Как мама хакера проникла в тюрьму и заразила компьютер начальника



    На что вы готовы ради успешного завершения проекта? Не спать ночами, отправить семью в отпуск, чтобы они вас не отвлекали, литрами пить кофе и энергетики? Есть варианты и покруче. Cloud4Y рассказывает удивительную историю аналитика по вопросам кибербезопасности. Джон Стрэнд, получивший контракт на проверку системы защиты исправительных учреждений, выбрал человека, который идеально подходил на роль пентестера: собственную мать.

    Джон Стрэнд специализируется на проникновении в различные системы и оценке их защищённости. Его услугами пользуются различные организации, желающие выявить слабые места в собственной защите до того, как эти дыры в безопасности будут обнаружены хакерами. Как правило, Стрэнд сам выполняет задачи на проникновение или подключает одного из своих опытных коллег из Black Hills Information Security. Но в июле 2014 года, готовясь к ручному тестированию в исправительном учреждении в Южной Дакоте, он принял весьма неожиданное решение. На выполнение задания он послал свою маму.

    Идея ввязаться в такую авантюру принадлежит самой Рите Стрэнд. Примерно за год до событий, когда ей было 58 лет, она стала финансовым директором Black Hills, а до этого примерно три десятка лет работала в сфере общественного питания. Имея столь внушительный профессиональный опыт, Рита была уверена, что сможет выдать себя за инспектора здравоохранения, чтобы проникнуть в тюрьму. Всё что требовалось, так это поддельное удостоверение и правильный шаблон поведения.

    «Однажды она подошла ко мне и сказала: «Ты знаешь, я хочу куда-нибудь проникнуть», — рассказывает Странд — «Как я мог отказать ей?».

    Пентест — это не так просто, как кажется. Специалисты по тестированию на проникновение всегда говорят, что благодаря одному лишь уверенному виду можно добиться невероятных результатов, но пустить новичка в исправительное учреждение штата – это пугающий эксперимент. И хотя обычно нанятым пентестерам разрешено проникать в системы клиента, в случае их поимки могут возникнуть проблемы. Два пентестера, которые проникли в здание суда штата Айова в рамках заключённого ранее договора, провели 12 часов в тюрьме после того, как были пойманы. Потом был суд, долгие разбирательства, и лишь недавно всё закончилось. Благополучно для парней, хотя нервы им помотали изрядно.

    Задача Риты Стрэнд была осложнена отсутствием технических знаний. Профессиональный пентестер может оценить цифровую безопасность организации в режиме реального времени, и сразу установить backdoor, который соответствует найденным в конкретной сети уязвимостям. Рита же могла изобразить надменного инспектора здравоохранения, но она совсем не была хакером.

    Как проходил пентест




    Чтобы помочь Рите попасть внутрь, ей сделали поддельные документы, визитку и бейдж «руководителя» с контактной информацией Джона. Предполагалось, что после проникновения внутрь Рита сфотографирует точки доступа учреждения и физические средства безопасности. Вместо того, чтобы заставлять женщину в возрасте взламывать какие-либо компьютеры, Джон снабдил маму так называемыми «Rubber Duckies»: вредоносными флешками, которые она могла подключить к любому устройству. Флэшки устанавливали связь с её коллегами из Black Hills и открывали им доступ к тюремным системам. Затем они дистанционно выполняли другие компьютерные операции, пока Рита продолжала действовать внутри.

    «Большинству людей, которые занимаются пентестом впервые, очень некомфортно», — рассказал Стрэнд. «Но Рита была готова к работе. Кибербезопасность в тюрьме имеет решающее значение по очевидным причинам. Если кто-то может проникнуть в тюрьму и захватить компьютерные системы, вывести кого-то из тюрьмы будет действительно просто».

    Утром в день пентеста Стрэнд с коллегами собрались в кафе возле тюрьмы. Пока готовился их заказ, ребята собрали рабочую систему с ноутбуками, мобильными точками доступа и другим оборудованием. И когда все было готово, Рита поехала в тюрьму.

    «Когда она вышла, я подумал, что это была очень плохая идея» — вспоминает Стрэнд. «У неё нет опыта проникновения, нет опыта взлома ИТ. Я сказал: «Мама, если всё станет плохо, тебе нужно взять телефон и немедленно позвонить мне».

    Пентестеры обычно стараются проводить на объекте как можно меньше времени, чтобы избежать лишнего внимания и подозрений. Но после 45 минут ожидания Рита так и не появилась.

    «Когда прошло около часа, я начал паниковать», — улыбается Джон Стрэнд. «Я корил себя за то, что должен был это предусмотреть, пока мы ехали в одной машине, а сейчас я сижу в глуши в кафе, и у меня нет возможности добраться до неё».

    Внезапно ноутбуки Black Hills начали подавать сигналы активности. Рита сделала это! Установленные ею USB-закладки создавали так называемые веб-оболочки, которые давали команде в кафе доступ к различным компьютерам и серверам внутри тюрьмы. Стрэнд вспоминает, что один из коллег кричал: «Твоя мама в порядке!».

    На самом деле Рита вообще не встретила никакого сопротивления внутри тюрьмы. Она сказала охранникам на входе, что проводит внеплановую медицинскую инспекцию, и они не только пропустили ее, но и оставили у неё мобильный телефон, с помощью которого она записала всю процедуру проникновения на объект. На тюремной кухне она проверила температуру в холодильниках и морозильниках, сделала вид, что проверяет наличие бактерий на прилавках и полках, искала просроченные продукты и делала фотографии.

    Также Рита попросила осмотреть рабочие зоны сотрудников и зоны отдыха, сетевой операционный центр тюрьмы и даже серверную комнату — всё это якобы для проверки на наличие насекомых, уровня влажности и заплесневелости. И никто ей не отказал. Ей даже разрешили бродить по тюрьме в одиночку, дав предостаточно времени для того, чтобы сделать кучу фотографий и установить USB-закладки везде, где только можно.

    В конце «инспекции» директор тюрьмы попросил Риту посетить его кабинет и дать рекомендации, как учреждение может улучшить организацию питания. Благодаря большому опыту в сфере питания женщина рассказала о некоторых проблемах. Затем она передала ему специально подготовленную флешку и сообщила, что у инспекции есть полезный контрольный список вопросов для самооценки и что он может использовать его для устранения текущих проблем. На флешке лежал Word-файл, заражённый вредоносным макросом. Когда начальник тюрьмы открыл его, он дал Black Hills доступ к своему компьютеру.

    «Мы были просто ошарашены», — говорит Стрэнд. «Это был ошеломительный успех. Представителям кибербезопасности теперь есть что сказать о фундаментальных недостатках и слабостях действующей системы. Даже если кто-то уверяет, что он инспектор здравоохранения или кто-то ещё, необходимо лучше проверять информацию. Нельзя слепо верить тому, что говорят».

    Что в итоге


    Знающие эту историю другие пентестеры считают, что пусть успех Риты и является в большей степени удачным стечением обстоятельств, но ситуация в целом хорошо отражает их повседневный опыт.

    «Результат применения небольшой лжи и физических аспектов может быть невероятным. Мы выполняем похожие работы всё время и редко оказываемся разоблачёнными», —соглашается Дэвид Кеннеди, основатель фирмы TrustedSec по тестированию на проникновения. «Если вы утверждаете, что являетесь инспектором, аудитором, авторитетным лицом, то вам всё позволено».

    Рита больше никогда не участвовала в тестах на проникновение. А Джон Стрэнд и сейчас отказывается говорить, в какую тюрьму проникала его мать. Уверяет, что сейчас она уже закрыта. Но усилия команды оказали существенное влияние на организацию безопасности, говорит Стрэнд. И в шутку добавляет: «Я также думаю, что благодаря нашему тесту уровень здравоохранения в организации был повышен».

    Что ещё полезного можно почитать в блоге Cloud4Y

    Как «сломался» банк
    Неприкосновенность личной жизни? Нет, не слышали
    Паутина на дне стакана, или что объединяет американский виски и науку
    Диагностика сетевых соединений на виртуальном роутере EDGE
    Обезличивание данных не гарантирует вашу полную анонимность

    Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью! Пишем не чаще двух раз в неделю и только по делу.
    Cloud4Y
    #1 Корпоративный облачный провайдер

    Комментарии 18

      –19

      А моя мама как-то в пентагон пошла под прикрытием. Заходит внутрь, а там Обама сидит. Она ему на ломаном английском пирожков предложила, тот ничего не заподозрил и взял. В пирожках полоний-210 вместо начинки. Ой а дальше-то что началося…

        –21

        Кстати вот поддельный ID под которым я смог проникнуть в бюро пропусков пентагона и оформить пропуск на маму


          0
          А зачем две фотки то?
            0
            Маленькая — голограмма.
            Она объёмная.
          0
          У вас не так увлекательно, как в статье )
            +1

            Вы правы, забыл написать что мы с друзьями при этом сидели рядом в макдональдсе с ноутбуками.

          0
          Прям кино в стиле 11-ти друзей Оушена! Можно кино снимать. Интересно — а есть какие либо сторонние подтверждения этой истории?
            0
            есть какие либо сторонние подтверждения этой истории
            Вот да. Хотя эти белые хакеры и под NDA, но какие-то некритичные подробности обнаруженных «дыр» можно было бы озвучить.
              +1
              Послушай подкаст DarkNet Diaries там каждый выпуск кул стори вроде этой, и есть прям очень крутые выуски. Например про то как работает юнит 8200 в израеле, недавно был выпуск про упомянутый кейс когда пентестеры проникали в здание суда с участием самих героев инцидента и много других очень крутых историй.
              0
              Похоже на начало сюжета в боевике Стиратель.
                +4
                На самом деле вся эта история показывает, что какие бы современные средства контроля не стояли, человеческий фактор всё перекроет. Морда кирпичом «я здесь должен быть по праву» располагает персонал к себе. Никому даже в голову не пришло проверить, есть ли такой сотрудник в здравоохранении. Следующий «ляп» — свободное перемещение, угу, на режимном объекте. И, наконец, опять же человеческий фактор, флешка в обход СБ объекта. В этом пентесте была задействована большая доля социальной инженерии.
                Как ни печально, это болезнь многих организаций: кибербезопасность, политики, файерволы, но всё разбилось о соц.инженерию
                  0

                  Ну а что мешает человеку с таким послужным списком устроиться в местное здравоохранение и через пару недель пойти на пентест?
                  Кроме того что usb не заблокирован по большому счету и претензий нет, иначе хакер с солонкой получится.

                    0
                    Не в самом USB дело, а в том, что в обход СБ на режимном объекте. По хорошему флешку надо было отдать СБ-шнику для проверки на вирусы (все помним autorun.inf), либо открывать на изолированной от сети ОС/машине.
                      0
                      Ну блокировка USB как раз бы выявила проблему с необходимостью чтения флешек (или отсутствие такой проблемы, зачем им вообще там с флешек что-то читать?).
                      В итоге на местах мог бы быть установлен какой-то условный роутер с USB-портом, сотрудник СБ (даже сидящий где-нить за несколько сотен миль, зачем айтишник в каждой тюрьме) скачал бы этот файл(ы) с роутера, полечил бы и скопировал на сервер/комп организации.
                  +1
                  Истории удачного проникновения не так интересны и полезны как истории неудачного, а особенно интересно в скольких из условных 100 тюрем всё-таки проверили, является ли «инспектор» тем за кого себя выдаёт.

                  Удивительно что истории о неудачных пентестах (охрана не пустила, проверила, защита была на высоте etc) почему-то встречаются гораздо реже (ещё и поискать надо), видимо, пентестеры не очень любят делится неудачами.
                    0
                    Может ошибка выжившего? Те, кому не удалось, сидят на нарах? :)
                    0
                    Со времен Кевина Митника ничего не поменялось, социальная инженерия берет города ;)
                    «Какое небо голубое!
                    Мы не сторонники разбоя.
                    На дурака не нужен нож:
                    ему с три короба наврешь
                    и делай с ним что хошь.»

                      0
                      Рисковый чувак, а если бы маму заключенные бы захватили в заложники?
                      Уж родными нельзя рисковать, даже ради работы. Страховая врядли бы заплатила если что бы случилось с ней.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое