Comments 18

А моя мама как-то в пентагон пошла под прикрытием. Заходит внутрь, а там Обама сидит. Она ему на ломаном английском пирожков предложила, тот ничего не заподозрил и взял. В пирожках полоний-210 вместо начинки. Ой а дальше-то что началося…

Кстати вот поддельный ID под которым я смог проникнуть в бюро пропусков пентагона и оформить пропуск на маму


Вы правы, забыл написать что мы с друзьями при этом сидели рядом в макдональдсе с ноутбуками.

Прям кино в стиле 11-ти друзей Оушена! Можно кино снимать. Интересно — а есть какие либо сторонние подтверждения этой истории?
есть какие либо сторонние подтверждения этой истории
Вот да. Хотя эти белые хакеры и под NDA, но какие-то некритичные подробности обнаруженных «дыр» можно было бы озвучить.
Послушай подкаст DarkNet Diaries там каждый выпуск кул стори вроде этой, и есть прям очень крутые выуски. Например про то как работает юнит 8200 в израеле, недавно был выпуск про упомянутый кейс когда пентестеры проникали в здание суда с участием самих героев инцидента и много других очень крутых историй.
На самом деле вся эта история показывает, что какие бы современные средства контроля не стояли, человеческий фактор всё перекроет. Морда кирпичом «я здесь должен быть по праву» располагает персонал к себе. Никому даже в голову не пришло проверить, есть ли такой сотрудник в здравоохранении. Следующий «ляп» — свободное перемещение, угу, на режимном объекте. И, наконец, опять же человеческий фактор, флешка в обход СБ объекта. В этом пентесте была задействована большая доля социальной инженерии.
Как ни печально, это болезнь многих организаций: кибербезопасность, политики, файерволы, но всё разбилось о соц.инженерию

Ну а что мешает человеку с таким послужным списком устроиться в местное здравоохранение и через пару недель пойти на пентест?
Кроме того что usb не заблокирован по большому счету и претензий нет, иначе хакер с солонкой получится.

Не в самом USB дело, а в том, что в обход СБ на режимном объекте. По хорошему флешку надо было отдать СБ-шнику для проверки на вирусы (все помним autorun.inf), либо открывать на изолированной от сети ОС/машине.
Ну блокировка USB как раз бы выявила проблему с необходимостью чтения флешек (или отсутствие такой проблемы, зачем им вообще там с флешек что-то читать?).
В итоге на местах мог бы быть установлен какой-то условный роутер с USB-портом, сотрудник СБ (даже сидящий где-нить за несколько сотен миль, зачем айтишник в каждой тюрьме) скачал бы этот файл(ы) с роутера, полечил бы и скопировал на сервер/комп организации.
Истории удачного проникновения не так интересны и полезны как истории неудачного, а особенно интересно в скольких из условных 100 тюрем всё-таки проверили, является ли «инспектор» тем за кого себя выдаёт.

Удивительно что истории о неудачных пентестах (охрана не пустила, проверила, защита была на высоте etc) почему-то встречаются гораздо реже (ещё и поискать надо), видимо, пентестеры не очень любят делится неудачами.
Со времен Кевина Митника ничего не поменялось, социальная инженерия берет города ;)
«Какое небо голубое!
Мы не сторонники разбоя.
На дурака не нужен нож:
ему с три короба наврешь
и делай с ним что хошь.»

Рисковый чувак, а если бы маму заключенные бы захватили в заложники?
Уж родными нельзя рисковать, даже ради работы. Страховая врядли бы заплатила если что бы случилось с ней.
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
2009
Location
Россия
Website
www.cloud4y.ru
Employees
31–50 employees
Registered