Comment la mère d'un pirate est entrée en prison et a infecté l'ordinateur du patron

Qu'est-ce que vous êtes prêt pour la réussite du projet? Ne dormez pas la nuit, envoyez vos familles en vacances pour qu'elles ne vous distraient pas, buvez du café et de l'énergie en litres? Il y a des options et brusquement. Cloud4Y raconte l'histoire étonnante d'un analyste en cybersécurité. John Strand, qui a reçu un contrat pour tester le système de sécurité des établissements correctionnels, a choisi un homme qui était idéalement adapté pour le rôle d'un pentester: sa propre mère .

John Strand est spécialisé dans la pénétration de divers systèmes et l'évaluation de leur sécurité. Ses services sont utilisés par diverses organisations qui souhaitent identifier les faiblesses de leur propre défense avant que ces failles de sécurité ne soient découvertes par des pirates. En règle générale, Strand effectue lui-même des tâches de pénétration ou connecte l'un de ses homologues expérimentés de Black Hills Information Security. Mais en juillet 2014, en prévision de tests manuels dans un pénitencier du Dakota du Sud, il a pris une décision très inattendue. Il a envoyé sa mère pour terminer la tâche.

L'idée de s'impliquer dans une telle aventure appartient à Rita Strand elle-même. Environ un an avant les événements, alors qu'elle avait 58 ans, elle est devenue la directrice financière de Black Hills, et avant cela, elle a travaillé dans le domaine de la restauration pendant environ trois décennies. Avec une expérience professionnelle aussi impressionnante, Rita était convaincue qu'elle pouvait se faire passer pour un inspecteur de la santé pour entrer dans la prison. Tout ce qui était requis était une fausse identité et le bon comportement.

"Une fois qu'elle est venue vers moi et a dit:" Vous savez, je veux pénétrer quelque part ", dit Strand." Comment pourrais-je la refuser? "

Pentest n'est pas aussi simple qu'il y paraît. Les testeurs de pénétration disent toujours qu'avec un regard confiant, vous pouvez obtenir des résultats incroyables, mais laisser un débutant dans un établissement correctionnel d'État est une expérience effrayante. Bien que les pentesters généralement embauchés soient autorisés à pénétrer dans les systèmes du client, des problèmes peuvent survenir s’ils sont capturés. Deux pentesters qui sont entrés au palais de justice de l' État de l' Iowa dans le cadre d'un contrat antérieur ont passé 12 heures en prison après avoir été arrêtés. Ensuite, il y a eu un tribunal, de longs procès, et ce n'est que récemment que c'était terminé. Bon pour les gars, même s'ils étaient assez nerveux.

La tâche de Rita Strand a été compliquée par un manque de connaissances techniques. Un pentester professionnel peut évaluer la sécurité numérique d'une organisation en temps réel et installer immédiatement une porte dérobée qui correspond aux vulnérabilités trouvées dans un réseau particulier. Rita pouvait dépeindre un inspecteur de la santé arrogant, mais elle n'était pas du tout un pirate informatique.

Comment était le penteste

Pour aider Rita à entrer, ils ont fabriqué de faux documents, une carte de visite et un badge du «chef» avec les coordonnées de John. Après avoir pénétré à l'intérieur, Rita était censée photographier les points d'accès et les installations de sécurité physique de l'institution. Au lieu de forcer une femme âgée à pirater n'importe quel ordinateur, John a fourni à sa mère les soi-disant Rubber Duckies: des lecteurs flash malveillants qu'elle pouvait brancher sur n'importe quel appareil. Les lecteurs flash ont pris contact avec ses homologues de Black Hills et leur ont ouvert l'accès aux systèmes carcéraux. Ensuite, ils ont effectué à distance d'autres opérations informatiques pendant que Rita continuait de fonctionner à l'intérieur.

"La plupart des gens qui font le pentest pour la première fois sont très mal à l'aise", a déclaré Strand. «Mais Rita était prête à partir. La cybersécurité en prison est cruciale pour des raisons évidentes. Si quelqu'un peut s'infiltrer dans une prison et prendre le contrôle de systèmes informatiques, sortir quelqu'un de prison sera vraiment facile. »

Le matin du jour de Pentest, Strand et ses collègues se sont rassemblés dans un café près de la prison. Tout en préparant leur commande, les gars ont mis en place un système de travail avec des ordinateurs portables, des points d'accès mobiles et d'autres équipements. Et quand tout était prêt, Rita est allée en prison.

«Quand elle est sortie, je pensais que c'était une très mauvaise idée», se souvient Strand. «Elle n'a aucune expérience de pénétration, aucune expérience de piratage informatique. J'ai dit: "Maman, si tout va mal, tu dois prendre le téléphone et m'appeler immédiatement."

Les pentesters essaient généralement de passer le moins de temps possible sur le site pour éviter toute attention et suspicion inutiles. Mais après 45 minutes d'attente, Rita ne s'est jamais présentée.

"Quand environ une heure s'est écoulée, j'ai commencé à paniquer", sourit John Strand. "Je me suis reproché d'avoir à prévoir cela pendant que nous conduisions dans la même voiture, et maintenant je suis assis dans le désert dans un café, et je n'ai aucun moyen d'y accéder."

Soudain, les ordinateurs portables Black Hills ont commencé à émettre un bip. Rita l'a fait! Les signets USB qu'elle a installés ont créé les soi-disant coquilles Web, qui ont donné à l'équipe du café l'accès à divers ordinateurs et serveurs à l'intérieur de la prison. Strand rappelle qu'un de ses collègues a crié: "Ta mère va bien!"

En fait, Rita n'a rencontré aucune résistance à l'intérieur de la prison. Elle a dit aux gardes de sécurité à l'entrée qu'elle procédait à une inspection médicale imprévue, et ils l'ont non seulement manquée, mais l'ont également laissée avec un téléphone portable avec lequel elle a enregistré toute la procédure de pénétration de l'objet. Dans la cuisine de la prison, elle a vérifié la température des réfrigérateurs et des congélateurs, a fait semblant de vérifier la présence de bactéries sur les étagères et les étagères, a recherché les produits périmés et a pris des photos.

Rita a également demandé à examiner les zones de travail des employés et les zones de loisirs, le centre d'exploitation du réseau de la prison et même la salle des serveurs - tout cela soi-disant pour vérifier les insectes, l'humidité et la moisissure. Et personne ne l'a refusée. Elle a même été autorisée à errer seule dans la prison, ce qui lui laissait suffisamment de temps pour prendre un tas de photos et créer des signets USB dans la mesure du possible.

À la fin de l '«inspection», le directeur de la prison a demandé à Rita de visiter son bureau et de faire des recommandations sur la façon dont l'institution pourrait améliorer la restauration. Grâce à sa vaste expérience dans le domaine de la nutrition, la femme a évoqué certains problèmes. Elle lui a ensuite remis une clé USB spécialement préparée et a déclaré que l'inspection contient une liste de contrôle utile de questions pour l'auto-évaluation et qu'il peut l'utiliser pour résoudre les problèmes actuels. Sur un lecteur flash se trouvait un fichier Word infecté par une macro malveillante. Lorsque le directeur de la prison l'a ouvert, il a donné à Black Hills l'accès à son ordinateur.

«Nous étions tout simplement stupéfaits», dit Strand. «Ce fut un succès retentissant. Les représentants de la cybersécurité ont maintenant quelque chose à dire sur les lacunes et les faiblesses fondamentales du système actuel. Même si quelqu'un prétend être inspecteur de la santé ou quelqu'un d'autre, vous devez mieux vérifier les informations. Vous ne pouvez pas croire aveuglément ce qu'ils disent. "

Quel est le résultat

D’autres pentesters qui connaissent cette histoire pensent que le succès de Rita est plutôt une heureuse coïncidence, mais la situation dans son ensemble reflète bien leur expérience quotidienne.

«Le résultat de l'application d'un peu de mensonges et d'aspects physiques peut être incroyable. Nous effectuons un travail similaire tout le temps et nous nous trouvons rarement exposés », reconnaît David Kennedy, fondateur de TrustedSec Penetration Testing. "Si vous prétendez être inspecteur, auditeur, autorité, alors vous êtes autorisé à faire quoi que ce soit."

Rita n'a plus jamais participé aux tests de pénétration. Et John Strand refuse maintenant de dire dans quelle prison sa mère s'est rendue. Il assure que maintenant c'est déjà fermé. Mais les efforts de l'équipe ont eu un impact significatif sur l'organisation de la sécurité, explique Strand. Et ajoute en plaisantant: "Je pense également que grâce à notre test, le niveau de soins de santé dans l'organisation a été augmenté."

Quoi d'autre peut être utile à lire sur le blog Cloud4Y

→ Comment la banque s'est «cassée»
→ Confidentialité personnelle? Non, ils n'ont pas entendu
→ Le Web au fond de la vitre, ou ce qui combine le whisky américain et la science
→ Diagnostic des connexions réseau sur un routeur EDGE virtuel
→L'anonymisation des données ne garantit pas votre anonymat complet, abonnez-vous

à notre chaîne Telegram pour ne pas manquer un autre article! Nous écrivons pas plus de deux fois par semaine et uniquement pour affaires.