У статті описано шлях від його досліджень до суду, а також ключові моменти, що зробили його однією з перших фігур у сфері етичного хакінгу.
463 
Стаття розповідає про реальний випадок проникнення в банк, виконаний фахівцем із тестування на проникнення Джейсоном Е. Стрітом, щоб перевірити безпеку та навчити співробітників.Ви дізнаєтьсь, як використовуються методи соціальної інженерії, такі як підроблені посвідчення та пристрої для запуску коду, а також про те, які помилки можуть призвести до серйозних наслідків. Матеріал наголошує на важливості підготовки, уважності та навчання персоналу для захисту від подібних загроз.
Проекти з фізичного проникнення на територію замовника — це одні з найцікавіших і найзахопливіших завдань! Автор цих рядків має досвід виконання подібних завдань, тож говорить із власної практики. Jason E. Street, без перебільшення, є одним із найвідоміших експертів у цій сфері, адже на його рахунку десятки таких проектів.
Головна мета таких операцій зазвичай полягає в тому, щоб отримати доступ до комп’ютерів в офісі замовника або налаштувати віддалене підключення до корпоративної мережі. Для цього часто використовують прихований міні-комп’ютер, наприклад, Raspberry Pi із модемом і SIM-картою.
Не показувати жодних документів.
Не чинити опору охороні. Зазвичай завжди є договір на роботи або авторизаційний лист (LOA). У листі/договорі зазначено, що людина проводить легальні роботи і бити/здавати в поліцію її не потрібно, а потрібно зв’язатися з керівництвом компанії замовника.
Саме за подібних умов діяв і наш головний герой. Однак мета його була трохи іншою – не перевірити можливість отримати доступ, а навчити співробітників! Тому він розраховував бути спійманим до кінця проекту.
Ліван. Ця країна, яка зараз не вилазить із новин, але на момент проведення проекту була набагато спокійнішою і тихішою. Джейсон вже виконував там один проект у банку і тоді він:
Видав себе за співробітника головного офісу та спокійно гуляв трьома відділеннями.
В одному відділенні отримав від менеджера його особистий логін та пароль, а також виніс усі документи, які захотів.
У двох виконав «шкідливий» код на машинах менеджерів та одного керуючого.
З третього взагалі виніс комп’ютер!
Тоді хакера ніхто не зупинив.
Цей проєкт відбувався через кілька років — у 2021 році, в іншому банку Бейрута. Перше відділення цього банку Джейсон успішно «зламав» зранку, але один із керуючих, ображений через провал системи безпеки, вирішив діяти на свій страх і ризик. Він особисто обдзвонив усі великі відділення банку, попереджаючи про можливий «злом». Звісно, такий хід був не зовсім спортивним, але Джейсон швидко адаптувався до ситуації — вирішив обрати невелике відділення, де його не чекали. І він не помилився!
Оскільки в Бейруті більшість написів виконані арабською та французькою мовами, яких Джейсон не знав, йому надали супроводжуючого. Ця людина чудово володіла трьома мовами, показувала дорогу і, найважливіше, слугувала гарантією легальності проєкту, щоб у разі чого хакера не заарештували. Але того дня Джейсон дуже поспішав, адже перед завданням випив півторалітрову пляшку дієтичної пепсі! Супроводжуючий вказав йому напрямок і сказав: «Банк знаходиться наприкінці вулиці, я прийду через кілька хвилин».
Шукаючи туалет дорогою до банку, Джейсон не зміг розібрати більшість написів і не побачив знайомого значка WC. Вже на межі терпіння він забіг до найближчого офісу банку наприкінці вулиці, піднявся на другий поверх і, нарешті, знайшов туалет. Після цього він оглянув приміщення зверху і почав планувати свою демонстраційну атаку.
Документи не можна використовувати, але підроблені листи? Бейджі? Можна! Це де-юре не документи. Тому Джейсон дістав свій фейковий бейджик “Майкрософт”. Його цілі були три:
Виконати будь-який код на машинах співробітників та показати їм це.
Винести комп’ютер із відділення.
Якщо його затримають, перевірити, чи повірять його підробленому «авторизаційному листу» і чи дадуть йому піти.
Для першого завдання він використовував Rubber Duck — відомий інструмент легальних хакерів, який виглядає як флешка, але виконує код. виду у менеджера.
Все, що робив код на Rubber Duck у Джейсона, — це виводив напис: «Гей, цього не мало статися!». Джейсон демонстрував цей результат менеджеру і переходив до наступного комп’ютера, хоча для успіху тесту й одного зламаного ПК було б достатньо.
На третьому комп’ютері почали виникати підозри. Співробітники запитали, хто він і звідки. Джейсон, згідно зі своєю легендою, назвався представником Microsoft і вказав на свій бейдж. Він пояснив, що проводить аудит у зв’язку зі злиттям компаній, але інформація поки що конфіденційна. Для більшої довіри він показав на iPad підроблений лист, нібито від фінансового директора банку, яка до того ж була донькою власника установи. Лист виглядав дуже переконливо, адже читати текст із планшета зазвичай викликає більше довіри, ніж із паперу. Але, попри всі зусилля, йому не повірили і запросили до керуючого. Що ж пішло не так?
У кабінеті керуючого Джейсон вирішив перейти до свого третього завдання — втечі. Він намагався переконати керуючого, використовуючи підроблений лист, щоб його відпустили. Коли це не вдалося, він заявив, що йому потрібні документи з машини, і вийшов із банку, більше не повернувшись.
Однак був і теоретичний сценарій невдачі. Якщо керуючий не погодився б відпустити його за «документами», тоді в гру вступав супроводжуючий, який пояснив би ситуацію і захистив Джейсона. У такому випадку керуючого чекали б похвали за його пильність. Але питання залишається відкритим: де ж був супроводжуючий цього разу?
Джейсон навіть уявити не міг, що його чекає такий поворот подій. Керівник банку, уважно вивчивши «документи», з сумною, але суворою інтонацією сказав: «Все зрозуміло, але це лист для сусіднього банку. І що ж ти робив із нашими комп’ютерами?!».
Як з’ясувалося, два банки, розташовані у цьому будинку, використовували однакові корпоративні кольори. Джейсон, звиклий не звертати увагу на вивіски, які здебільшого були не англійською мовою, просто зайшов не в ті двері. Через поспіх та відсутність уваги він проник у банк, який навіть не був об’єктом тесту. І тепер, зіткнувшись із питанням, на яке він не знав, що відповісти, Джейсон зміг лише вимовити: «Це сумно».
Керівник запросив хакера до свого кабінету, де його посадили в крісло. Навколо нього зібралося шестеро співробітників, які дуже емоційно розмовляли арабською, і ситуація ставала дедалі напруженішою. У спробі якось виправдатися Джейсон вирішив показати, що саме він робив. Він підключив Rubber Duck до комп’ютера керівника, і на екрані з’явилося знайоме повідомлення. Однак замість полегшення це тільки погіршило ситуацію, адже таким чином він щойно «зламав» ще один комп’ютер, що лише підлило масла у вогонь. Вирази облич присутніх стали ще більш суворими. У відчаї Джейсон заявив: «Погугліть мене, я відомий тим, що роблю подібні речі!». Але, здається, його слова пройшли повз.
Супроводжуючий у цей час був у сусідньому банку, вважаючи, що Джейсон вже обговорює все з керівником. Коли він зрозумів, що хакера там немає, то вирушив на пошуки і знайшов його у розпалі конфлікту. Навіть аргументи супроводжуючого не справили особливого враження. Зрештою, банківські співробітники запропонували всім вирушити до головного офісу, щоб з’ясувати ситуацію, що було кращим варіантом, ніж виклик поліції.
Джейсона врятувало те, що код на його Rubber Duck був абсолютно нешкідливим, тож складу злочину не було. А ще, на щастя, він не встиг винести комп’ютер із відділення, що могло б значно ускладнити ситуацію.
Усі його порушення були:
Проникнення на закриту територію.
Брехня співробітникам банку.
Джейсон ще раз детально пояснив начальнику охорони всю ситуацію: розповів, що саме робив, чому йому це вдалося, які помилки допустили співробітники банку, і терпляче відповідав на безліч питань, намагаючись виглядати якомога дружелюбніше.
Після чотирьох годин, проведених у кабінеті начальника охорони, керівники обох банків прийшли до угоди — вони вирішили розділити витрати між собою, щоб залагодити конфлікт. Задля безпеки, одразу після відходу Джейсона, всі комп’ютери менеджерів і керівника випадково «зламаної» філії були очищені. У світі банків, де конкуренція дуже висока, це виглядало логічно. Але головне, що Джейсону не довелося «тестувати» безпеку в’язниць Лівану.
463 
757 
544