约翰·斯特兰德(John Strand)作为渗透测试员,以攻破系统为生。各大组织聘用他来攻击他们的防御体系,好发现它们的弱点。通常,需要斯特兰德亲自执行渗透,或至少从Black Hills Information Security派遣一位经验丰富的同事。但是在2014年7月,他为南达科他州的做侵入测试时,他采取了截然不同的方法——请出了自己的妈妈。

公平地说,这是丽塔·斯特兰德(Rita Strand)的想法。时年58岁的她在餐饮服务业工作了三十年后,成为了Black Hills的首席财务官。鉴于专业经验,她很有信心,自己可以假扮州健康署的官员物理黑入监狱。所需要的只是一枚假徽章和正确的言行谈吐。

“她有一天向我走来,说'你知道,我一直想黑入某个地方。’”本周在旧金山举行的RSA网络安全会议上,斯特兰德分享了他的故事,“那是我亲妈,我能怎么办?”

尽管按照合同,两名渗透人员的侵入行为是被授权过的,但如果他们被蒙在鼓里(事先知晓暗访者,暗访就失去了价值)的安保人员当场抓住,紧张局势可能会迅速升级。有两名测试员在工作时潜入爱荷华州的法院,在与地方当局发生冲突后被判入狱12小时。

丽塔·斯特兰德(Rita Strand)的使命还因缺乏必要技术而变得更加复杂。专业人员能够实时评估数字安全性,并在特定网络中发现为他们量身定制的后门。丽塔有丰富的经验,但不是从事黑客的经验。

为了帮助她,Black Hills为丽塔制作了假徽章,名片和带有斯特兰德联系方式的“经理人”卡。如果她成功潜入,需要拍下环境和建筑结构。斯特兰德并没有试图从外入侵任何计算机,而是为妈妈配备了所谓的Rubber Duckies——可插入所有设备的恶意USB记忆棒。拇指驱动器将把信标传回Black Hills,并允许他们访问监狱的系统。然后,他们可以远程进行数字部分。

斯特兰德说:“对于大多数人来说,第一次从事这样的工作,会感到非常不舒服。但是她适应性很好。出于明显的原因,监狱网络安全至关重要。如果有人可以黑入监狱并接管计算机系统,那配合越狱就很容易了。”

计划开始执行的早晨,斯特兰德和同事乘车前往监狱附近的一家咖啡馆。准备好焦糖卷和山核桃饼,打开笔记本电脑、移动热点和其他装备,把那里当做临时作战室。一切准备就绪后,丽塔独自驱车前往监狱。

斯特兰德说:“她走了,我脑海中有个声音反复提醒我,这是一个非常糟糕的主意。她毫无经验,更不懂IT黑客技术。我曾告诫过她,'妈,如果情况恶化,你要拿起电话并立即打给我。'”

测试人员通常会快去快回,以免引起怀疑。但是过了45分钟,丽塔还是没有动静。

他说:“快要一个小时了,我很恐慌。而且我想我应该考虑得再周全点,因为我们所有人同乘一辆车过来,所以我们现在无车可用,丧失了机动性。”

喔喔

突然,Black Hills笔记本电脑开始闪烁。丽塔做成功了。她植入的USB驱动器正在创建所谓的web外壳shell,现在黑客团队可以访问监狱内的各种计算机和服务器。斯特兰德记得一位同事大喊:“你妈没事!”

实际上,丽塔在监狱内根本没有遇到任何麻烦。她告诉入口处的警卫她正在进行突击的健康检查,他们不仅允许她进场,还让她保留手机,并用手机记录整个过程。在内部厨房里,她检查了冰箱和冰柜中的温度,假装用棉签擦拭地板和柜台上的细菌,寻找过期的食物并拍照。

但是丽塔还要求查看员工的工作区和休息区,监狱的网络运营中心,甚至是服务器机房,声称那里可能滋生昆虫和霉菌。没有人对她说不。她甚至被允许独自一人操作,给了她充足的时间拍照。

在“检查”结束时,典狱长邀请丽塔访问他的办公室,并向她征求如何改善机构的饮食服务。有30年餐饮从业经验的丽塔丝毫不怵,侃侃而谈。然后递给他特别准备的USB驱动器。她告诉典狱长,该州有一份特别权威的自我评估列表,他可以自己拷贝一份。

Microsoft Word文档被恶意宏污染。当典狱长点击时,系统失守。

“傻眼了”

“我们傻眼了,”斯特兰德说,“这是一次压倒性的胜利。对于安全社区来说,存在根本上的弱点,有礼貌地挑战权威机构的特派代表,拒绝他们可能危害系统安全的要求,是非常重要的职业常识。有人说他们是电梯管理员或卫生署官员,等等,我们需要好好核对,不要盲目假设。”

其他测试人员强调,尽管丽塔的故事非常精彩,但它强烈反映了我们日常经验中的盲点。

测试公司TrustedSec的创始人戴维·肯尼迪(David Kennedy)说:“系统在物理上的漏洞多到令人难以置信,我们一直在从事类似的工作,且很少被抓到。只要你声称自己是检查人员,审计员,权威人士,那么一切皆有可能。”

2016年,丽塔因胰腺癌去世;她后来没有再次尝试渗透。斯特兰德拒绝透露他母亲潜入的是哪座监狱,只是说那间监狱已被关闭了。但是她的努力产生了影响。斯特兰德说:“通过测试,监狱系统提升了安全性。我认为他们的餐饮健康水平也得到了改善。”

本文译自 arstechnica,由 majer 编辑发布。

[ 广告 ]
赞一个 (32)

PREV :
NEXT :