Bagaimana ibu seorang peretas masuk penjara dan menginfeksi komputer bos

Apa yang Anda siapkan untuk penyelesaian proyek yang berhasil? Jangan tidur di malam hari, mengirim keluarga Anda berlibur sehingga mereka tidak mengganggu Anda, minum kopi dan energi dalam liter? Ada opsi dan tiba-tiba. Cloud4Y menceritakan kisah luar biasa dari seorang analis cybersecurity. John Strand, yang menerima kontrak untuk menguji sistem keamanan fasilitas pemasyarakatan, memilih seorang pria yang cocok untuk peran pentester: ibunya sendiri .

John Strand berspesialisasi dalam menembus berbagai sistem dan menilai keamanannya. Layanannya digunakan oleh berbagai organisasi yang ingin mengidentifikasi kelemahan dalam pertahanan mereka sendiri sebelum lubang keamanan ini ditemukan oleh peretas. Biasanya, Strand melakukan tugas-tugas penetrasi sendiri atau menghubungkan salah satu mitra Keamanan Informasi Black Hills yang berpengalaman. Tetapi pada Juli 2014, dalam persiapan untuk pengujian manual di penjara di South Dakota, ia membuat keputusan yang sangat tak terduga. Dia mengirim ibunya untuk menyelesaikan tugas.

Gagasan untuk terlibat dalam petualangan semacam itu adalah milik Rita Strand sendiri. Sekitar setahun sebelum peristiwa, ketika dia berusia 58 tahun, dia menjadi direktur keuangan Black Hills, dan sebelum itu dia bekerja di bidang katering selama sekitar tiga dekade. Dengan pengalaman profesional yang mengesankan, Rita yakin bahwa dia bisa menyamar sebagai inspektur kesehatan untuk memasuki penjara. Yang diperlukan hanyalah identitas palsu dan pola perilaku yang benar.

"Suatu kali dia mendatangi saya dan berkata:" Anda tahu, saya ingin menembus di suatu tempat, "kata Strand." Bagaimana saya bisa menolaknya? "

Pentest tidak sesederhana kelihatannya. Penguji penetrasi selalu mengatakan bahwa hanya dengan tampilan percaya diri Anda dapat mencapai hasil yang luar biasa, tetapi membiarkan seorang pemula di fasilitas pemasyarakatan negara adalah eksperimen yang menakutkan. Meskipun biasanya dipekerjakan pentester diizinkan untuk memasuki sistem klien, masalah mungkin timbul jika mereka ditangkap. Dua pentester yang memasuki Pengadilan Negeri Iowa sebagai bagian dari kontrak sebelumnya menghabiskan 12 jam penjara setelah ditangkap. Lalu ada pengadilan, persidangan panjang, dan baru saja ini berakhir. Bagus untuk teman-teman, meskipun mereka cukup gelisah.

Tugas Rita Strand dipersulit oleh kurangnya pengetahuan teknis. Pentester profesional dapat mengevaluasi keamanan digital suatu organisasi secara real time, dan segera memasang pintu belakang yang cocok dengan kerentanan yang ditemukan di jaringan tertentu. Rita bisa memerankan seorang inspektur kesehatan yang arogan, tetapi dia sama sekali bukan seorang hacker.

Bagaimana yang paling indah

Untuk membantu Rita masuk, mereka membuat dokumen palsu, kartu nama, dan lencana "pemimpin" dengan informasi kontak John. Setelah melakukan penetrasi ke dalam, Rita seharusnya memotret titik akses institusi dan fasilitas keamanan fisik. Alih-alih memaksa seorang wanita tua untuk meretas ke komputer mana pun, John malah memberi ibunya apa yang disebut Rubber Duckies: flash drive jahat yang bisa ia pasang ke perangkat apa pun. Flash drive membuat kontak dengan rekan-rekan Black Hills dan membukanya akses ke sistem penjara. Kemudian mereka melakukan operasi komputer dari jarak jauh sementara Rita terus beroperasi di dalam.

"Kebanyakan orang yang melakukan pentest untuk pertama kalinya sangat tidak nyaman," kata Strand. "Tapi Rita sudah siap untuk pergi. Keamanan cyber di penjara sangat penting untuk alasan yang jelas. Jika seseorang dapat menyusup ke penjara dan mengambil alih sistem komputer, mengeluarkan seseorang dari penjara akan sangat mudah. ​​”

Pada pagi hari Pentest, Strand dan rekan-rekannya berkumpul di sebuah kafe di dekat penjara. Sambil menyiapkan pesanan mereka, para lelaki mengumpulkan sistem kerja dengan laptop, titik akses seluler, dan peralatan lainnya. Dan ketika semuanya sudah siap, Rita masuk penjara.

"Ketika dia keluar, saya pikir itu ide yang sangat buruk," kenang Strand. “Dia tidak memiliki pengalaman penetrasi, tidak ada pengalaman hacking IT. Saya berkata, "Bu, jika semuanya memburuk, Anda harus mengambil telepon dan segera menelepon saya."

Pentester biasanya mencoba menghabiskan waktu sesedikit mungkin di situs untuk menghindari perhatian dan kecurigaan yang tidak perlu. Namun setelah 45 menit menunggu, Rita tidak pernah muncul.

"Ketika sekitar satu jam berlalu, saya mulai panik," senyum John Strand. "Aku menyalahkan diriku sendiri karena harus meramalkan ini ketika kita sedang mengendarai mobil yang sama, dan sekarang aku duduk di hutan di sebuah kafe, dan aku tidak punya cara untuk sampai ke sana."

Tiba-tiba, laptop Black Hills mulai berbunyi bip. Rita melakukannya! Penanda USB yang dia instal menciptakan apa yang disebut kerang web, yang memberi tim di kafe akses ke berbagai komputer dan server di dalam penjara. Strand ingat bahwa salah seorang rekan kerjanya berteriak, "Ibumu baik-baik saja!"

Bahkan, Rita tidak menemui perlawanan sama sekali di dalam penjara. Dia mengatakan kepada penjaga keamanan di pintu masuk bahwa dia sedang melakukan pemeriksaan medis yang tidak terjadwal, dan mereka tidak hanya merindukannya, tetapi juga meninggalkannya dengan ponsel yang dengannya dia mencatat seluruh prosedur menembus objek. Di dapur penjara, dia memeriksa suhu di lemari es dan freezer, pura-pura memeriksa bakteri di rak dan rak, mencari produk yang kedaluwarsa, dan mengambil foto.

Rita juga meminta untuk memeriksa area kerja karyawan dan area rekreasi, pusat operasi jaringan penjara, dan bahkan ruang server - semua ini seharusnya untuk memeriksa serangga, kelembaban dan kelapukan. Dan tidak ada yang menolaknya. Dia bahkan diizinkan berkeliaran di penjara sendirian, memberikan banyak waktu untuk mengambil banyak foto dan mengatur bookmark USB sedapat mungkin.

Pada akhir "inspeksi", direktur penjara meminta Rita untuk mengunjungi kantornya dan memberikan rekomendasi tentang bagaimana lembaga tersebut dapat meningkatkan katering. Berkat pengalamannya yang luas di bidang nutrisi, wanita itu berbicara tentang beberapa masalah. Kemudian dia menyerahkan flash drive yang disiapkan khusus dan mengatakan bahwa inspeksi memiliki daftar pertanyaan yang berguna untuk penilaian diri dan bahwa dia dapat menggunakannya untuk memperbaiki masalah saat ini. Pada flash drive adalah file Word yang terinfeksi makro jahat. Ketika direktur penjara membukanya, dia memberi akses Black Hills ke komputernya.

"Kami hanya terpana," kata Strand. “Itu adalah kesuksesan yang luar biasa. Perwakilan keamanan dunia maya sekarang memiliki sesuatu untuk dikatakan tentang kekurangan dan kelemahan mendasar dari sistem saat ini. Bahkan jika seseorang mengklaim sebagai inspektur kesehatan atau orang lain, Anda perlu memverifikasi informasi tersebut dengan lebih baik. Anda tidak bisa secara membabi buta mempercayai apa yang mereka katakan. "

Apa hasilnya

Pentester lain yang mengetahui kisah ini percaya bahwa meskipun kesuksesan Rita lebih merupakan kebetulan, situasi secara keseluruhan mencerminkan pengalaman sehari-hari mereka dengan baik.

“Hasil menerapkan sedikit kebohongan dan aspek fisik bisa luar biasa. Kami melakukan pekerjaan serupa sepanjang waktu dan jarang menemukan diri kami terekspos, ” setuju David Kennedy, pendiri TrustedSec Penetration Testing. "Jika Anda mengaku sebagai inspektur, auditor, otoritas, maka Anda diizinkan melakukan apa saja."

Rita tidak pernah lagi berpartisipasi dalam tes penetrasi. Dan John Strand sekarang menolak untuk mengatakan ke penjara mana ibunya pergi. Dia meyakinkan bahwa sekarang sudah ditutup. Tetapi upaya tim telah berdampak signifikan pada organisasi keamanan, kata Strand. Dan dengan bercanda menambahkan: "Saya juga berpikir bahwa berkat pengujian kami, tingkat perawatan kesehatan dalam organisasi meningkat."

Apa lagi yang bisa berguna untuk dibaca di blog Cloud4Y

→ Bagaimana bank “rusak”
→ Privasi pribadi? Tidak, mereka tidak mendengar
→ Web di bagian bawah kaca, atau apa yang menggabungkan wiski dan sains Amerika
→ Diagnostik koneksi jaringan pada router EDGE virtual
→Anonimisasi data tidak menjamin anonimitas lengkap Anda.

Berlangganan saluran Telegram kami agar tidak ketinggalan artikel lain! Kami menulis tidak lebih dari dua kali seminggu dan hanya untuk bisnis.