📋 🙏🏼 👦🏼 黑客的妈妈如何入狱并感染老板的计算机 ⛹🏻 🛎️ 🌤️

您为成功完成该项目准备了什么？不要在晚上睡觉，让您的家人去度假，以免他们分散您的注意力，喝升的咖啡和能量？有选择并且突然。 Cloud4Y讲述了一位网络安全分析师的惊人故事。约翰·斯特兰德（John Strand）收到了一份测试教养所安全系统的合同，他选择了一个最适合担任彭特角色的人：他自己的母亲。

John Strand专门研究渗透各种系统并评估其安全性。希望在黑客发现这些安全漏洞之前确定自己防御中的弱点的各种组织使用其服务。通常，Strand自己执行渗透任务，或与他经验丰富的Black Hills Information Security同行之一联系。但是在2014年7月，为了准备在南达科他州的监狱中进行手动测试，他做出了一个非常意外的决定。他派妈妈去完成任务。

参与这种冒险的想法属于Rita Strand本人。活动开始大约一年之前，当时她58岁，她成为Black Hills的财务总监，在此之前，她在餐饮领域工作了大约三十年。凭借如此出色的专业经验，丽塔充满信心，可以假扮健康检查员进入监狱。所需要的只是一个伪造的身份和正确的行为模式。

“一旦她走到我面前说：“你知道，我想渗透到某个地方，”斯特兰德说。“我怎么能拒绝她？”

Pentest并不像看起来那样简单。渗透测试人员总是说，以自信的外观可以取得令人难以置信的结果，但是让新手进入州立监狱则是一个令人恐惧的实验。尽管通常允许雇用的渗透测试人员进入客户的系统，但是如果捕获了渗透率，则可能会出现问题。作为较早合同的一部分进入爱荷华州法院大楼的两名示威者在被捕后被判入狱12小时。然后有一个法院，经过漫长的审判，直到最近才结束。对他们有好处，尽管他们几乎动摇了他们的神经。

Rita Strand的任务由于缺乏技术知识而变得复杂。专业的pentester可以实时评估组织的数字安全性，并立即安装与特定网络中发现的漏洞相匹配的后门。丽塔可以描绘一个傲慢的健康检查员，但她根本不是黑客。

笔芯怎么样

为了帮助丽塔（Rita）进屋，他们制作了假文件，名片和带有约翰的联系方式的“领导者”徽章。在进入内部后，丽塔应该为该机构的访问点和物理安全设施拍照。 John并没有强迫老妇入侵任何计算机，而是向母亲提供了所谓的Rubber Duckies：可以插入任何设备的恶意闪存驱动器。闪存驱动器与她的Black Hills同行取得了联系，并为他们打开了进入监狱系统的通道。然后他们远程执行其他计算机操作，而Rita继续在内部操作。

斯特兰德说：“大多数第一次做渗透测试的人都非常不舒服。” “但是丽塔已经准备好出发了。出于明显的原因，监狱中的网络安全至关重要。如果有人可以渗透到监狱中并接管计算机系统，那么将某人带出监狱将非常容易。”

在Pentest那天的早晨，Strand和他的同事们聚集在监狱附近的一家咖啡馆。在准备订单时，他们将一个带有笔记本电脑，移动接入点和其他设备的工作系统组合在一起。当一切准备就绪时，丽塔入狱。

“当她出去时，我认为这是一个非常糟糕的主意，”斯特兰德回忆道。她没有渗透经验，也没有IT黑客经验。我说：“妈妈，如果一切都变坏了，您需要接电话并立即给我打电话。”

渗透测试人员通常会尝试在网站上花费尽可能少的时间，以避免不必要的关注和怀疑。但是经过45分钟的等待，丽塔没有露面。

“大约一个小时过去了，我开始感到恐慌，”约翰·斯特兰德微笑着。 “我责备自己，因为我们在同一辆车上开车时不得不预见到这一点，现在我正坐在荒野中的一家咖啡馆，而我无路可去。”

突然，Black Hills笔记本电脑开始发出哔哔声。丽塔做到了！她安装的USB书签创建了所谓的网络外壳，使咖啡馆中的团队可以访问监狱内的各种计算机和服务器。斯特兰德回忆说，他的一位同事大喊：“你妈妈很好！”

实际上，丽塔在监狱内根本没有遇到任何抵抗。她告诉入口处的保安人员，她正在进行不定期的医疗检查，他们不仅想念她，而且还给她留了一部手机，用手机记录了穿透物体的整个过程。在监狱厨房里，她检查了冰箱和冰柜中的温度，假装检查架子和架子上的细菌，寻找过期的食物并拍照。

丽塔还要求检查员工和娱乐区的工作区域，监狱的网络运营中心，甚至是服务器机房-所有这些都应该检查是否有昆虫，潮湿和发霉。没有人拒绝她。她甚至被允许独自在监狱里漫游，给她充足的时间拍摄一堆照片，并尽可能地设置USB书签。

在“检查”结束时，监狱长要求丽塔访问他的办公室，并就该机构如何改善饮食提供建议。由于她在营养领域的丰富经验，这位女士谈到了一些问题。然后她递给他一个特别准备的闪存驱动器，并说检查过程中有一个有用的自我评估问题清单，他可以用它来解决当前的问题。在闪存驱动器上是一个感染了恶意宏的Word文件。当监狱长打开它时，他让Black Hills可以使用他的计算机。

“我们只是被惊呆了，”斯特兰德说。“这是一次压倒性的成功。网络安全代表现在对当前系统的基本缺点和弱点有话要说。即使有人声称自己是健康检查员或其他人，您也需要更好地验证信息。你不能盲目相信他们的话。”

结果是什么

知道这个故事的其他测试者相信，即使丽塔的成功更多是巧合，但总体而言，这种情况很好地反映了他们的日常经历。

运用一点谎言和身体方面的结果可能会令人难以置信。 TrustedSec渗透测试的创始人戴维·肯尼迪（David Kennedy）同意，我们一直在进行类似的工作，很少发现自己暴露无遗。“如果您声称自己是检查员，审计师，权威，那么您可以做任何事情。”

丽塔再也没有参加渗透测试。约翰·斯特兰德现在拒绝透露他母亲去哪所监狱。他保证现在已经关闭。但是，团队的努力对安全组织产生了重大影响，Strand说。并且开玩笑地补充道：“我还认为，由于我们的测试，组织中的医疗保健水平有所提高。”

在Cloud4Y博客上阅读还有哪些有用的内容

→ 银行如何“打破”
→ 个人隐私？不，他们听不到
→ 玻璃杯底部的网络，或结合了美国威士忌和科学的东西
→ 虚拟EDGE路由器上的网络连接诊断
→匿名化数据并不能保证您完全匿名。请

订阅我们的Telegram频道，以免错过其他文章！我们每周写不超过两次，仅在商务上写。

黑客的妈妈如何入狱并感染老板的计算机

笔芯怎么样

结果是什么

More articles: