Come la madre di un hacker è entrata in prigione e il computer del guardiano

Seguici

L’analista della sicurezza John Strand aveva un contratto per testare le difese di una struttura correttiva.

John Strand si rompe nelle cose per vivere. Come tester di penetrazione, viene assunto dalle organizzazioni per attaccare le loro difese, aiutando a rivelare i punti deboli prima che i veri cattivi li trovino. Normalmente, Strand si imbarca in queste missioni o schiera uno dei suoi colleghi esperti presso Black Hills Information Security. Ma a luglio 2014, preparando un test con penna di una struttura di correzione del South Dakota, ha preso una virata decisamente diversa. Ha mandato sua madre.

In tutta onestà, è stata un’idea di Rita Strand. A 58 anni, aveva assunto l’incarico di Chief Financial Officer di Black Hills l’anno precedente, dopo tre decenni nel settore dei servizi di ristorazione. Era fiduciosa, data quell’esperienza professionale, di poter fungere da ispettore sanitario statale per ottenere l’accesso alla prigione. Tutto ciò che sarebbe bastato era un badge falso e lo scalpiccio giusto.

“Un giorno mi ha avvicinato e mi ha detto ‘Sai, voglio entrare da qualche parte”, dice Strand, che sta condividendo l’esperienza questa settimana alla conferenza sulla sicurezza informatica della RSA a San Francisco. “Ed è mia mamma, quindi cosa dovrei dire?”

Non è una chiamata così facile come potrebbe sembrare. I tester di penetrazione affermano sempre che puoi arrivare incredibilmente lontano con solo appunti e un po ‘di fiducia, ma una corsa per principianti in una struttura di correzione statale è semplicemente scoraggiante. E mentre ai tester di penna è consentito contrattualmente di entrare nei sistemi di un cliente, se vengono catturati, le tensioni possono aumentare rapidamente. Due tester di penna che hanno fatto irruzione in un tribunale dello Iowa come parte del loro lavoro hanno recentemente trascorso 12 ore in prigione dopo un incontro con le autorità locali.

La missione di Rita Strand sarebbe anche complicata dalla sua mancanza di competenza tecnica. Un tester di penna professionale sarebbe in grado di valutare la sicurezza digitale di un’organizzazione in tempo reale e di creare backdoor su misura per ciò che hanno trovato sulla rete specifica. Rita aveva l’ispettore della salute travestito da freddo, ma non era un hacker.

Per aiutarla a entrare, Black Hills fece di Rita un badge falso, un biglietto da visita e un biglietto da “manager” con le informazioni di contatto di John su di esso. Supponendo che fosse entrata, avrebbe quindi fotografato i punti di accesso della struttura e le caratteristiche di sicurezza fisica. Invece di farla provare a hackerare qualsiasi computer, John ha equipaggiato Rita con i cosiddetti Rubber Duckies, penne USB dannose che avrebbe inserito in ogni dispositivo che poteva. Le chiavette sarebbero tornate ai suoi colleghi di Black Hills e avrebbero dato loro accesso ai sistemi della prigione. Quindi potevano lavorare sul lato digitale del test con la penna da remoto mentre Rita continuava a scatenarsi.

“Per la maggior parte delle persone, le prime due volte che lo fanno si sentono davvero a disagio”, afferma Strand. “Ma era pronta a partire. La sicurezza informatica della prigione è cruciale per ovvie ragioni. Se qualcuno potesse entrare in prigione e prendere il controllo dei sistemi informatici, diventa davvero facile portare qualcuno fuori dalla prigione.”

La mattina del test con la penna, gli Strand e alcuni colleghi si sono portati in un bar vicino alla prigione. Sopra un rotolo di caramello preparatorio e una fetta di crostata di noci pecan, hanno allestito una sala di guerra di computer portatili, punti caldi mobili e altre attrezzature. Quando tutto fu pronto, Rita partì per la prigione da sola.

“Decolla, e sto pensando nella parte posteriore della mia testa che questa è una pessima idea”, dice Strand. “Non ha esperienza di test con la penna. Nessuna esperienza di hacking IT. Avevo detto: ‘Mamma, se questo va male devi prendere il telefono e chiamarmi immediatamente.'”

I tester di penna di solito cercano di entrare e uscire da una struttura il più rapidamente possibile per evitare di destare sospetti. Ma dopo 45 minuti di attesa, non c’era traccia di Rita.

“Ci vorrà circa un’ora e sto andando nel panico”, dice. “E sto pensando che avrei dovuto pensarci bene, perché siamo andati tutti nella stessa macchina, quindi sono fuori in mezzo al nulla in un negozio di torte senza alcun modo di raggiungerla.”

Uh Oh

All’improvviso, i laptop Black Hills iniziarono a battere le palpebre con l’attività. Rita l’aveva fatto. Le unità USB che aveva installato stavano creando le cosiddette shell Web, che davano alla squadra al bar l’accesso a vari computer e server all’interno della prigione. Strand ricorda un collega che urlava: “Tua madre sta bene!”

In effetti, Rita non aveva incontrato alcuna resistenza all’interno della prigione. Ha detto alle guardie all’ingresso che stava conducendo un’ispezione sanitaria a sorpresa, e non solo le hanno permesso di entrare ma le hanno permesso di tenere il suo cellulare, con il quale ha registrato l’intera operazione. Nella cucina della struttura, ha controllato le temperature nei frigoriferi e nei congelatori, ha fatto finta di tamponare i batteri sui pavimenti e nei banconi, ha cercato cibo scaduto e ha fatto delle foto.

Ma Rita ha anche chiesto di vedere le aree di lavoro dei dipendenti e le aree di interruzione, il centro operativo della rete della prigione e persino la sala server, presumibilmente per verificare eventuali infestazioni di insetti, livelli di umidità e muffe. Nessuno ha detto di no. Le fu persino permesso di vagare da sola nella prigione, dandole tutto il tempo necessario per scattare foto e piantare i suoi paperi di gomma.

Alla fine dell ‘”ispezione”, il direttore della prigione chiese a Rita di visitare il suo ufficio e suggerire come la struttura potesse migliorare le sue pratiche di ristorazione. Ha affrontato alcune preoccupazioni, informata da decenni dall’altra parte delle ispezioni sanitarie. Quindi gli consegnò un’unità USB appositamente preparata. Lo stato aveva un utile elenco di controllo di autovalutazione, ha detto al direttore, che avrebbe potuto usare per identificare i problemi prima che un ispettore si presentasse.

Il documento di Microsoft Word è stato contaminato da una macro dannosa. Quando il boss della prigione fece clic, inavvertitamente diede a Black Hills l’accesso al suo computer.

“Sbalordito”

“Eravamo solo sbalorditi”, afferma Strand. “È stato un successo travolgente. E c’è molto da trarre dalla comunità di sicurezza in merito alle carenze fondamentali e all’importanza nella sicurezza istituzionale dell’autorità politicamente impegnativa. Anche se qualcuno dice che sono un ispettore dell’ascensore o un ispettore della salute o altro, dobbiamo fare di meglio nel porre domande alle persone. Non assumere ciecamente “.

Altri tester di penna sottolineano che, sebbene la storia di Rita sia eccezionale, riflette fortemente la loro esperienza quotidiana.

“Gli aspetti fisici delle cose e ciò che si può affermare è incredibile. Facciamo lavori simili in ogni momento e raramente ci sorprendono”, afferma David Kennedy, fondatore della società di test di penna TrustedSec, che per la prima volta ha ascoltato una versione ridotta della storia di Strand a la conferenza sulla sicurezza del Derbycon, organizzata da Kennedy. “Se affermi di essere ispettori, revisori dei conti, qualcuno di autorità, tutto è possibile.”

Nel 2016, Rita è morta di cancro al pancreas; non ha mai avuto la possibilità di fare un altro test con la penna. Strand ha rifiutato di dire in quale prigione si è infiltrata sua madre, solo che da allora ha chiuso. Ma i suoi sforzi hanno avuto un impatto. “La prigione ha apportato miglioramenti alla sicurezza a seguito del test della penna”, afferma Strand. “Penso anche che anche il loro programma sanitario sia stato migliorato.”

Admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Solve : *
3 + 30 =