بگذارید مادرم فرار کند: امنیت IT در معرض زندان | IT متولد می شود

جان Strand ، محقق امنیتی برای آزمایش امنیت IT یك دستگاه اصلاح آمریكایی مأمور شد. مشکلی نیست ، مادر امسال برای تست نفوذ و به زودی پس از آنکه کامپیوتر مدیر کنترل شد.

این یک تدریس برای همه متخصصان است که درمورد مسائل مربوط به امنیت IT در سازمان های تجاری سروکار دارند. انسان معمولاً یک نقطه ضعف است. "لهرستک" قبلاً در سال 2014 بازی کرده بود ، اما فقط در کنفرانس RSA در ایالات متحده آمریکا عمومی شد.

برخی از پسران گل مادران را می فرستند ، و بعضی دیگر برای تحقق آرزوی خود برای ورود به یک مرکز تأمین شده کمک می کنند. یک نشان جعلی کافی بود ، و چیچست مربوطه — [WIRED داستانی دارد: https://t.co/ezkYYH52C3roulette19659004ociation—CondéNast(@CondeNast)-19459011] 2 مارس 2020

داستان این تاریخ است سیم از کنفرانس RSA آورده شده است. همانطور که قبلاً ذکر شد ، محقق امنیتی ، جان استرند مأمور شد که یک حسابرسی امنیتی IT در یک مرکز اصلاحات آمریکایی را انجام دهد. با تحریک مادرش که سه دهه در صنعت مهمان نوازی کار کرده بود ، باید وانمود کند که یک بازرس بهداشت دولتی است و زندان را معاینه می کند. علاوه بر این ، به عنوان یک تستر نفوذ ، سیستم های IT توسط یک USB USB به کار گرفته شده اند.

ابتدا ، مادر با داشتن شناسه اثبات JOHN STRAND'S FRIENDLY دوستانه JOHN STRAND ، "نشان" تقلبی دریافت کرد که علاوه بر این ، وی کارت ویزیت و کارت "مدیر" را با جزئیات تماس جان Strand دریافت کرد. همچنین در چمدان: تلفن هوشمند برای عکس گرفتن و برخی از اصطلاحا "اردک های لاستیکی" – میله USB که باید در هر رایانه در دسترس قرار گیرد تا بی اعتبار شود. آزمایش کنندگان نفوذ که در یک کافه نزدیک زندان بودند برای استفاده از این میله ها به سیستم های اطلاعاتی دسترسی پیدا کردند.

خلاصه: به لطف شناسه نادرست ، زن به راحتی به عنوان بازرس بهداشتی و آشپزخانه تحت بازداشت قرار گرفت ، جایی که او دمای واحدهای خنک کننده را اندازه گیری کرد و وانمود کرد که نمونه های تماسی را برای کشت باکتری تهیه می کند. تلفن هوشمند وی به دلیل اینکه مجبور بود کار خود را به عنوان یک بازرس بهداشت بگذارد ، در دروازه زندان مانده بود.

سپس او از یک کارمند در مورد اتاق کار و استراحت ، که او همچنین می خواست برای بررسی است. او همچنین خواسته است تا مرکز شبکه زندان و حتی اتاق سرور – که ظاهرا در جستجوی حشرات ، رطوبت و قالب است – مشاهده کند. هیچ کس نگفت. او حتی اجازه داشت به تنهایی در زندان سرگردان باشد ، که به او فرصت کافی برای گرفتن عکس و اتصال اردک های لاستیکی USB به تمام رایانه های موجود را داد.

در پایان "بازرسی" ، مدیر زندان مادر خود را به مطب خود دعوت كرد و از آنها سؤال كرد كه چگونه این تسهیلات می تواند شیوه های نگهداری مواد غذایی خود را بهبود بخشد. وی با سؤالات و مشکلات بسیاری روبرو شد زیرا ده ها سال در صنعت میهمان نوازی کار می کرد و در زمینه چک های بهداشتی تجربه ای داشت. سپس او یک درایو USB مخصوص تهیه شده را به وی تحویل داد. او به مدیر گفت: استن یک لیست چک مفید ایجاد کرد. آن را بر روی چوب USB نوشته شده بود و او می توانست از آن برای شناسایی مشکلات قبل از اینکه بازرس مطب بهداشت ظاهر شود استفاده کند.

یک سند مایکروسافت ورد بر روی USB با یک کلان آلوده شده است. هنگامی که رئیس زندان سند را باز کرد ، به طور اتفاقی به آزمایش کنندگان نفوذ بلک هیلز به رایانه وی دسترسی پیدا کرد. بنابراین آزمایش کنندگان آنلاین بودند. محققان امنیتی از این که این همه آسانی چگونه پیش رفت ، شگفت زده شدند. دیگر پناهجویان می گویند این یک مورد منحصر به فرد بود. اما تجربه روزمره این امر را منعکس می کند – رفتار جدی و چندین کارت شناسایی کارت ویزیت / کارت ویزیت کافی است تا به داخل اشیاء بیفتد و بر موانع امنیتی غلبه کند.