首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
1
2
1'"
3
1'
4
123456
5
kN
6
朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
7
张靓颖
8
抖音
9
鱿鱼游戏
10
朱令
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
1
2
1'"
3
1'
4
123456
5
kN
6
朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
7
张靓颖
8
抖音
9
鱿鱼游戏
10
朱令
分类
社会
娱乐
国际
人权
科技
经济
其它
《鱿鱼游戏2》今天下午四点开播,网友无心上班了,导演悄悄剧透
刘恺威近况曝光,父亲刘丹证实已分手,目前失业在家,没有资源
紧急通告!三高的“克星”终于被找到了!!不是吃素和控糖,而是多喝它....
话费充值活动来了:95元充值100元电话费!
跟着南通住建局学“朝令夕改”
生成图片,分享到微信朋友圈
查看原文
其他
一位黑客的妈妈如何“闯入”监狱
数世咨询
2022-07-06
作为一名渗透测试人员,约翰·斯物兰德以“闯入”为生。
他受各种机构的雇用,攻击这些机构的防御系统,在恶意黑客之前发现些系统的弱点。
通常他会自己做渗透,有时也会找公司里有经验的同事。
但这次,在接受了南达科塔州一家监狱的渗透任务之后,他找了他58岁的妈妈,瑞塔·斯特兰德。
约翰公司的名称是黑山信息安全,他的母亲是公司的首席金融官,而在这之前在食品服务行业工作了三十年。
由于这种职业经历,瑞塔非常有信心假扮一名州健康卫生检查人员进入监狱,只需准备一枚伪造的徽章和一些对话的练习。
“一天,她来到我面前说我想闯进某个地方,这是我的妈妈,我又能说什么?
”约翰在本周召开的RSA大会上分享2014年的这场经历。
对于新手来说,在州立监狱这样的地方“视察”可不像打个电话那么轻松。
渗透测试人员虽然在客户的授权下,可以合法的闯入客户系统,但如果引起紧张,事态会被迅速放大。
前不久两名渗透测试人员因工作需求“闯入”爱荷华州法院,就被执法人员关了12个小时,直到费尽口舌说明情况才被放出来。
“我都瞢了,不知道该怎么跟她联系。
”
而且,妈妈的任务由于缺乏技术能力而变得更为复杂。
一个职业的渗透人员能够扫描对方的数字安全系统,并在网络中植入后门。
但瑞塔不是黑客,尽管她把健康检查人员扮演的活灵活现。
公司给瑞塔仿造了一枚徽章和一张名片,并给了她一张印有经理职位的约翰的名片。
因为妈妈可不会入侵任何计算机,所以约翰给她准备了一个载有恶意软件的U盘,以插入任何她能接触到的设备。
在接收到U盘回传的信号之后,约翰和同事们就可以访问监狱的系统了。
然后,现场是妈妈继续她的表演,约翰他们则在监狱的数字系统中忙活。
“对于大多数人来说,刚开始做这事肯定不适应。
显而易见,监狱的网络安全非常重要。
如果有人闯入并掌握它的计算机系统,那么把人从监狱里弄出来就容易多了。
”
开始渗透任务的早上,约翰和同事开车来到监狱附近的一家咖啡店,在车里搭建好笔记本、手机热点,还点了焦糖卷和山核桃派。
准备好之后,瑞塔独自开车来到了监狱。
“我在脑子里想,这可真是一个坏主意。
她没有任何渗透测试的经验,也没有IT入侵经验。
妈妈,如果事情不妙,可要赶紧给我打电话。
”
渗透测试人员通常要尽可能的快速的出入,以免引起怀疑。
但45分钟过去了,瑞塔那里没有任何动静。
“大约过了一个小时,我开始慌了。
我应该早想到这一点的,我们都在一辆车里,一个不知道什么地方的快餐店,没有任何办法联系到她。
”
突然,笔记本上的灯闪烁起来,瑞塔成功了。
通过U盘上的后门程序,约翰可以从咖啡馆的热点访问到监狱的计算机和服务骂。
斯特兰德记得一个同事喊道:
“你妈妈搞定了!
”
事实上,瑞塔没有遇到任何阻力。
在监狱入口处,她告诉守卫她正在进行一个临时决定的健康卫生检测,守卫不仅让她进来,还允许她带着手机。
瑞塔用手机记录下进监狱后的整个过程,包括在厨房检测冰箱、冰柜的温度,假装采集地板和桌子上的细菌,查找过期食物,并拍了照片。
瑞塔还要求巡视员工的工作区域和休息场所,监狱的网络运行中心,甚至是服务器机房,全部都是以害虫、湿度、霉菌等卫生检查的名义,没有人拒绝她。
甚至还允许她在监狱独自漫步,给予她充分的时间拍照并植入后门。
在“检查工作”的最后,监狱的负责人还请瑞塔参观了他的办公室,并征求如何改善食品卫生服务的建议。
基于数十年的卫生行业工作经验,瑞塔很快的指出了一些问题,然后把一个特意准备好的U盘递给负责人,告诉他上面有可以进行自我评估卫生状况的列表,帮助监狱方在卫生检查人员出现前发现问题。
U盘上的Word文档包含恶意宏脚本,当监狱负责人打开文档时,约翰和同事得以访问他的电脑。
“我们都惊呆了,这是一个巨大的成功。
对于安全社区,这次的渗透经历非常值得借鉴。
通过它可以看到基础安全的弱点所在,以及如何合理的置疑检查机构的重要性。
如果有人说他们是电梯检测员或是卫生检查员,或者不管什么身份,我们都要进一步盘查,不能草率相信。
”
其他的一些渗透测试人员也非常认同瑞塔妈妈的故事,与他们的日常经验非常贴合。
渗透测试公司TrustedSec的创始人大卫·肯尼迪表示:
“我们一直在做类似的工作,很少被发现。
如果你声称自己是检查人员、审计员之类的执法机构,做什么事情都是可能的。
”
2016年,瑞塔妈妈因胰腺癌去世,生命没有给她做第二次渗透测试的机会。
斯特兰德拒绝透露那家监狱的名字,但妈妈的工作的确带来了效果。
“那次渗透测试令监狱改进了他们的安全措施,而且我认为,他们的食品卫生状况也得到了改善。
”
原文:
《连线》
译者:
recco
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存