كيف دخلت والدة القراصنة إلى السجن وأصابت جهاز الكمبيوتر الخاص بالرئيس

ما الذي أنت جاهز لإكمال المشروع بنجاح؟ لا تنام في الليل ، أرسل عائلتك في إجازة حتى لا يصرفك ، يشرب القهوة والطاقة باللترات؟ هناك خيارات وبشكل مفاجئ. يحكي Cloud4Y القصة المذهلة لمحلل الأمن السيبراني. اختار جون ستراند ، الذي حصل على عقد لاختبار النظام الأمني ​​للمنشآت الإصلاحية ، رجلاً يناسب بشكل مثالي دور البنتستر: والدته .

يتخصص John Strand في اختراق الأنظمة المختلفة وتقييم أمنها. يتم استخدام خدماتها من قبل مختلف المنظمات الراغبة في تحديد نقاط الضعف في دفاعهم قبل اكتشاف هذه الثغرات الأمنية من قبل المتسللين. عادة ، يقوم ستراند بمهام الاختراق بنفسه أو يربط أحد نظرائه ذوي الخبرة في أمن المعلومات بلاك هيلز. لكن في يوليو 2014 ، استعدادًا للاختبار اليدوي في سجن في داكوتا الجنوبية ، اتخذ قرارًا غير متوقعًا. أرسل والدته لإكمال المهمة.

تنتمي فكرة المشاركة في مثل هذه المغامرة إلى ريتا ستراند نفسها. قبل الأحداث بنحو عام ، عندما كانت في الثامنة والخمسين من عمرها ، أصبحت المدير المالي لشركة بلاك هيلز ، وقبل ذلك عملت في مجال تقديم الطعام لمدة ثلاثة عقود. مع هذه الخبرة المهنية المثيرة للإعجاب ، كانت ريتا واثقة من أنها يمكن أن تنتحل شخصية مفتش صحي لدخول السجن. كل ما هو مطلوب هو هوية مزيفة ونمط السلوك الصحيح.

تقول ستراند: "بمجرد أن أتت إلي وقالت:" أتعلم ، أريد الاختراق في مكان ما ، كيف يمكنني رفضها؟ "

Pentest ليست بسيطة كما يبدو. يقول مُختبِرو الاختراق دائمًا أنه من خلال نظرة واثقة فقط ، يمكنك تحقيق نتائج لا تصدق ، ولكن السماح لمبتدئ في منشأة تصحيحية في الولاية يمثل تجربة مخيفة. على الرغم من أنه يُسمح عادةً للأشخاص الذين يتم توظيفهم عادةً بدخول أنظمة العميل ، فقد تنشأ مشاكل إذا تم التقاطها. قضى اثنان من رجال الدعوى الذين دخلوا محكمة ولاية آيوا كجزء من عقد سابق 12 ساعة في السجن بعد القبض عليهم. ثم كانت هناك محكمة ، ومحاكمات طويلة ، ومؤخرا انتهى الأمر. جيد للرجال ، على الرغم من أنهم هزوا أعصابهم إلى حد كبير.

كانت مهمة ريتا ستراند معقدة بسبب نقص المعرفة التقنية. يمكن للفنانة المحترفة تقييم الأمن الرقمي للمؤسسة في الوقت الحقيقي ، وتثبيت باب خلفي على الفور يطابق نقاط الضعف الموجودة في شبكة معينة. يمكن أن تصور ريتا مفتش صحة متغطرس ، لكنها لم تكن متسللاً على الإطلاق.

كيف كان الاكبر

لمساعدة ريتا في الدخول ، قاموا بعمل وثائق مزورة وبطاقة عمل وشارة "القائد" بمعلومات الاتصال الخاصة بجون. بعد الاختراق في الداخل ، كان من المفترض أن تقوم ريتا بتصوير نقاط الوصول للمؤسسة ومرافق الأمن المادي. بدلاً من إجبار امرأة مسنة على اختراق أي أجهزة كمبيوتر ، زود جون والدته بما يسمى بطة مطاطية: محركات أقراص فلاش ضارة يمكنها توصيلها بأي جهاز. اتصلت محركات أقراص فلاش بنظرائها من بلاك هيلز وفتحت لهم الوصول إلى أنظمة السجون. ثم قاموا بإجراء عمليات كمبيوتر أخرى عن بعد بينما واصلت ريتا العمل في الداخل.

قال ستراند: "معظم الناس الذين يفعلون الأشد لأول مرة يشعرون بعدم الارتياح". ولكن ريتا كانت مستعدة للذهاب. الأمن السيبراني في السجن أمر حاسم لأسباب واضحة. إذا تمكن شخص ما من التسلل إلى السجن وتولي أنظمة الكمبيوتر ، فسيكون إخراج شخص من السجن أمرًا سهلاً حقًا ".

في صباح يوم Pentest ، تجمع ستراند وزملاؤه في مقهى بالقرب من السجن. أثناء إعداد طلبهم ، وضع الرجال نظام عمل مع أجهزة الكمبيوتر المحمولة ونقاط الوصول المحمولة وغيرها من المعدات. وعندما كان كل شيء جاهزًا ، ذهبت ريتا إلى السجن.

تتذكر ستراند: "عندما خرجت ، اعتقدت أنها فكرة سيئة للغاية". "ليس لديها تجربة اختراق ، ولا تجربة اختراق تكنولوجيا المعلومات. قلت: "أمي ، إذا ساء كل شيء ، عليك أن تأخذي الهاتف وتتصل بي على الفور".

يحاول Pentesters عادةً قضاء أقل وقت ممكن على الموقع لتجنب الانتباه والشك غير الضروريين. ولكن بعد 45 دقيقة من الانتظار ، لم تظهر ريتا أبدًا.

يبتسم جون ستراند: "عندما مرت ساعة ، بدأت أشعر بالذعر". "لقد عاتبت نفسي لأنني اضطررت إلى توقع ذلك أثناء القيادة في نفس السيارة ، والآن أجلس في البرية في مقهى ، وليس لدي أي طريقة للوصول إليه."

فجأة ، بدأت أجهزة الكمبيوتر المحمولة بلاك هيلز في طنين. فعلت ريتا ذلك! أنشأت إشارات USB التي قامت بتثبيتها ما يسمى بأصداف الويب ، والتي أعطت الفريق في المقهى إمكانية الوصول إلى أجهزة كمبيوتر وخوادم مختلفة داخل السجن. يتذكر ستراند أن أحد زملائه صاح: "أمك بخير!"

في الواقع ، لم تواجه ريتا أي مقاومة على الإطلاق داخل السجن. أخبرت حراس الأمن عند المدخل أنها كانت تجري فحصًا طبيًا غير مجدول ، ولم يفتقدوها فحسب ، بل تركوها أيضًا بهاتف محمول سجلت فيه عملية اختراق الجسم بالكامل. في مطبخ السجن ، فحصت درجة الحرارة في الثلاجات والمجمدات ، وتظاهرت بالتحقق من وجود بكتيريا على الرفوف والأرفف ، وبحثت عن المنتجات منتهية الصلاحية والتقطت صورًا.

طلبت ريتا أيضًا فحص مناطق عمل الموظفين ومناطق الاستجمام ، ومركز تشغيل شبكة السجن ، وحتى غرفة الخادم - كل هذا من المفترض التحقق من الحشرات والرطوبة والعفن. ولم يرفضها أحد. حتى أنها سمحت لها بالتجول في السجن بمفردها ، مما منح الكثير من الوقت لالتقاط مجموعة من الصور وإعداد إشارات USB حيثما أمكن.

في نهاية "التفتيش" ، طلب مدير السجن من ريتا زيارة مكتبه وتقديم توصيات حول كيفية تحسين المؤسسة للمطاعم. بفضل خبرتها الواسعة في مجال التغذية ، تحدثت المرأة عن بعض المشاكل. ثم سلمته محرك أقراص محمول تم إعداده خصيصًا وقالت إن الفحص لديه قائمة مراجعة مفيدة من الأسئلة للتقييم الذاتي وأنه يمكنه استخدامه لإصلاح المشكلات الحالية. على محرك أقراص محمول كان ملف Word مصابًا بماكرو ضار. عندما فتح مدير السجن ، أعطى بلاك هيلز الوصول إلى جهاز الكمبيوتر الخاص به.

يقول ستراند: "لقد أذهلنا للتو". "لقد كان نجاحًا ساحقًا. لدى ممثلي الأمن السيبراني الآن ما يقال عن أوجه القصور والضعف الأساسية في النظام الحالي. حتى إذا ادعى شخص ما أنه مفتش صحي أو شخص آخر ، فأنت بحاجة إلى التحقق بشكل أفضل من المعلومات. لا يمكنك أن تصدق ما يقولون بشكل أعمى ".

ما هي النتيجة

يعتقد المتعلمون الآخرون الذين يعرفون هذه القصة أن نجاح ريتا هو مجرد مصادفة محظوظة ، لكن الوضع ككل يعكس جيدًا تجربتهم اليومية.

"نتيجة تطبيق القليل من الأكاذيب والجوانب المادية يمكن أن تكون مذهلة. نحن نقوم بعمل مماثل طوال الوقت ونادراً ما نكتشف أنفسنا "، يوافق ديفيد كينيدي ، مؤسس TrustedSec Penetration Testing. "إذا كنت تدعي أنك مفتش أو مدقق أو سلطة ، فيُسمح لك بفعل أي شيء."

لم تشارك ريتا مرة أخرى في اختبارات الاختراق. ويرفض جون ستراند الآن تحديد السجن الذي ذهبت إليه والدته. ويؤكد أنه الآن مغلق بالفعل. يقول ستراند إن جهود الفريق كان لها تأثير كبير على التنظيم الأمني. ويضيف مازحا: "أعتقد أيضا أنه بفضل اختبارنا ، ارتفع مستوى الرعاية الصحية في المنظمة."

ما الذي يمكن أن يكون مفيدًا أيضًا لقراءته في مدونة Cloud4Y

→ كيف "كسر" البنك
→ الخصوصية الشخصية؟ لا ، لم يسمعوا
← الويب في الجزء السفلي من الزجاج ، أو ما يجمع بين الويسكي الأمريكي والعلوم
→ تشخيص اتصالات الشبكة على جهاز توجيه EDGE افتراضي
→بيانات إخفاء الهوية لا تضمن عدم الكشف عن هويتك الكاملة.

اشترك في قناة Telegram الخاصة بنا حتى لا تفوتك مقالة أخرى! لا نكتب أكثر من مرتين في الأسبوع وفقط في العمل.