Wie die Mutter eines Hackers ins Gefängnis kam und den Computer des Chefs infizierte

Was sind Sie bereit für den erfolgreichen Abschluss des Projekts? Schlafen Sie nicht nachts, schicken Sie Ihre Familie in den Urlaub, damit sie Sie nicht ablenkt, trinken Sie Kaffee und Energie in Litern? Es gibt Optionen und abrupt. Cloud4Y erzählt die erstaunliche Geschichte eines Cybersicherheitsanalysten. John Strand, der einen Auftrag zum Testen des Sicherheitssystems von Justizvollzugsanstalten erhielt, wählte einen Mann, der für die Rolle eines Pentesters ideal geeignet war: seine eigene Mutter .

John Strand ist darauf spezialisiert, in verschiedene Systeme einzudringen und deren Sicherheit zu bewerten. Seine Dienste werden von verschiedenen Organisationen genutzt, die Schwachstellen in ihrer eigenen Verteidigung identifizieren möchten, bevor diese Sicherheitslücken von Hackern entdeckt werden. In der Regel führt Strand Penetrationsaufgaben selbst aus oder verbindet einen seiner erfahrenen Kollegen aus dem Bereich Black Hills Information Security. Im Juli 2014 traf er in Vorbereitung auf manuelle Tests in einem Gefängnis in South Dakota eine sehr unerwartete Entscheidung. Er schickte seine Mutter, um die Aufgabe zu erledigen.

Die Idee, sich auf ein solches Abenteuer einzulassen, gehört Rita Strand selbst. Ungefähr ein Jahr vor den Ereignissen, als sie 58 Jahre alt war, wurde sie Finanzdirektorin von Black Hills und arbeitete zuvor ungefähr drei Jahrzehnte im Bereich Catering. Mit solch beeindruckender Berufserfahrung war Rita zuversichtlich, dass sie sich als Gesundheitsinspektorin ausgeben konnte, um das Gefängnis zu betreten. Alles, was erforderlich war, war eine gefälschte Identität und das richtige Verhaltensmuster.

"Einmal kam sie auf mich zu und sagte:" Weißt du, ich möchte irgendwo eindringen ", sagt Strand." Wie könnte ich sie ablehnen? "

Pentest ist nicht so einfach wie es scheint. Penetrationstester sagen immer, dass Sie mit nur einem selbstbewussten Blick unglaubliche Ergebnisse erzielen können, aber es ist ein beängstigendes Experiment, einen Neuling in eine staatliche Justizvollzugsanstalt zu lassen. Obwohl normalerweise gemietete Pentester in die Systeme des Kunden eindringen dürfen, können Probleme auftreten, wenn sie erfasst werden. Zwei Pentester, die im Rahmen eines früheren Vertrags das Iowa State Courthouse betraten, verbrachten 12 Stunden im Gefängnis, nachdem sie gefasst worden waren. Dann gab es ein Gericht, lange Gerichtsverfahren, und erst kürzlich war es vorbei. Gut für die Jungs, obwohl sie ziemlich nervös waren.

Die Aufgabe von Rita Strand wurde durch mangelndes technisches Wissen erschwert. Ein professioneller Pentester kann die digitale Sicherheit eines Unternehmens in Echtzeit bewerten und sofort eine Hintertür installieren, die den in einem bestimmten Netzwerk gefundenen Schwachstellen entspricht. Rita konnte einen arroganten Gesundheitsinspektor darstellen, aber sie war überhaupt keine Hackerin.

Wie war der Pentest

Um Rita den Zugang zu erleichtern, erstellten sie gefälschte Dokumente, eine Visitenkarte und ein Abzeichen des "Anführers" mit Johns Kontaktinformationen. Nach dem Eindringen sollte Rita die Zugangspunkte und physischen Sicherheitseinrichtungen der Einrichtung fotografieren. Anstatt eine alte Frau zu zwingen, sich in Computer zu hacken, versorgte John seine Mutter mit den sogenannten Rubber Duckies: böswilligen Flash-Laufwerken, die sie an jedes Gerät anschließen konnte. Flash-Laufwerke nahmen Kontakt zu ihren Kollegen in Black Hills auf und eröffneten ihnen den Zugang zu Gefängnissystemen. Dann führten sie andere Computeroperationen aus der Ferne durch, während Rita weiter im Inneren arbeitete.

"Die meisten Menschen, die zum ersten Mal das Pentest machen, fühlen sich sehr unwohl", sagte Strand. „Aber Rita war bereit zu gehen. Cybersicherheit im Gefängnis ist aus offensichtlichen Gründen von entscheidender Bedeutung. Wenn jemand ein Gefängnis infiltrieren und Computersysteme übernehmen kann, ist es wirklich einfach, jemanden aus dem Gefängnis zu holen. “

Am Morgen des Pentest versammelten sich Strand und seine Kollegen in einem Café in der Nähe des Gefängnisses. Während der Vorbereitung ihrer Bestellung stellten die Jungs ein funktionierendes System mit Laptops, mobilen Zugangspunkten und anderen Geräten zusammen. Und als alles fertig war, ging Rita ins Gefängnis.

"Als sie ausstieg, fand ich das eine sehr schlechte Idee", erinnert sich Strand. „Sie hat keine Penetrationserfahrung, keine IT-Hacking-Erfahrung. Ich sagte: "Mama, wenn alles schlecht geht, musst du das Telefon nehmen und mich sofort anrufen."

Pentester versuchen normalerweise, so wenig Zeit wie möglich auf der Baustelle zu verbringen, um unnötige Aufmerksamkeit und Misstrauen zu vermeiden. Aber nach 45 Minuten Wartezeit tauchte Rita nie auf.

"Als ungefähr eine Stunde verging, begann ich in Panik zu geraten", lächelt John Strand. "Ich habe mir vorgeworfen, dies vorhersehen zu müssen, während wir im selben Auto gefahren sind, und jetzt sitze ich in der Wildnis in einem Café und habe keine Möglichkeit, dorthin zu gelangen."

Plötzlich begannen die Laptops von Black Hills zu piepen. Rita hat es geschafft! Die von ihr installierten USB-Lesezeichen erstellten die sogenannten Web-Shells, mit denen das Team im Café auf verschiedene Computer und Server im Gefängnis zugreifen konnte. Strand erinnert sich, dass einer seiner Kollegen rief: "Ihrer Mutter geht es gut!"

Tatsächlich stieß Rita im Gefängnis überhaupt nicht auf Widerstand. Sie erzählte den Wachen am Eingang, dass sie eine außerplanmäßige ärztliche Untersuchung durchführte und sie nicht nur vermisste, sondern sie auch mit einem Mobiltelefon zurückließ, mit dem sie den gesamten Vorgang des Eindringens in das Objekt aufzeichnete. In der Gefängnisküche überprüfte sie die Temperatur in den Kühl- und Gefrierschränken, gab vor, in den Regalen und Regalen nach Bakterien zu suchen, suchte nach abgelaufenen Produkten und machte Fotos.

Rita bat auch darum, die Arbeitsbereiche der Angestellten und Erholungsbereiche, das Netzwerkbetriebszentrum des Gefängnisses und sogar den Serverraum zu untersuchen - alles angeblich, um nach Insekten, Feuchtigkeit und Schimmel zu suchen. Und niemand lehnte sie ab. Sie durfte sogar alleine durch das Gefängnis streifen und hatte genügend Zeit, um ein paar Fotos zu machen und wo immer möglich USB-Lesezeichen einzurichten.

Am Ende der „Inspektion“ bat der Direktor des Gefängnisses Rita, sein Büro zu besuchen und Empfehlungen zu geben, wie die Einrichtung das Catering verbessern könnte. Dank ihrer langjährigen Erfahrung auf dem Gebiet der Ernährung sprach die Frau über einige Probleme. Dann gab sie ihm ein speziell vorbereitetes Flash-Laufwerk und sagte, dass die Inspektion eine nützliche Checkliste mit Fragen zur Selbsteinschätzung enthält und dass er damit aktuelle Probleme beheben kann. Auf einem Flash-Laufwerk befand sich eine Word-Datei, die mit einem schädlichen Makro infiziert war. Als der Gefängnisdirektor es öffnete, gab er Black Hills Zugang zu seinem Computer.

"Wir waren einfach fassungslos", sagt Strand. „Es war ein überwältigender Erfolg. Vertreter der Cybersicherheit haben jetzt etwas zu den grundlegenden Mängeln und Schwächen des derzeitigen Systems zu sagen. Selbst wenn jemand behauptet, ein Gesundheitsinspektor oder eine andere Person zu sein, müssen Sie die Informationen besser überprüfen. Sie können nicht blind glauben, was sie sagen. "

Was ist das Ergebnis

Andere Pentester, die diese Geschichte kennen, glauben, dass die Situation insgesamt ihre alltäglichen Erfahrungen gut widerspiegelt, auch wenn der Erfolg von Rita eher ein Zufall ist.

„Das Ergebnis der Anwendung kleiner Lügen und körperlicher Aspekte kann unglaublich sein. Wir machen die ganze Zeit ähnliche Arbeiten und sehen uns selten ausgesetzt “, stimmt David Kennedy, Gründer von TrustedSec Penetration Testing, zu. "Wenn Sie behaupten, Inspektor, Prüfer oder Behörde zu sein, dürfen Sie alles tun."

Rita hat nie wieder an Penetrationstests teilgenommen. Und John Strand weigert sich jetzt zu sagen, in welches Gefängnis seine Mutter gegangen ist. Er versichert, dass es jetzt schon geschlossen ist. Laut Strand hatten die Bemühungen des Teams jedoch erhebliche Auswirkungen auf die Sicherheitsorganisation. Und fügt scherzhaft hinzu: "Ich denke auch, dass dank unseres Tests das Niveau der Gesundheitsversorgung in der Organisation erhöht wurde."

Was kann sonst noch nützlich sein, um im Cloud4Y- Blog zu lesen

→ Wie die Bank „kaputt gegangen “ ist
→ Datenschutz? Nein, sie haben nichts gehört
→ Das Web am unteren Rand des Glases oder was amerikanischen Whisky und Wissenschaft kombiniert
→ Diagnose von Netzwerkverbindungen auf einem virtuellen EDGE-Router
→Die Anonymisierung von Daten garantiert nicht Ihre vollständige Anonymität.

Abonnieren Sie unseren Telegrammkanal , um keinen weiteren Artikel zu verpassen! Wir schreiben nicht mehr als zweimal pro Woche und nur geschäftlich.