Cómo la madre de un hacker entró en prisión e infectó la computadora del jefe

¿Qué estás listo para la finalización exitosa del proyecto? ¿No duermes de noche, envía a tu familia de vacaciones para que no te distraigan, bebe café y energía en litros? Hay opciones y abruptamente. Cloud4Y cuenta la increíble historia de un analista de ciberseguridad. John Strand, quien recibió un contrato para probar el sistema de seguridad de las instalaciones correccionales, eligió a un hombre que era ideal para el papel de un Pentester: su propia madre .

John Strand se especializa en penetrar varios sistemas y evaluar su seguridad. Sus servicios son utilizados por varias organizaciones que desean identificar debilidades en su propia defensa antes de que los piratas informáticos descubran estos agujeros de seguridad. Por lo general, Strand realiza tareas de penetración él mismo o conecta a uno de sus homólogos experimentados de Black Hills Information Security. Pero en julio de 2014, en preparación para las pruebas manuales en un centro penitenciario en Dakota del Sur, tomó una decisión muy inesperada. Envió a su madre para completar la tarea.

La idea de involucrarse en tal aventura pertenece a la propia Rita Strand. Aproximadamente un año antes de los eventos, cuando tenía 58 años, se convirtió en la directora financiera de Black Hills, y antes de eso trabajó en el campo de la restauración durante aproximadamente tres décadas. Con una experiencia profesional tan impresionante, Rita confiaba en que podría hacerse pasar por un inspector de salud para ingresar a la prisión. Todo lo que se requería era una identidad falsa y el patrón de comportamiento correcto.

"Una vez que se me acercó y me dijo:" Sabes, quiero penetrar en algún lugar ", dice Strand." ¿Cómo podría rechazarla? "

Pentest no es tan simple como parece. Los evaluadores de penetración siempre dicen que con solo una mirada segura puede lograr resultados increíbles, pero dejar que un novato en una instalación correccional estatal sea un experimento aterrador. Aunque generalmente los pentesters contratados pueden ingresar a los sistemas del cliente, pueden surgir problemas si son capturados. Dos pentesters que ingresaron al Palacio de Justicia del Estado de Iowa como parte de un contrato anterior pasaron 12 horas en prisión después de ser capturados. Luego hubo una corte, juicios largos, y solo recientemente había terminado. Bien por los muchachos, aunque estaban bastante nerviosos.

La tarea de Rita Strand fue complicada por la falta de conocimiento técnico. Un pentester profesional puede evaluar la seguridad digital de una organización en tiempo real e instalar inmediatamente una puerta trasera que coincida con las vulnerabilidades encontradas en una red en particular. Rita podía interpretar a una arrogante inspectora de salud, pero no era una hacker en absoluto.

¿Cómo estuvo el pentest

Para ayudar a Rita a entrar, hicieron documentos falsos, una tarjeta de presentación y una insignia del "líder" con la información de contacto de John. Después de penetrar en el interior, se suponía que Rita fotografiaría los puntos de acceso y las instalaciones de seguridad física de la institución. En lugar de obligar a una mujer de edad avanzada a hackear cualquier computadora, John le proporcionó a su madre los llamados Duckies de goma: unidades flash maliciosas que podía conectar a cualquier dispositivo. Las unidades flash hicieron contacto con sus homólogos de Black Hills y les abrieron el acceso a los sistemas penitenciarios. Luego realizaron remotamente otras operaciones de computadora mientras Rita continuaba operando adentro.

"La mayoría de las personas que hacen el pentest por primera vez se sienten muy incómodas", dijo Strand. “Pero Rita estaba lista para partir. La seguridad cibernética en prisión es crucial por razones obvias. Si alguien puede infiltrarse en una prisión y hacerse cargo de los sistemas informáticos, será muy fácil sacar a alguien de la prisión ”.

En la mañana del día de Pentest, Strand y sus colegas se reunieron en un café cerca de la prisión. Mientras preparaban su pedido, los chicos armaron un sistema de trabajo con computadoras portátiles, puntos de acceso móvil y otros equipos. Y cuando todo estuvo listo, Rita fue a la cárcel.

"Cuando salió, pensé que era una muy mala idea", recuerda Strand. “Ella no tiene experiencia en penetración, no tiene experiencia en piratería informática. Le dije: "Mamá, si todo sale mal, debes tomar el teléfono y llamarme de inmediato".

Los pentesters generalmente intentan pasar el menor tiempo posible en el sitio para evitar atención innecesaria y sospechas. Pero después de 45 minutos de espera, Rita nunca apareció.

"Cuando pasó aproximadamente una hora, comencé a entrar en pánico", sonríe John Strand. "Me reproché por tener que prever esto mientras estábamos manejando en el mismo auto, y ahora estoy sentado en el desierto en un café, y no tengo forma de llegar a él".

De repente, las computadoras portátiles Black Hills comenzaron a pitar. Rita lo hizo! Los marcadores USB que instaló crearon los llamados shells web, que le dieron al equipo en el café acceso a varias computadoras y servidores dentro de la prisión. Strand recuerda que uno de sus colegas gritó: "¡Tu madre está bien!"

De hecho, Rita no encontró resistencia alguna dentro de la prisión. Ella les dijo a los guardias en la entrada que estaba realizando una inspección médica no programada, y no solo la extrañaron, sino que también la dejaron con un teléfono móvil, con el que grabó todo el procedimiento de penetración en el objeto. En la cocina de la prisión, verificó la temperatura en los refrigeradores y congeladores, fingió buscar bacterias en los estantes y estantes, buscó productos vencidos y tomó fotografías.

Rita también solicitó examinar las áreas de trabajo de los empleados y las áreas de recreación, el centro de operaciones de la red de la prisión e incluso la sala de servidores, todo esto supuestamente para detectar insectos, humedad y moho. Y nadie la rechazó. Incluso se le permitió deambular sola por la prisión, dando suficiente tiempo para tomar un montón de fotos y configurar marcadores USB siempre que sea posible.

Al final de la "inspección", el director de la prisión le pidió a Rita que visitara su oficina y le recomendara cómo la institución podría mejorar la restauración. Gracias a su amplia experiencia en el campo de la nutrición, la mujer habló sobre algunos problemas. Luego le entregó una unidad flash especialmente preparada y dijo que la inspección tiene una útil lista de preguntas para autoevaluación y que él puede usarla para solucionar los problemas actuales. En una unidad flash había un archivo de Word infectado con una macro maliciosa. Cuando el director de la prisión lo abrió, le dio a Black Hills acceso a su computadora.

"Nos quedamos atónitos", dice Strand. “Fue un éxito abrumador. Los representantes de seguridad cibernética ahora tienen algo que decir sobre las deficiencias y debilidades fundamentales del sistema actual. Incluso si alguien dice ser un inspector de salud u otra persona, debe verificar mejor la información. No puedes creer ciegamente lo que dicen ".

Cual es el resultado

Otros pentesters que conocen esta historia creen que el éxito de Rita es más una coincidencia afortunada, pero la situación en su conjunto refleja bien su experiencia cotidiana.

“El resultado de aplicar un poco de mentiras y aspectos físicos puede ser increíble. Hacemos un trabajo similar todo el tiempo y rara vez nos encontramos expuestos ”, coincide David Kennedy, fundador de TrustedSec Penetration Testing. "Si usted afirma ser un inspector, auditor, autoridad, entonces se le permite hacer cualquier cosa".

Rita nunca más participó en pruebas de penetración. Y John Strand ahora se niega a decir a qué prisión fue su madre. Asegura que ahora ya está cerrado. Pero los esfuerzos del equipo han tenido un impacto significativo en la organización de seguridad, dice Strand. Y agrega en tono de broma: "También creo que gracias a nuestra prueba, se aumentó el nivel de atención médica en la organización".

¿Qué más puede ser útil para leer en el blog de Cloud4Y

→ Cómo se "rompió" el banco
→ Privacidad personal? No, no escucharon
→ La web en el fondo del cristal, o lo que combina whisky americano y ciencia
→ Diagnóstico de conexiones de red en un enrutador EDGE virtual
→Anonimizar los datos no garantiza su anonimato completo. ¡

Suscríbase a nuestro canal Telegram para no perderse otro artículo! Escribimos no más de dos veces por semana y solo por negocios.