Lass mal Mutti ran: IT-Sicherheit in Gefängnis ausgehebelt

Sicherheitsforscher John Strand hatte den Auftrag zur Prüfung der IT-Sicherheit einer US-Justizvollzugsanstalt. Kein Problem, heuer Mutti für den Penetrationstest an, und kurze Zeit später war der Rechner des Anstaltsleiters kompromittiert.

Es ist ein Lehrstück für alle Experten, die sich mit Fragen der IT-Sicherheit in Unternehmensorganisationen befassen. Die Schwachstelle ist meist der Mensch. Das 'Lehrstück' spielte zwar bereits 2014, wurde aber erst jetzt auf der RSA-Konferenz in den USA öffentlich.

Some sons send their moms flowers, and some help fulfill their wish to break into a highly secured facility. All it took was a fake badge and the right chitchat––@WIRED has the story: https://t.co/ezkYYH52C3

— Condé Nast (@CondeNast) March 2, 2020

Es ist schon eine krude Geschichte, die Wired da von der RSA-Konferenz mitgebracht hat. Wie bereits erwähnt, hatte Sicherheitsforscher John Strand den Auftrag zur Prüfung der IT-Sicherheit einer US-Justizvollzugsanstalt. Auf Vorschlag seiner Mutter, die drei Jahrzehnte in der Gastronomiebranche gearbeitet hatte, sollte sie sich als staatliche Gesundheitsinspektorin ausgeben und das Gefängnis inspizieren. Nebenaufgabe als Penetrationstesterin war, die IT-Systeme mit USB-Sticks zu kompromittieren.

Als erstes bekam die Mutter einen gefälschten 'Anhänger' (Badge) der sie als Gesundheitsinspektorin ausweisen sollte, wobei als ID MIT FREUNDLICHER GENEHMIGUNG VON JOHN STRAND aufgedruckt war. Dazu bekam sie noch eine Visitenkarte und eine "Manager"-Karte mit den Kontaktinformationen von John Strand. Mit im Gepäck: Ein Smartphone, um Fotos zu schießen, und einige sogenannte 'Gummi-Enten' – USB-Sticks, die sie in jeden erreichbaren Rechner einstecken sollte, um diese zu kompromittieren. Über diese Sticks sollten die Penetrationstester, die in der Nähe des Gefängnisses in einem Café weilten, dann Zugang zu den IT-Systemen bekommen.

Lage Geschichte in kurz: Mit dem gefälschten Ausweis gelangte die Frau problemlos als vermeintliche Gesundheitsinspektorin in die Haftanstalt und in den Küchenbereich, wo sie die Temperatur der Kühleinheiten maß und so tat, als würde sie Abklatschproben für Bakterienkulturen anfertigen. Das Smartphone hatte man ihr an der Gefängnispforte gelassen, weil sie die 'Arbeit als Gesundheitsinspektorin' ja dokumentieren musste.

Dann fragte sie einen Bediensteten nach den Arbeits- und Aufenthaltsräumen, die sie auch inspizieren wollte. Sie bat auch darum, die Netzwerk-Zentrale des Gefängnisses und sogar den Serverraum zu sehen – angeblich, um nach Insektenbefall, Feuchtigkeit und Schimmel zu suchen. Niemand sagte nein. Sie durfte sogar allein durch das Gefängnis streifen, was ihr ausreichend Zeit gab, um Fotos zu machen und ihre USB-Gummi-Enten an alle erreichbare Computer anzustöpseln.

Am Ende der "Inspektion" bat der Gefängnisdirektor die Mutter in sein Büro und fragte nach Vorschlägen, wie die Einrichtung ihre Verpflegungspraktiken verbessern könnte. Sie ging auf einige Fragen und Sachverhalte ein, da sie seit Jahrzehnten im Gaststättengewerbe gearbeitet und mit Gesundheitsinspektionen Erfahrung hatte. Dann übergab sie ihm einen speziell präparierten USB-Stick. Der Staat habe eine hilfreiche Checkliste zur Selbstüberprüfung erstellt, sagte sie dem Direktor. Diese sei auf dem USB-Stick gespeichert und er könne diese nutzen, um Probleme zu identifizieren, bevor ein Inspektor der Gesundheitsbehörde auftauche.

Das Microsoft-Word-Dokument auf dem Stick war mit einem Makro verunreinigt. Als der Gefängnischef das Dokument öffnete, gab er damit den Penetrationstestern von Black Hills versehentlich Zugang zu seinem Computer. Damit waren die Tester im Netzwerk. Die Sicherheitsforscher waren verblüfft, wie einfach alles ging. Andere Pentester sagen zwar, dass dies ein außergewöhnlicher Fall gewesen sei. Aber die tägliche Erfahrung spiegele das wider – forsches Auftreten und einige gefälschte Ausweise/Visitenkarten genügen, um in Einrichtungen einzudringen und Sicherheitsbarrieren zu überwinden.