Автор: Аналитик информационной безопасности Джон Странд тестирует защиту исправительных учреждений. Как то раз он отправил на задание свою маму.
Джон Странд зарабатывает взломом. Он тестирует проникновение в системы безопасности и работает на организации для проверки их защиты. Это помогает выявить слабые места, чтобы настоящие преступники не смогли воспользоваться ими. Обычно Странд отправляется на дело сам или пользуются услугами своих опытных коллег из компании Black Hills Information Security. В июле 2014 года, подготавливаясь к тестированию исправительного учреждения в штате Южная Дакота, он выбрал необычную тактику и отправил свою маму.
Это была её идея. Тогда Рите Странд было 58 лет и за год до этого она стала главным финансовым директором Black Hills после трёх десятилетий работы в пищевой промышленности. На основе своего профессионального опыта она была уверена, что сможет сыграть роль инспектора штата по здравоохранению для доступа к тюрьме. Потребовался только фальшивый значок и правильная речь.
«Однажды она подошла ко мне и сказала, что хочет поучаствовать в деле», говорит Странд, который рассказал об этом на конференции по кибербезопасности в Сан-Франциско. «Что я должен был ответить»?
На самом деле всё не так просто, как кажется на первый взгляд. Тестировщики говорят, что можно зайти довольно далеко всего лишь при помощи скрепки и уверенности в себе, но для новичка тюрьма штата является пугающим местом. Тестировщики получают разрешение проникать на объекты и в системы клиентов, при этом они быстро могут покинуть их в случае опасности. Два тестировщика, которые проникли в здание суда штата Айова, провели 12 часов в местной тюрьме, пока велось разбирательство с местными властями.
Миссия Риты Странд осложнялась отсутствием у неё технических навыков. Профессионалы в данной сфере деятельности должны быть способны в реальном времени проникать в системы цифровой безопасности организации и готовить пути к отступлению. Рита выдавала себя за инспектора по здравоохранению, но она не была хакером.
В Black Hills сделали ей фальшивое удостоверение, бизнес-карточку, карточку менеджера с контактной информацией Джона на ней. Если бы она проникла внутрь, то должна была сфотографировать точки доступа учреждения и механизмы физической безопасности. Вместо взлома компьютеров Рита получила Rubber Duckies. Это вредоносная USB-флешка, которая может подключаться к любому устройству. При подключении этой флешки сигнал отправлялся в Black Hills и давался доступ к системам учреждения. Они могли проводить тестирование дистанционно.
«Большинство людей подобная работа поначалу заставляет чувствовать себя весьма неуютно», говорит Странд. «Однако, мама была готова действовать. Кибербезопасность тюрьмы весьма важна. Если кто-то сможет взломать её и получить доступ к компьютерам, есть вероятность устроить побег».
Утром в назначенный день Странды и коллеги приехали к кафе рядом с тюрьмой. Там они подготовили ноутбуки для проникновения, настроили мобильные точки доступа и прочее оборудование. После этого Рита Странд отправилась в тюрьму.
«В тот момент это показалось мне плохой идеей. У неё не было никакого опыта, навыков взлома. Я сказал ей, что если что-то пойдёт не так, она должна сразу позвонить мне».
Тестировщики обычно стараются как можно быстрее проникнуть на территорию и покинуть её, чтобы избежать подозрений. В данном случае спустя 45 минут никаких вестей не было.
«Примерно через час я начал паниковать. Мне начало казаться, что нужно было подготовиться получше. Мы все приехали в одной машине и теперь сидели в кафе без возможности вытащить её».
Внезапно ноутбуки Black Hills начали подавать признаки жизни. Рита выполнила свою миссию. Установленные ей USB-флешки создали так называемые веб-оболочки, давшие исследователям доступ к различным компьютерам и серверам тюрьмы. Странд помнит, как один из коллег воскликнул «Твоя мама в порядке!».
На самом деле Рита не встретила в тюрьме никаких трудностей. Она сказала охране, что проводит внеплановую медицинскую инспекцию, и её не только впустили, но и позволили взять с собой сотовый телефон, на который она записывала всю операцию. На кухне она проверила температуру в холодильниках и морозильниках, притворилась, что проверяет бактерии на полу и столах, искала просроченную пищу и фотографировала.
Рита попросила осмотреть рабочие места и зоны отдыха персонала, центр сетевых операций и даже серверную на наличие насекомых, влажности и грибка. Никто не возражал. Ей позволили ходить по тюрьме одной и дали достаточно времени на фотографирование и подключение флешек.
В конце фальшивой инспекции директор тюрьмы попросил Риту зайти в его офис и спросил, как они могли бы улучшить качество питания. Она описала некоторые недостатки, поскольку разбилась в этом вопросе по роду своей прошлой деятельности. После этого она вручила директору специально подготовленную USB-флешку. «У правительства штата есть список», сказала она, «который вы в будущем можете использовать для выявления проблем, прежде чем появится инспектор».
Документ Microsoft Word на этой флешке содержал вредоносный макрос. При нажатии по нему директор сам дал доступ к своему компьютеру.
«Мы были ошеломлены», говорит Странд. «Это был невероятный успех. Из этого успеха можно многое узнать относительно фундаментальных слабостей систем безопасности и важности вежливо вести себя с властями. Даже если кто-то говорил, что он инспектор лифтов или медицинский инспектор и тому подобное, желательно задавать этим людям вопросы. Не нужно слепо верить им».
Другие тестировщики говорят, что хотя эта история исключительная, она вполне сочетается с их каждодневным опытом.
«Мы постоянно выполняем похожую работу и редко когда нас ловят», говорит Дэвид Кеннеди, основатель компании TrustedSec, которая и проводила конференцию. «Если говорить, что вы инспектор, аудитор, представитель властей, всё возможно».
В 2016 году Рита скончалась от рака поджелудочной железы. Таким образом, выполнить ещё одно тестирование ей было не суждено. Странд не говорит, в какой тюрьме было дело, но она с тех пор была закрыта. Усилия Риты Странд не пропали даром. В результате этого тестирования в тюрьме были усовершенствованы меры безопасности, говорит Странд. Возможно, и медицинская программа там была улучшена.
