На что вы готовы ради успешного завершения проекта? Не спать ночами, отправить семью в отпуск, чтобы они вас не отвлекали, литрами пить кофе и энергетики? Есть варианты и покруче. Cloud4Y хочет поделиться удивительной историей аналитика по вопросам кибербезопасности. Джон Стрэнд, получивший контракт на проверку системы защиты исправительных учреждений, выбрал человека, который идеально подходил на роль пентестера: собственную мать.
Джон Стрэнд специализируется на проникновении в различные системы и оценке их защищённости. Его услугами пользуются различные организации, желающие выявить слабые места в собственной защите до того, как эти дыры в безопасности будут обнаружены хакерами. Как правило, Стрэнд сам выполняет задачи на проникновение или подключает одного из своих опытных коллег из Black Hills Information Security. Но в июле 2014 года, готовясь к ручному тестированию в исправительном учреждении в Южной Дакоте, он принял весьма неожиданное решение. На выполнение задания он послал свою маму.
Идея ввязаться в такую авантюру принадлежит самой Рите Стрэнд. Примерно за год до событий, когда ей было 58 лет, она стала финансовым директором Black Hills, а до этого примерно три десятка лет работала в сфере общественного питания. Имея столь внушительный профессиональный опыт, Рита была уверена, что сможет выдать себя за инспектора здравоохранения, чтобы проникнуть в тюрьму. Всё что требовалось, так это поддельное удостоверение и правильный шаблон поведения.
«Однажды она подошла ко мне и сказала: «Ты знаешь, я хочу куда-нибудь проникнуть», — рассказывает Странд — «Как я мог отказать ей?».
Пентест — это не так просто, как кажется. Специалисты по тестированию на проникновение всегда говорят, что благодаря одному лишь уверенному виду можно добиться невероятных результатов, но пустить новичка в исправительное учреждение штата – это пугающий эксперимент. И хотя обычно нанятым пентестерам разрешено проникать в системы клиента, в случае их поимки могут возникнуть проблемы. Два пентестера, которые проникли в здание суда штата Айова в рамках заключённого ранее договора, провели 12 часов в тюрьме после того, как были пойманы. Потом был суд, долгие разбирательства, и лишь недавно всё закончилось. Благополучно для парней, хотя нервы им помотали изрядно.
Задача Риты Стрэнд была осложнена отсутствием технических знаний. Профессиональный пентестер может оценить цифровую безопасность организации в режиме реального времени, и сразу установить backdoor, который соответствует найденным в конкретной сети уязвимостям. Рита же могла изобразить надменного инспектора здравоохранения, но она совсем не была хакером.
Как происходил "взлом"
Чтобы помочь Рите попасть внутрь, ей сделали поддельные документы, визитку и бейдж «руководителя» с контактной информацией Джона. Предполагалось, что после проникновения внутрь Рита сфотографирует точки доступа учреждения и физические средства безопасности. Вместо того, чтобы заставлять женщину в возрасте взламывать какие-либо компьютеры, Джон снабдил маму так называемыми «Rubber Duckies»: вредоносными флешками, которые она могла подключить к любому устройству. Флэшки устанавливали связь с её коллегами из Black Hills и открывали им доступ к тюремным системам. Затем они дистанционно выполняли другие компьютерные операции, пока Рита продолжала действовать внутри.
«Большинству людей, которые занимаются пентестом впервые, очень некомфортно», — рассказал Стрэнд. «Но Рита была готова к работе. Кибербезопасность в тюрьме имеет решающее значение по очевидным причинам. Если кто-то может проникнуть в тюрьму и захватить компьютерные системы, вывести кого-то из тюрьмы будет действительно просто».
Утром в день пентеста Стрэнд с коллегами собрались в кафе возле тюрьмы. Пока готовился их заказ, ребята собрали рабочую систему с ноутбуками, мобильными точками доступа и другим оборудованием. И когда все было готово, Рита поехала в тюрьму.
«Когда она вышла, я подумал, что это была очень плохая идея» — вспоминает Стрэнд. «У неё нет опыта проникновения, нет опыта взлома ИТ. Я сказал: «Мама, если всё станет плохо, тебе нужно взять телефон и немедленно позвонить мне».
Пентестеры обычно стараются проводить на объекте как можно меньше времени, чтобы избежать лишнего внимания и подозрений. Но после 45 минут ожидания Рита так и не появилась.
«Когда прошло около часа, я начал паниковать», — улыбается Джон Стрэнд. «Я корил себя за то, что должен был это предусмотреть, пока мы ехали в одной машине, а сейчас я сижу в глуши в кафе, и у меня нет возможности добраться до неё».
Внезапно ноутбуки Black Hills начали подавать сигналы активности. Рита сделала это! Установленные ею USB-закладки создавали так называемые веб-оболочки, которые давали команде в кафе доступ к различным компьютерам и серверам внутри тюрьмы. Стрэнд вспоминает, что один из коллег кричал: «Твоя мама в порядке!».
На самом деле Рита вообще не встретила никакого сопротивления внутри тюрьмы. Она сказала охранникам на входе, что проводит внеплановую медицинскую инспекцию, и они не только пропустили ее, но и оставили у неё мобильный телефон, с помощью которого она записала всю процедуру проникновения на объект. На тюремной кухне она проверила температуру в холодильниках и морозильниках, сделала вид, что проверяет наличие бактерий на прилавках и полках, искала просроченные продукты и делала фотографии.
Также Рита попросила осмотреть рабочие зоны сотрудников и зоны отдыха, сетевой операционный центр тюрьмы и даже серверную комнату — всё это якобы для проверки на наличие насекомых, уровня влажности и заплесневелости. И никто ей не отказал. Ей даже разрешили бродить по тюрьме в одиночку, дав предостаточно времени для того, чтобы сделать кучу фотографий и установить USB-закладки везде, где только можно.
В конце «инспекции» директор тюрьмы попросил Риту посетить его кабинет и дать рекомендации, как учреждение может улучшить организацию питания. Благодаря большому опыту в сфере питания женщина рассказала о некоторых проблемах. Затем она передала ему специально подготовленную флешку и сообщила, что у инспекции есть полезный контрольный список вопросов для самооценки и что он может использовать его для устранения текущих проблем. На флешке лежал Word-файл, заражённый вредоносным макросом. Когда начальник тюрьмы открыл его, он дал Black Hills доступ к своему компьютеру.
«Мы были просто ошарашены», — говорит Стрэнд. «Это был ошеломительный успех. Представителям кибербезопасности теперь есть что сказать о фундаментальных недостатках и слабостях действующей системы. Даже если кто-то уверяет, что он инспектор здравоохранения или кто-то ещё, необходимо лучше проверять информацию. Нельзя слепо верить тому, что говорят».
Что в итоге
Знающие эту историю другие пентестеры считают, что пусть успех Риты и является в большей степени удачным стечением обстоятельств, но ситуация в целом хорошо отражает их повседневный опыт.
«Результат применения небольшой лжи и физических аспектов может быть невероятным. Мы выполняем похожие работы всё время и редко оказываемся разоблачёнными», — соглашается Дэвид Кеннеди, основатель ещё одной фирмы по тестированию на проникновения, TrustedSec. «Если вы утверждаете, что являетесь инспектором, аудитором, авторитетным лицом, то вам всё позволено».
Рита больше никогда не участвовала в тестах на проникновение. А Джон Стрэнд и сейчас отказывается говорить, в какую тюрьму проникала его мать. Уверяет, что сейчас она уже закрыта. Но усилия команды оказали существенное влияние на организацию безопасности, говорит Стрэнд. И в шутку добавляет: «Я также думаю, что благодаря нашему тесту уровень здравоохранения в организации был повышен».