O dono de uma empresa de segurança da informação enviou sua mãe numa missão para invadir os sistemas de computador de uma prisão estadual nos Estados Unidos. E a mulher de 58 anos cumpriu sua função com louvor. John Strand, da Black Hills Information Security, contou como tudo aconteceu durante uma conferência de segurança cibernética.

Entre outros serviços, a empresa de Strand realiza testes de infiltração para as companhias que a contratam. A ideia é invadir o local disfarçado – sem que a segurança local saiba – e invadir os sistemas do cliente. Não é fácil: embora os testadores tenham permissão contratual para invadir os sistemas, se eles forem pegos, as tensões podem aumentar rapidamente antes que os responsáveis pelo contrato liberem os hackers.

“Ela me abordou um dia e disse: ‘Sabe, eu quero entrar em algum lugar”, lembra Strand do pedido da sua mãe. Rita Strand havia sido contratada como diretora financeira da Black Hills no ano anterior, depois de 30 anos na indústria de alimentação. Por essa experiência anterior, Rita estava confiante que poderia se passar por uma inspetora de saúde do Estado para obter acesso à prisão, que fica na Dakota do Sul. Só precisava de um crachá falso.

A missão de Rita tinha duas complicações: além do alvo ser um presídio, com segurança reforçada, ainda se deveria levar em conta sua falta de conhecimento técnico. Um testador profissional deve capaz de avaliar a segurança digital de uma organização em tempo real, e instalar backdoors personalizados em redes específicas.

A Black Hills fez um crachá falso para Rita, um cartão de visitas e um cartão com os contatos do seu “gerente”, seu filho John, para uma emergência ou o caso de alguém desconfiar.  Ao entrar, ela deveria tirar fotos dos pontos de acesso ao sistema e dos recursos de segurança física. Como Rita não é hacker, a equipe montou pen drives com os malwares que dariam aos seus colegas de Black Hills acesso aos sistemas da prisão.

Na manhã da invasão, a equipe foi para um café perto da prisão enquanto Rita ia sozinha para a prisão. No café, foi montada uma sala de guerra com laptops, pontos de acesso móveis e outros equipamentos. “Fiquei pensando como essa era uma péssima ideia”, conta Strand. “Ela não tem experiência com testes. Nenhuma experiência com hackers de TI. Eu disse: ‘Mãe, se isso ficar ruim, você precisa atender o telefone e me ligar imediatamente'”.

Os infiltradores geralmente tentam entrar e sair de uma instalação o mais rápido possível para não levantar suspeitas. Mas, após 45 minutos de espera, não havia sinal de Rita. “Uma hora depois e estou em pânico”, lembra o filho.

Mas de repente, os laptops da Black Hills começaram a piscar com a atividade. Os drives USB enviavam à equipe do café dados de acesso a vários computadores e servidores dentro da prisão. Rita tinha conseguido.

A verdade é que, apesar da demora, ela não encontrou resistência alguma dentro da prisão. Na chegada, disse aos guardas que estava realizando uma inspeção de saúde surpresa e eles não só deixaram que ela entrasse, mas levasse também o celular, como o qual registrou toda a operação. Rita foi na cozinha, verificou as temperaturas em geladeiras e freezers, fingiu esfregar o chão procurando por bactérias, procurou comida vencida e tirou fotos.

Na sequência, pediu para ver as áreas de trabalho dos funcionários, o centro de operações da rede da prisão e até a sala dos servidores – tudo para verificar “se há infestações por insetos, níveis de umidade e mofo”. Ninguém disse que não. Ela andou sozinha pela prisão, tirando fotos e distribuindo pendrives infectados a torto e a direito.

No final da “inspeção”, o diretor da prisão chamou Rita para visitar seu escritório e pediu sugestões de como a instalação poderia melhorar suas práticas de serviço de alimentação. Ela entregou a ele um drive USB especialmente preparado, com um documento de texto contaminado. Isso deu aos hackers da Black Hills acesso direto ao computador do chefe da instituição.

“Ficamos pasmos”, conta Strand. “Foi um sucesso esmagador. E há muito a ser aprendido para a comunidade de segurança, sobre as fraquezas fundamentais e a importância da segurança institucional. Mesmo se alguém disser que é inspetor de elevador, ou de saúde, ou qualquer outra coisa, precisamos saber fazer as melhores perguntas às pessoas. Não assuma cegamente”, adverte o hacker profissional.

Em 2016, Rita morreu de câncer no pâncreas, sendo essa a única missão de invasão que ela realizou. Strand não contou em qual prisão sua mãe se infiltrou, apenas que ela fez melhorias de segurança como resultado do teste. “Também acho que o programa de saúde deles foi aprimorado”, completou.

Via: Wired