‘Bu kadar da olmaz’ dedirten olay: Hapishanenin pentestini yapmak için annesini kullanmış

Güvenlik Analisti John Strand, bir cezaevinin savunma sistemlerini test etmeye yönelik bir iş teklifi aldı. Fakat işi kendisi yapmak yerine, çok daha güvendiği başka birine yönlendirdi: Annesine!

John Strand geçimini güvenlik amacıyla bilgisayar sistemlerini hackleyerek sağlayan ‘penetrasyon testçisi’ olarak bilinen biri. Çeşitli kuruluşlar sistemlerini hacklemesi için Strand’a para ödüyor. Nitekim, Strand kötü niyetli kişilerden önce sistemlerin zayıf noktalarını tespit ederek şirketleri peşinen zor durumdan kurtarmış oluyor. Normalde Strand böylesi işleri kendisi üstleniyor ya da Black Hills şirketinde birlikte çalıştığı deneyimli meslektaşlarından birine yönlendiriyor. Ancak 2014 Temmuz ayında Güney Dakota’daki bir cezaevinden gelen iş teklifini farklı bir şekilde değerlendirmeyi tercih edince ortaya epeyce ilginç bir hikaye çıktı. Strand görevi, konusunda uzman bir başka meslektaşına değil “annesine yönlendirdi.

Aslında bu durum, anne Rita Strand’in fikriydi. Yaklaşık 30 yıl yemek sektöründe çalışmasının ardından Black Hills’te finans şefi olarak göreve başlayan anne Strand o dönemde 58 yaşındaydı. Kendinden emin bir kişiliğe sahipti, mesleki tecrübesi de göz önüne alındığında kolaylıkla ‘sağlık denetçisi’ kılığına girerek hapishaneye erişme imkanı bulabilirdi. Tek gereken sahte bir rozet ve doğru kelimelerdi.

Strand, San Francisco’da düzenlenen RSA siber güvenlik konferansında yaptığı konuşmada hikayeyi şu sözlerle anlatıyor: “Bir gün yanıma geldi ve gizlice bir yerlere girmek istediğini söyledi. Bunu diyen annem, ne diyebilirdim ki?”

RSA’de Türk kahvesi: Picus Security standında neler yaşandı?

Penetrasyon testçileri sadece bir clipboard ve biraz da kendine güven ile inanılmaz derecede mesafe kat edebileceğinizi söylerler. Ancak cezaevinde iş yürüten bir acemi sadece göz korkutucudur. Yaptıkları sözleşme gereği güvenlik testi yapan uzmanlara müşterinin sistemlerine girmesine izin verilirken, yakalanmaları halinde tansiyon yükselebiliyor. İşlerinin bir parçası olarak Iowa’da bir mahkemenin sistemine giren iki testçi, 12 saat gözaltında tutulmuştu.

Rita Strand’ın işi, teknik konulardaki yetersizliğinden ötürü daha da zor olacaktı. Profesyonel bir penetrasyon testçisi, bir kuruluşun dijital güvenliğini eş zamanlı olarak değerlendirebilir ve belirli bir ağda bulduklarına göre ayarlanmış arka kapıları yerleştirebilir. Rita, sağlık denetçisi taklidini gayet iyi yapabiliyordu ancak bir hacker değildi.

Black Hills şirketi, Rita’ya sahte bir rozet ve bir kartvizit hazırladı. John annesi Rita’ya doğrudan hackleme yaptırmak yerine onu mümkün olduğunca her cihaza takmasını istediği kötü amaçlı USB belleklerle donattı. Ayrıca kendisinden ceza evinin erişim noktaları ve fiziksel güvenlik ekipmanlarının fotoğraflarını çekmesini istedi. USB flash sürücüleri Rita’nın Black Hills’teki meslektaşlarına sinyal gönderiyor ve böylece uzaktan penetrasyon testini dijital ortamda gerçekleştirebiliyorlardı.

HACKER ANNESİ AĞ OPERASYON MERKEZİNE ELİNİ KOLUNU SALLAYARAK GİRDİ

Testin yapılacağı sabah Strand’ler ve meslektaşları hapishaneye yakın bir kafede karargâh kurdular. Bilgisayar sistemini kurmalarının ardından Rita hapishaneye gitmek üzere yola çıktı.

Genelde testçiler şüphe çekmemek için hızlı hareket eder ve girmeleriyle çıkmaları arasında kısa bir zaman olur. Rita’dan ise geçen 45 dakikaya rağmen hiçbir ses gelmez. 1 saat olunca John paniklemeye başlar. O anda Black Hills bilgisayarlarına işaretler gelmeye başlar. Rita başarmıştır. Rita’nın yerleştirdiği USB sürücüler sayesinde kafedeki ekibe hapishane içindeki çeşitli bilgisayarlara ve sunuculara erişim imkanı sağlamaktaydı.

Doğrusu Rita hapishaneye girerken hiçbir zorluk yaşamadı. Kapıdaki görevlilere ani bir teftiş için geldiğini ve sadece içeri girmenin yetmeyeceğini aynı zamanda kendisine içeride fotoğraf çekmesi için cep telefonunu yanında taşıma izni vermelerini istedi. Kimse hayır demedi. Bir yandan mutfaktaki dondurucuların ısısını ve ortamın nemini ölçerken bir yandan da fotoğraflar çekti. Ayrıca ceza evinin ağ operasyon merkezini de görmek istediğini söyledi. Yine kimse hayır demedi. Hatta tek başına gezmesine bile izin verildi. Böylece kötü amaçlı USB’leri yerleştirmekte hiçbir zorluk yaşamamış oldu.

CNN muhabiri, hacker’a meydan okudu, başına gelenler ‘korkuttu’ 

RİTA’YI 2016 YILINDA KAYBETTİK

Denetimin sonunda cezaevi müdürü Rita’dan ofisine gelmesini ve deneyimlerini ve önerilerini anlatmasını istemiş. Rita da müdüre önceden özel olarak hazırlanmış USB belleği verir. Belleğin içerisinde kurumların kendi kendilerini test edebileceği bir kontrol listesi bulunmaktadır. Word belgesi zararlı içerik içermektedir. Cezaevi müdürü belgeye tıklamakla Black Hills’e bilgisayarlarına erişme izni de vermiş oldu.

Diğer penetrasyon testçileri Rita’nın hikayesini olağanüstü buluyor. Penetrasyon testi şirketi kurucusu David Kennedy, “müfettiş, denetçi ya da yetki sahibi bir başka kişiyseniz her şey daha kolay” diyor.

Rita, 2016’da pankreas kanserinden öldü ve ikinci bir penetrasyon testi yapma şansı bulamadı. John Strand annesinin sızdığı hapishanenin adını vermezken annesinin yaptığı çabaların bir etkisini olduğunu söyledi. Penetrasyon testi sonucunda ceza evi bazı güvenlik iyileştirmeleri yaptı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.