Como a mãe de um hacker entrou na prisão e infectou o computador do chefe

O que você está pronto para a conclusão bem-sucedida do projeto? Não durma à noite, envie sua família de férias para que não o distraiam, beba café e energia em litros? Existem opções e abruptamente. O Cloud4Y conta a incrível história de um analista de segurança cibernética. John Strand, que recebeu um contrato para testar o sistema de segurança das instalações correcionais, escolheu um homem que era ideal para o papel de penteado: sua própria mãe .

John Strand é especialista em penetrar em vários sistemas e avaliar sua segurança. Seus serviços são usados ​​por várias organizações que desejam identificar pontos fracos em sua própria defesa antes que essas brechas de segurança sejam descobertas por hackers. Normalmente, Strand executa tarefas de penetração sozinho ou conecta um de seus colegas experientes em Segurança da Informação de Black Hills. Mas em julho de 2014, em preparação para testes manuais em uma penitenciária em Dakota do Sul, ele tomou uma decisão muito inesperada. Ele enviou sua mãe para concluir a tarefa.

A ideia de se envolver nessa aventura pertence à própria Rita Strand. Cerca de um ano antes dos eventos, aos 58 anos, tornou-se diretora financeira da Black Hills e, antes disso, trabalhou no ramo de catering por cerca de três décadas. Com uma experiência profissional tão impressionante, Rita estava confiante de que poderia se passar por um inspetor de saúde para entrar na prisão. Tudo o que era necessário era uma identidade falsa e o padrão de comportamento correto.

"Uma vez que ela veio até mim e disse:" Sabe, eu quero penetrar em algum lugar ", diz Strand." Como eu poderia recusá-la? "

Pentest não é tão simples quanto parece. Os testadores de penetração sempre dizem que, com apenas um olhar confiante, você pode obter resultados incríveis, mas deixar um novato em uma instituição correcional estadual é um experimento assustador. Embora normalmente os penteados contratados possam entrar nos sistemas do cliente, podem surgir problemas se eles forem capturados. Dois criminosos que entraram no Tribunal do Estado de Iowa como parte de um contrato anterior passaram 12 horas na cadeia depois de serem pegos. Depois, houve um tribunal, longos julgamentos e apenas recentemente acabou. Bom para os caras, embora eles tenham sacudido os nervos praticamente.

A tarefa de Rita Strand foi complicada pela falta de conhecimento técnico. Um profissional de teste pode avaliar a segurança digital de uma organização em tempo real e instalar imediatamente um backdoor que corresponda às vulnerabilidades encontradas em uma rede específica. Rita podia interpretar um inspetor de saúde arrogante, mas ela não era uma hacker.

Como foi o pentest

Para ajudar Rita a entrar, eles fizeram documentos falsos, um cartão de visita e um crachá do "líder" com as informações de contato de John. Depois de penetrar no interior, Rita deveria fotografar os pontos de acesso e as instalações de segurança física da instituição. Em vez de forçar uma mulher idosa a invadir qualquer computador, John forneceu à mãe os chamados patinhos de borracha: pen drives maliciosos que ela poderia conectar a qualquer dispositivo. Os pen drives entraram em contato com os colegas de Black Hills e os abriram para o sistema prisional. Em seguida, eles executaram remotamente outras operações do computador enquanto Rita continuava operando dentro.

"A maioria das pessoas que fazem penteados pela primeira vez fica muito desconfortável", disse Strand. “Mas Rita estava pronta para ir. A segurança cibernética na prisão é crucial por razões óbvias. Se alguém puder se infiltrar em uma prisão e assumir o controle de sistemas de computador, tirar alguém da prisão será realmente fácil. ”

Na manhã do dia de Pentest, Strand e seus colegas se reuniram em um café perto da prisão. Enquanto preparavam o pedido, os funcionários montaram um sistema operacional com laptops, pontos de acesso móvel e outros equipamentos. E quando tudo estava pronto, Rita foi presa.

"Quando ela saiu, pensei que era uma péssima idéia", lembra Strand. “Ela não tem experiência de penetração, experiência em hackers de TI. Eu disse: "Mãe, se tudo der errado, você precisa atender o telefone e me ligar imediatamente."

Os padres geralmente tentam passar o mínimo de tempo possível no site para evitar atenção e suspeita desnecessárias. Mas, após 45 minutos de espera, Rita nunca apareceu.

"Quando uma hora se passou, comecei a entrar em pânico", sorri John Strand. "Eu me repreendi por ter que prever isso enquanto estávamos dirigindo no mesmo carro, e agora estou sentado no deserto em um café, e não tenho como chegar a isso".

De repente, os laptops de Black Hills começaram a apitar. Rita fez isso! Os marcadores USB que ela instalou criaram os chamados shells da web, que deram à equipe no café acesso a vários computadores e servidores dentro da prisão. Strand lembra que um de seus colegas gritou: "Sua mãe está bem!"

De fato, Rita não encontrou nenhuma resistência dentro da prisão. Ela disse aos seguranças na entrada que estava realizando uma inspeção médica não programada, e eles não apenas sentiram falta dela, mas também a deixaram com um telefone celular com o qual ela registrou todo o procedimento de penetração no objeto. Na cozinha da prisão, verificou a temperatura nos frigoríficos e congeladores, fingiu procurar bactérias nas prateleiras e prateleiras, procurou produtos vencidos e tirou fotografias.

Rita também pediu para examinar as áreas de trabalho dos funcionários e áreas de lazer, o centro de operações da rede da prisão e até a sala dos servidores - tudo isso supostamente para verificar se há insetos, umidade e bolor. E ninguém a recusou. Ela foi autorizada a vagar sozinha na prisão, dando tempo de sobra para tirar um monte de fotos e configurar marcadores USB sempre que possível.

No final da “inspeção”, o diretor da prisão pediu a Rita que visitasse seu escritório e fizesse recomendações sobre como a instituição poderia melhorar o atendimento. Graças à sua vasta experiência no campo da nutrição, a mulher falou sobre alguns problemas. Depois, entregou-lhe um pen drive especialmente preparado e disse que a inspeção possui uma lista útil de perguntas para auto-avaliação e que ele pode usá-lo para solucionar problemas atuais. Em uma unidade flash, havia um arquivo do Word infectado com uma macro maliciosa. Quando o diretor da prisão abriu, ele deu a Black Hills acesso ao seu computador.

"Ficamos surpresos", diz Strand. “Foi um sucesso esmagador. Os representantes da segurança cibernética agora têm algo a dizer sobre as deficiências e fraquezas fundamentais do sistema atual. Mesmo que alguém afirme ser um inspetor de saúde ou outra pessoa, é necessário verificar melhor as informações. Você não pode acreditar cegamente no que eles dizem. "

Qual é o resultado

Outros pensadores que conhecem essa história acreditam que, mesmo que o sucesso de Rita seja mais uma coincidência, a situação como um todo reflete bem sua experiência cotidiana.

“O resultado da aplicação de pequenas mentiras e aspectos físicos pode ser incrível. Fazemos trabalhos semelhantes o tempo todo e raramente nos expomos ”, concorda David Kennedy, fundador do TrustedSec Penetration Testing. "Se você afirma ser um inspetor, auditor, autoridade, pode fazer qualquer coisa."

Rita nunca mais participou de testes de penetração. E John Strand agora se recusa a dizer para qual prisão sua mãe foi. Ele garante que agora já está fechado. Mas os esforços da equipe tiveram um impacto significativo na organização de segurança, diz Strand. E, brincando, acrescenta: "Eu também acho que, graças ao nosso teste, o nível de assistência médica na organização aumentou".

O que mais pode ser útil para ler no blog do Cloud4Y

→ Como o banco “quebrou”
→ Privacidade pessoal? Não, eles não ouviram
→ A web na parte inferior do copo, ou o que combina whisky e ciência americanos
→ Diagnóstico de conexões de rede em um roteador virtual EDGE
→Dados anonimizados não garantem seu anonimato completo.

Assine o nosso canal Telegram para não perder outro artigo! Escrevemos não mais do que duas vezes por semana e apenas a negócios.