирайте хората си, че в огромна част от сайтовете съдържащи порнографски или еротични материали, има вируси - не само че преглеждането им би трябвало да е забранено (и физически невъзможно) във всяка компания от етични съображения, но и от съображения за сигурност!
Ако получат мейл който съдържа брандинга на компанията като лого и фирмени цветове, който ги приканва да попълнят анкета - много е вероятно един от въпросите да е “Попълнете потребителското си име и парола за да потвърдите идентичността си” - ясно е какво се случва тогава, нали? Нека такива мейли не ги подлъгват - единственото място където който и да е служител трябва да въвежда паролата си са фирмените уеб ресурси, служебния компютър, и служебните приложения които ползва. Никога, при никакви обстоятелства никой не трябва да дава паролата си на никого!

Обяснявайте на служителите чрез месечни бюлетини и първоначално обучение на новопостъпили, че всичко което правят онлайн може да бъде свързано с компанията и да бъде използвано срещу тях и срещу компанията. Че те ще бъдат държани отговорни, ако са били причина за изтичане на класифицирана информация чрез необмислено държание в интернет. Обяснете им че конфиденциална информация е не само финансовото състояние на компанията, но също имена на служители, вътрешни телефонни номера, и-мейл адреси и тн. Изрично трябва да се забрани препращане на съобщения от типа “Изпрати на всичките си приятели това писмо, което ще помогне на бедното дете” и подобните му - и да се обясни, че по подобен начин се събират и-мейл адреси на всички които са получили и изпратили писмото, и след това тези адреси се използват за изпращане на спам и таргетирани атаки. Те трябва да знаят че информацията с която работят всеки ден, е обект на търсене от външни лица постоянно, и да са постоянно нащрек за хора които се опитват да я получат без да са оторизирани.
Много ясно им обяснете защо не трябва да използват истинското си име и служебния си и-мейл адрес при регистрация в сайтове и форуми - никой не гарантира че сайта или форума утре няма да бъдат компрометирани, и регистрационната информация от тях - продадена и препродадена на десетки места. И повече от естествено е да знаят, че ако такъв форум бъде атакуван техните пароли ще бъдат получени от трети лица - а ако използват една и съща парола за личната си поща, служебната поща, служебния компютър и пин на банковата си карта - стоят на много, много тънък лед. Вие също.

Няма кой друг да го направи освен вас, техните ръководители - дори да ви се струва че да обясните на секретарката да внимава каква парола използва за регистрация в сайта за запознанства не е ваша работа, ако не го направите - вие ще сте отговорни за евентуален пробив на нейния служебен и-мейл, чрез използване на същата парола…

Ключови хора, които могат да станат жертви на таргетирана атака - а това са ИТ персонала, икономистите, секретарките на ръководители, дори изпълнителни директори - трябва да са наясно колко интересни са за атакуващите заради позициите си. Трябва да знаят, че докато са на служебния си компютър не трябва да отварят линкове и прикачени файлове пратени в чат или и-мейл - дори да са сигурни, че става въпрос за безобидно видео или виц. Обяснете им защо (този линк или прикачен файл могат да съдържат в себе си написан лично за тях вирус - и в такъв случай антивирусната програма няма да помогне. Ако ще посещават сайтове, нека са само известни със сигурността си и популярни уеб ресурси - всички знаем че хората браузват, но нека поне го правят отговорно.
Служителите в ИТ отдела са особено уязвими заради самоувереността си и нерядко те стават най-лесната жертва за атакуващия. Правилата за всички останали, трябва да важат и за тях!

Презумпцията “невинен до доказване на противното” не важи когато пазим информацията. Човека който се обажда по телефона и иска от нас да нарушим правилата защото е спешно и светът ще рухне ако не го направим, трябва винаги да получава сериозна съпротива.

*Social engineer - човек владеещ майсторски умения в манипулиране на хора

 Когато нелоялната конкуренция не спи, а търговията с информация е в разцвета си, е време да разберем с кого си имаме работа и да започнем да взимаме ответни мерки. Не, не с техните методи, разбира се - и обучението на персонала е добро, много добро начало.

Някога и аз си представях, че ако една компания похарчи хиляди, десетки хиляди и понякога повече за оборудване от типа на защитни стени, системи за контрол на достъпа и други подобни продукти, данните стават все по-защитени и по-защитени. Все пак, не може да няма логика в това нали? Не може всички тези системи да не добавят добавената стойност към сигурността, каквато обещават? Разбира се, че го правят. Когато построиш защитна, дори огнена стена 2 метра висока и 2 метра широка в полето, и някой се блъска в нея, опитвайки се да мине от другата страна, той в никакъв случай няма да успее!

Тогава ние сме… защитени? Ще се опитам да разкажа една история - тази, която се случва всеки ден, на която съм бил свидетел нееднократно, и от която бих искал да предпазя хората които я прочетат.

Имало едно време един изпълнителен директор. Той много ценял информацията с която работи компанията му и я поверил в доверените ръце на най-добрите ИТ специалисти, които успял да намери. Те от своя страна намерили най-добрите решения за сигурност на пазара, купили ги, прекарали безброй безсънни нощи настройвайки всичко до най-малка подробност - до момента в който могли да кажат “Готово! Който и да се опита да ни атакува отвън - ще се провали!”. Заслужили почивката си, те се насладили на постигнатото и се заели с ежедневни задължения. Бизнесът вървял, информацията се трупала в информационната крепост на компанията, от време на време някой проверявал за дупки в стените, за ръждясали ключалки, закърпвал евентуалните дупки и продължавал напред.

Хората в ИТ отдела идвали и си отивали, но информацията стоява непокътната. Колкото пъти проверявали дали не е изчезнала, тя си била там! Няма по-хубаво нещо от това да се чувстваш сигурен.

Докато един ден, 100 от 300-те служители не получили интересен мейл в пощата си. Не се споменавало за вълшебни лекарства или нов начин за забогатяване, не! Ставало въпрос за най-елементарния случай “Помогни на дете! Препрати писмото на приятел!”. Мейлът съдържал и линк, за повече информация по въпроса. Линкът не водел до опасни сайтове, не карал хората да свалят нищо от интернет, а само да го последват - нима в това има нещо лошо? И кой не иска да помогне на горкото дете? Я да видим какво повече можем да прочетем… Clickety-Click!

Странно. Браузърът зарежда сайта, и се затваря от само себе си. Е, какво пък - задачите са много, продължаваме по план! Някой друг ще помогне на детето.

Какво се случи междувременно? В мейла нямаше вирус, затова корпоративната антивирусна програма не ни алармира. Той не съдържаше атачмънти, нито лоши думички, нито линкове към вирус дори! В сайта който някои посетиха, също нямаше нищо особено, което да алармира защитните стени… Защо се затвори прозореца на браузъра и защо това трябва да ни притесни?

Всъщност, ето какво се случи.

Посещавайки сайта, браузърът зарежда зловреден код - който дори няма нужда да е под формата на файл. Може да се съдържа в икона, скрипт, графика, анимация - няма значение формата, важен е фактът, че компютърът е изпълнил команда от някой, който не го прави с благотворителна цел! В повечето случаи, тази команда инструктира жертвата си да зареди още и още зловреден код, който много бързо и невидимо инфектира компютъра до степен в която атакуващият вече има пълен контрол над информацията в него, и в много случаи до информацията в цялата компания, след много много кратко време.

Защо не ни защитиха защитните стени за хиляди и десетки хиляди евро? Много просто. Де факто, не ни атакува никой отвън. Атакуваха ни собствените ни, желаещи да помогнат на бедното дете от мейла, служители! Няма почти никаква разлика между това, дали някой ще изпрати информацията собственоръчно до “атакуващия”, и това да му се даде пълен достъп до мрежата така, че да си я вземе сам. Резултатът е един и същ.

А какво се случва с информацията? Тя си седи непокътната. Не е изтрита, не е променена, фирмата все още разполага с нея… само че, не само *тази* фирма.

Много жалко, че когато ни продават продукт за защита от атаки, не ни разказват такива истории. Знам, че е много неприятно да осъзнаваме колко крехка е всъщност сигурността на информацията - но това е единственият начин да пожелаем някаква промяна. Промяна, която ще затрудни до много голяма степен всеки пожелал да открадне каквато и да е информация от компанията!

Какво ни трябва? Още десетки хиляди евро за нови продукти? Не. Просто трябва да разкажем историята на подчинените си. Да им обясним, до каква степен успеха на бизнеса и неговата цялостност се крепят на всеки, от секретарката до изпълнителния директор. Хубаво е да имаме и системите за сигурност, и перфектно обучения ИТ персонал, но е добре и да обучим всеки в компанията да цени информацията с която работи, и да владее елементарни правила на поведение в мрежата. Така да се каже, 10-те заповеди на информационнаа сигурност!

1. Почитай Информацията, защото чрез нея бизнесът расте и ти дава работа.
2. Не прави неоторизирани копия на информацията, и не ги изнасяй там където няма да е защитена!
3. Не споменавай напразно Информацията пред хора които не трябва да я знаят
4. Давай си почивка отвреме навреме, но нека това не застрашава Информацията, не кликвай където не трябва по време на почивката си!
5. Почитай Шефа и фирмената информация, за да работиш дълго във фирмата и да просперираш
6. Не трий и не губи ценна информация без причина!
7. Не продавай информацията на други хора!
8. Не кради информация!
9. Не изопачавай информацията!
10.Не пожелавай информацията на фирмата за себе си!

Обучението на персонала - това е само началото. Но е много добро начало, което, ако е поставено добре, служи за много здрава основа на информационната крепост във всяка компания. Пожалавам успех на всички, започнали да я градят!

Look no further. You can do it with the built-in tools you have in your Active Directory environment.
First, download the Group Policy Management Console here. Install it.

To prevent users from using usb drives, you will need USB block ADM file (56).

To prevent users from writing to usb drives, you will need USB write protect ADM (41).

An additional step that needs to be performed before the above tip will work has to do with modifying the file access permissions for 2 files. You need to remove the SYSTEM access permissions from the usbstor.sys and usbstor.inf files.

You can do so by right clicking these files > Properties, then going to the Security tab. There you need to remove the line for the SYSTEM account.

Note: Under some circumstances, the SYSTEM should have write access to these files during Service Pack installation. For example, when the SP is installed via GPO or SMS, the installation runs under the SYSTEM Account.

Service Pack needs to replace the files to a new version and without proper write access to the file, installation will fail… Therefore, before each SP deployment we need to allow access to the SYSTEM account for these files.

Adding .ADM files to the Administrative Templates in a GPO

In order to add additional .ADM files to the existing Administrative Templates section in GPO please follow the next steps:

1. Open the Group Policy Management Console (or GPMC) from the Administrative Tools folder in the Stat menu, or by typing gpmc.msc in the Run command.Note: GPMC is not a built-in part of Windows 2000/XP/2003, and needs to be separately installed, yet remember it can only be used effectively on Windows Server 2003-based Active Directory.
   If you do not have GPMC or cannot install it then you’ll need to edit the GPO via the regular means, i.e. from Active Directory Users and Computers management tool (dsa.msc).
2. Right-click an existing GPO (or create an new GPO, then right-click on it) and select Edit.
3. Expand either the Computer settings or Users settings sections of the GPO. Go to the appropriate Administrative Templates section and right-click it. Select Add/Remove Templates.
4. In the Add/Remove Templates window click Add.
5. Browse to the location of the required .ADM file and click Open.
6. In the Add/Remove Templates window notice that the new .ADM file is listed, then click Close.
   Now re-open the Administrative Templates section and browse to the new settings location.

Disabling GPO settings filtering

Many custom Administrative Templates require you to remove the requirement to show policy settings that can be fully managed in the GPO editor. To do so follow the next steps:

1. After completing the above procedure, browse to the newly added Administrative Template section.
   Note that the section is indeed listed, however in the right-pane is empty.
2. Right-click an empty spot in the right pane and select View > Filtering.
3. In the Filtering window click to un-mark the “Only show policy settings that can be fully managed” option. Then click Ok.
   Notice how the available options are now displayed in the right pane.

You can now configure these options as you please.

Replicating the added .ADM files across the domain

When adding new .ADM files to any GPO you actually place new features in the Administrative Templates section for that GPO. These settings should be accessible from any DC, and should apply to any computer that is affected by that GPO.

However, if the .ADM files were added, for example, when sitting on DC1, how do you make sure they are also replicated to DC2, DC3 and so on?

Well, luckily for us, in most cases there are no additional configuration steps involved. When adding the new .ADM file it is automatically uploaded to the following location on the DC that was used to edit the GPO (usually - the PDC Emulator,

%SystemRoot%\SYSVOL\sysvol\domain name\Policies\{GPO GUID}\Adm

Because all of the SYSVOL folder is shared and automatically replicated all over the domain, the uploaded .ADM file will automatically replicated to all the GPO instances on all DCs in the domain.

However this might cause a problem when using too many templates and too many GPOs, especially on slow WAN links.

In Windows Server 2003, the size of the Administrative Templates has grown when compared to the same .ADM files in Windows 2000. As a result, the entire set of Administrative Templates has grown to almost 1.75MB. When you multiply this size by each Policy that SYSVOL contains, you can see that much space is devoted to these templates.

For example, for a large corporation with 1200 GPOs in place, the entire SYSVOL folder (where the GPOs are located on each DC) can take up more than 1GB of hard disk space. Replicating such a folder over the WAN (especially when promoting a new DC) can be very problematic.

Removing .ADM files from an existing GPO

Whenever you do not need the added feature anymore you can simply reverse the process and instead of adding new .ADM files - removing them.

Before removing an Administrative Template, make sure you modify its policy settings and wait for Group Policy to refresh on all the computers that were supposed to be effected by the GPO. This is because removing an Administrative Template that was previously installed does not change or remove any Registry settings that the GPO deployed when Group Policy was last processed.

UPDATE: http://www.intelliadmin.com/blog/2007/01/disable-usb-flash-drives.html is one good resource on locking the drives, too. Just run the exe’s from the bottom of the post and you should be fine.

P.S. You may want to watch it in “full screen” mode.

Please check back for more advanced guides.

P.S. You may want to watch it in “full screen” mode.

The location of the keypad is important for convenience and, most important, good security. Number one rule: keep all the keypads inside the building. In a commercial application, placement on the interior wall near the door that the first employee enters through in the morning and the last employee leaves by at night is probably best. If they are different then use two keypads or place one in a central location between the two entrances. I know. You’re probably thinking, “If the alarm equipment is inside the building, including the keypads, how do I enter and exit the building without activating the system?” Well, you have to tolerate the shrieking sound of the sirens. Just kidding! The alarm manufacturers have included a feature in the alarm master control that enables you to enter and exit without activating the system and creating a false alarm. It is called entry/exit delay.
The entry/exit delay is zonable. This means that the openings where you wish to have it can be delayed while all other openings can activate instantly when someone enters through them. As a recommendation, the only openings that should be connected to delay zones are the most frequently used doors to enter and exit the property.
The time period is adjustable for both the entry and exit of the protected premises. The exit time is generally set at about 60 seconds. That means you can go to the keypad, set the system, and have 60 seconds to proceed out the door. THIS DOES NOT MEAN 61 SECONDS! Any longer and the alarm will go into the entry delay period time, and you will create a false alarm. That’s something you don’t want to do.

The entry delay period works in a similar fashion. For example, it’s time to leave your home and go to work in the morning. You set the alarm and walk out the door. The alarm is now set. You come home in the evening and put the key in the front door. The door opens and the alarm doesn’t activate. Is it broken? No. You are experiencing the entry delay period. The alarm will not activate immediately so that you will have enough time to get to the keypad to turn the system off.
Sometimes alarm installation companies program all entry and exit times the same. They do this simply because it is easier. I recommend that the entry time be set for as little time as possible, probably 15 to 30 seconds. Just make it convenient; you don’t want to have to rush to turn off the alarm.
There’s another reason why the entry delay period is critical. A burglar will have the amount of time you have set in the delay to roam around the protected premises to steal things or possibly circumvent the alarm system.
I think that proper placement of the keypads in a home is a little more important because it really becomes a life-style issue, where family members may be entering and exiting at all hours of the day and night. If the system becomes awkward to use, it probably won’t be used as much as it should and maybe not at all. Consider having keypads installed near the door or doors that are most commonly used.
In addition, it is recommended that a keypad be placed in the bedroom that you sleep in. I know this sounds a little odd, but here is why you should consider it. In the event of a burglary when you are sleeping in your bedroom, you will hear the alarm activate but wonder where the intrusion has taken place. If you can access the keypad easily, you could see which zone has been activated and make a location determination. If you have a duress or holdup feature, you will be able to summon the alarm monitoring station from the keypad. By doing this, they will not only receive the burglar alarm signal but also a duress signal, letting them know that you are in the building and need assistance. In some cases, the police may respond faster to the emergency.
One more feature that is offered on some of the mid-to high-end security systems is a direct listen-in feature. This allows the alarm monitoring station to listen into your home in the event the system is activated. In some systems, the microphone is located in the keypad; in others, it is installed separate from the keypad in central locations in the building.
The microphones in use today are very good at picking up sounds throughout a home or business. I have seen them manufactured both one-way and two-way. The one-way model allows the monitoring station to listen in only; they cannot talk back to you. The two-way models allows for conversation both ways, which is a real benefit if you have a medical problem and need to explain your condition to the monitoring station operator.
I know, I know. I can hear you thinking, “I can’t remember a code, and I want to use a key instead.” Shame on you! Many of the older systems that have been around for 10 years or longer have the key-access type of on/off switch, but in all seriousness, they really aren’t very secure.

First of all, you find most of the key on/off devices located on the outside of buildings near the entrance doors. Also, many of the early installations don’t have any type of tamper protection on the key lock. That means that an intruder that knows what to do can turn off the entire alarm system by removing the lock and shorting the wires. Remember, even the sophisticated keypads on the market today should not be mounted outside of the protected area. Why create an invitation to have access to your security system from the outside of the building?
Okay, this is the highlight of the chapter. The alarm master control equipment can be circumvented just like all of the detection devices that we have reviewed. With the detection devices, however, the circumvention technique assumed that the alarm system was in the off position while completing the task. This time, I will describe a quick down-and-dirty technique to disable the system while it is set and you are outside the building.
One of the only ways to enter a building without being detected is to get to the alarm master control immediately and disable it before the signal can be generated and sent to the monitoring station. Let’s assume that the alarm system is monitored by a conventional digital communicator. And there are no audible devices such as bells or sirens connected to the system. Most systems take approximately 20 to 30 seconds to generate an alarm message to the monitoring station. Okay, you’re probably ahead of me at this point. Simply go directly to the alarm master control and cut all of the wires that lead in or out of the box. If you can perform this task in a timely manner, the conventional alarm system will become totally inoperative, including all audible devices and signal transmitting equipment. In my experience, I have seen these attempts to circumvent alarms work quite well. By the way, the tool of choice is not a pair of wire cutters-an axe seems to do the job much better.
Another common question is, “What happens if I cut the wires to the keypad?” Generally, not much. The wires run back to the alarm master control, but it still would be connected to both the protection loop and monitoring station. The alarm master control needs to be taken out to be effective. As you can see, the point that we covered earlier really hits home now-that is, to have the alarm master control located in a secure position in the building that you want to protect. An ideal situation would be to have the control in a locked closet with a contact switch on the door or a motion detector in the closet connected to an instant alarm zone.
Within the last few years, the alarm industry has improved the quality of these control devices, and they have become quite reliable. The decision of which one to buy will purely be a personal one depending on the features that you ultimately decide that you really need, not what the sales person wants you to have.

The circumvention technique used on shock sensors is the same as with other motion-detection equipment. The two wires that connect to the alarm loop need to be removed from the device and twisted. That will prevent the unit from being detected on the alarm loop and sending the signal back to the master control.
Window foil is another widely used device to detect glass breakage. You’ve all seen this stuff. It looks like silver metal tape that is applied to the doors and windows of commercial buildings. For example, a glass door or window protected with foil.
The foil is designed to go around the perimeter of the window, and it is always applied on the inside of the glass. The theory here is simple. The foil acts as if it were a wire protecting the window. When the window is smashed, the foil is broken by the falling glass. Because it is so thin, it breaks very easily. The flow of power is cut off to the alarm master control and the alarm system activates.
This is obviously so simple that you probably are wondering why every alarm company doesn’t use it. For starters, it’s very old technology. It is also troublesome by nature. It is also very easy to circumvent.
What are some of the problems with window foil? Since it is so thin, window washers can and do tear it very easily. When that happens, the alarm service person needs to stop by and do what is called a foil repair, which is really just patching up the tear in the foil. It does have a protective coating on it, but as it ages this coating disappears. Another problem is as the weather changes, the glass contracts and expands slightly. In cold weather it tends to expand and in the heat it contracts. After time, this movement can make small cracks in the window foil, which in turn causes high resistance in the alarm circuit and creates false alarms.
Because of these service problems, foil is not used much anymore on new installations. There are still, however, thousands of windows protected by it.
The circumvention technique for window foil is so simple anyone could do it! Please see the illustration.

Bypass the foil - the technique here is almost the same as the others. The goal is to bypass the protection device. As you can see, both ends of the foil are connected to the alarm protection loop. What we do is remove the wires from both sides and twist them together. That’s it! The window foil is now out of the protection loop and not capable of sending signals back to the alarm master control because it is now considered to be bypassed, as shown in the pictures above.

The lesson learned here is that, when designing a security system for your home or business, the placement of detection devices is very important. They need to be placed in an unobstructable area and walk-tested regularly to insure their proper operation. If the motion detectors are walk-tested with the alarm control in the test position, you’ll know that they are connected properly to the protection loop and no one has disconnected them because the signals will be acknowledged by the alarm master control. If someone has circumvented the protection loop, the detection signals will not be registering at the master control.
As you noticed while you read through this, almost all of the circumvention techniques are very similar. Contact switches, motion detectors, and other detections devices can be bypassed by simply twisting two wires together. I’m sure you now have a nice secure feeling about your alarm system. Yeah, right! Once again, my purpose in writing this book is not necessarily to show you how to defeat alarm systems but to show you how to protect yourself and your valuables properly.

However, it is not at all important.

When somebody attacks you, they will attack your infrastructure, not the one at the datacenter. People bend much easier than equipment, and are much more succeptible to defeat. In fact, who will spend the time in breaking through tens of firewalls and protections at the datacenter, when they could bypass a single (or dual) firewall and get straight into the heart of your company?

New strategy. Before protecting your firewall, your DMZ (I already said in a previous post, that DMZ is useless) - protect your client computers. Yes, build your network with firewalls first, dmz second, internal network and finally client computers - but start protecting your network in depth *from* the client computers, outwards. If your accountant uses Excel, Word and Powerpoint in their work, do not allow them to run Firefox or Skype! Do not give them higher than Guest permissions on their computer! They want to install the latest screensaver? Fine, let them do it at home. No playtime at the company computer network.

Your system administrators, of course, need to work as administrators of their own computers. WRONG! Guest, and Run As when needed.

The CEO needs full access to his computer, of course! … ? - NO! Guest permissions. Unless he signs a document that he is ready to take responsibility for leaking confidential information from his computer, to the internet.

Think about it, and the logic will become clear. Leave one link weak, leave microscopic opening in your security - it *will* be used against you, sooner or later. Make sure you’re not responsible for it, do your job and secure as good as you can.

Contact switches are manufactured in various sizes and strengths, depending on the application. The size of the magnet generally corresponds to the strength. The bigger the magnet, the stronger it is; conversely, the weaker magnets tend to be small. Whether large or small, the application dictates the size and strength used. For example, the older the door or window that the contact switch is applied to, the more play it usually has. If there is too much play and the magnet strength is not adequate to compensate for the movement in the door, false alarms could result. On the other hand, if the gap between the door and the door frame is relatively small, a lighter-duty contact switch would be acceptable.
Contact switches are placed in the protection loop of the alarm system and act as the faucets that we described in the first chapter. When the magnet is holding the switch closed, the electricity is able to flow freely through the protection loop and back to the alarm master control box. However whenever the magnet is moved away, the switch opens and can no longer flow through the protection loop and back to the master control. This causes it to activate the bell or siren and, if the system is connected to a monitoring facility, alert the authorities.
Now the fun begins. Here is the 10-second circumvention technique. You won’t believe how simple it is to circumvent this very popular and widely used device. Keep in mind that the contact switch is a vital part of almost every alarm system ever installed. Even though this device is one of the simplest to defeat, it is still widely used.
Circumventing a contact switch is as simple as twisting two wires together. In fact, most of the circumvention techniques that we will look at involve twisting two wires together. The question is which two? In the case of the contact switch it’s easy, because there are only two wires going to the switch.
To completely remove that particular switch from the alarm protection loop, make sure that the alarm is off. If it is on, you will activate it by performing the following procedure.
At this point you may wonder how someone with ill intent could gain access to your system while it is off. A common method of accomplishing this task is called the “inside job”. No big mystery how this name came about. The most recent crime statistics show that employee theft is one of the biggest risks to an employer. When someone on the inside sets up an alarm system for a later attack, it can normally be done without being detected easily. The person usually knows interior traffic patterns as well as the general work habits of other employees, which aids in the act of circumvention not being discovered. Bypassing the alarm can also take place in a busy environment- if a merchant were distracted by a partner in crime, the circumvention could probably be accomplished successfully.
The same holds true for devious relatives who have had their selfish eyes on the family fortune. A home can be set up as easily as a business. Keep an eye on the in-laws. Do you know where your children are tonight? Repair people as well as other visitors could also be setting you up.
Now to the technique. Simply remove the two wires connected to the top of the switch. Strip off some of the insulation or any protective coatings so that the bare wire is exposed. Under normal conditions, only 6-12 volts DC run through the wires, so you won’t get a shock by touching them. Now twist them tightly together tightly and leave disconnected from the contact switch. By doing this, the alarm protection loop will not see the opening and closing of that particular switch. Why? As far as the alarm master control knows, the system is operating properly because it will receive the voltage whether the switch is opened or closed. Since the contact switch is no longer connected to the protection loop, the master control does not see it.
Look at Figures 5 and 6. In Figure 5, you see the contact switch connected properly. In Figure 6, it has been bypassed. This technique is so simple it’s amazing that more systems haven’t been circumvented this way.

This technique will address 99 percent of all typical alarm systems. There are a few situations where contact switches, when shorted as described above, will actually cause the alarm to activate. However, since the system is off, you will not be detected. The lesson here is to always conceal all wiring and contact switches when installing an alarm in your home or business. In most cases, surface-mount contacts can be installed in such a way that the wires are hidden in the window and door frames (the recessed version mentioned earlier). This will discourage tampering of your system.

What are they like?
Well, they don’t like meeting obstacles. They hate beating their head against your firewall. They hate spending weeks and months in searching for a hole in your security systems - but hmm, if it’s worth it, they will. They will (and have done it with lots of companies) sometimes wait and search for YEARS, until they finally break your defenses.

The hacker society is just like water in a mountain - it builds it’s way slowly through the solid rock, builds whole caves - and nothing can stop it, if it is allowed to flow long enough. Eventually, they (we?) will get to you.

How can you protect your company? Buying new security systems could *probably* help. Against… some scriptkiddies.

Don’t allow the water flowing long enough to find a hole in your security.

Just change (enhance) your security frequently enough, so they would not be able to run at your speed. Change *all* passwords for critical systems every month. Change *all* user passwords every 6 months. Update your OS on client and server machines *immediately* after a patch is issued. Never run a service with higher privileges than it needs. If possible, separate your internet facing servers from your network.

Forget about DMZ. It just does NOT work.

You got it? Should I repeat? Forget about DMZ.  Separate your internet facing servers from your internal network Completely. Choose completely different passwords for your internet facing servers and for your intranet facing servers. In fact you shold not have the same password for more than 1 server! If your company has DMZ connected to your internal network, and one of the DMZ servers gets compromised, it’s gone. Game over. The theory behind DMZ is like swiss cheese - holes all over it’s logic. It will slow down the attacker, but it will help him tremendously if you use DMZ.

Just head over at http://www.cert.org/tech_tips/securing_browser/ and do what Will Dormann and Jason Rafail tell you.

Best of luck!