最近,网络安全分析师John Strand在旧金山举行的RSA信息安全大会上,分享了一段神奇的工作经历。
John Strand的职业,是“渗透安全测试员”。
他的工作,就是被各大组织雇佣去攻击他们的防御系统,好在真正的坏人攻击之前就发现已存在的弱点。
说得简单一点,就是“测试黑客”。
2014年时,John收到了一份合同,他被派去测试美国南达科他州一个监狱的安全防御力。
监狱网络安全的重要性显而易见,如果有人能闯入监狱并控制电脑系统,那就很容易造成大规模混乱,甚至协助逃狱。
(以下均为示意图)
通常,John会亲自执行这类任务,或者部署他所属的信息安全公司的同事们来执行。
但在对这所监狱进行进行测试时,他采取了截然不同的策略——派出了自己的亲妈。
老妈名叫Rita Strand,58岁,曾经从事餐饮服务业30年,后来又成了一家公司的首席财务官。
Rita对儿子的“测试黑客”事业一直很好奇,于是主动跟儿子说:
“你知道吗?我觉得我能找个地方闯进去。”
然而,闯进州立监狱并没那么简单。
尽管老妈从事财务和餐饮业的经验,让她完全可以假扮成一个国家卫生检查官找借口进入监狱,只需要一个假徽章和一张假名片就行。
但John担心的是,老妈毕竟是一个毫无任何IT经验的新手,万一有人身安全问题怎么办?
根据合同上的规定,测试黑客可以“入侵”客户的系统,但在此过程中,测试黑客如果被发现,可能会造成紧张的局面。
此前,就有两位因为工作闯入了爱荷华州法院的测试黑客,与当局发生了冲突,最后在监狱里呆了12小时。
为了让老妈顺利完成任务,John帮老妈仿制了一个假徽章、一张假名片,以及一张写有对方联系方式的工作证明。
John没有让老妈尝试破解任何电脑,而是给她配备了一个可以进行电脑渗透的U盘。
如果老妈能顺利进入监狱内部,就可以把这个U盘插在任何设备上,驱动器将会允许John和他的同事们进入监狱系统,测试和监控数据。
John说:“对于大多数人来说,刚开始这么做的时候都会感到很不安,但我老妈看起来已经准备好了。”
在进行测试的那天早上,John和几名同事们一起在监狱附近的一家咖啡馆碰头。他们点了咖啡、焦糖肉桂卷以及核桃派,在桌上放好了笔记本电脑和其它专业设备们。
一切就绪后,老妈Rita就独自开车向监狱出发了。
“当老妈的车开走之后,我心里开始想,可能得玩儿砸了,她没有黑客测试经验,也没有IT经验,她临走时我只说了一句‘妈妈,如果情况变糟糕,你要立刻打电话给我。’”
通常,信息安全测试员会尽快地进出设施场所,以免引起怀疑。但John和他的同事们在咖啡馆里等了45分钟,也没有Rita的任何动静。
随着时间一分一秒过去,大家从活跃渐渐开始沉默。
就在John越来越担心老妈的时候,他和同事的笔记本电脑忽然有了提示。
Rita做到了!
她所植入的U盘正在入侵监狱内的一台电脑,John和同事们能够访问监狱内的各种计算机和服务器了!
激动之下,John的一位同事开心大喊:“你妈妈没事!”
事实上,Rita在监狱里根本没有遇到任何阻碍。
她告诉门口的警卫,她正在进行一次突击卫生健康“视察”,警卫不仅让她进了,还让她保留了手机。
于是她用手机记录了整个过程。
在监狱的后厨,她检查了冰箱和冰柜的温度,假装擦拭地板和储物柜上的灰尘,寻找过期的食物……并认真拍照。
随后,Rita还要求查看员工的工作区和休息区,以及监狱的网络操作中心,甚至是服务器室,
而所有这些的理由,都是“检查虫害、湿度水平和霉菌数量”。
所有工作人员都给Rita开了绿灯,根本没人怀疑她,所以她有大把时间在监狱里走来走去。
在“视察”工作结束时,监狱主管请了Rita到他的办公室去,并寻求如何改进监狱食品卫生的建议。
趁这个机会,Rita递给监狱主管那个事先准备好的U盘,并说U盘里有一份非常重要的卫生自我评估清单,可以利用这份清单提早发现问题。
监狱主管点击U盘里那个事先被恶意污染的Word文档时,无意中让John和他的同事们黑进了他的电脑。
事后,John马上向监狱管理方汇报了所有情况。
由于这场测试,监狱的安全状况得到了改善,主管们表示,在这次测试之后,他们会更严格地管理监狱。
“我们都惊呆了!”John说,“监狱等机构的安全性非常重要,即使有人自称是电梯维修员或者是健康检查员之类的,我们也需要保持警惕,不要盲目地认为一切没问题。”
就这样,毫无IT经验知识的58岁老妈,成了黑客测试工作的功臣。
真不知道该说老妈真厉害呢,
还是该说这监狱也太心大了点儿。