{"id":229065,"date":"2020-03-04T00:43:45","date_gmt":"2020-03-03T23:43:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229065"},"modified":"2020-03-04T00:43:45","modified_gmt":"2020-03-03T23:43:45","slug":"lass-mal-mutti-ran-it-sicherheit-in-gefngnis-ausgehebelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/04\/lass-mal-mutti-ran-it-sicherheit-in-gefngnis-ausgehebelt\/","title":{"rendered":"Lass mal Mutti ran: IT-Sicherheit in Gef&auml;ngnis ausgehebelt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Sicherheitsforscher John Strand hatte den Auftrag zur Pr\u00fcfung der IT-Sicherheit einer US-Justizvollzugsanstalt. Kein Problem, heuer Mutti f\u00fcr den Penetrationstest an, und kurze Zeit sp\u00e4ter war der Rechner des Anstaltsleiters kompromittiert. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/97519718a0184975abae082a64cdaddb\" width=\"1\" height=\"1\"\/>Es ist ein Lehrst\u00fcck f\u00fcr alle Experten, die sich mit Fragen der IT-Sicherheit in Unternehmensorganisationen befassen. Die Schwachstelle ist meist der Mensch. Das 'Lehrst\u00fcck' spielte zwar bereits 2014, wurde aber erst jetzt auf der RSA-Konferenz in den USA \u00f6ffentlich.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Some sons send their moms flowers, and some help fulfill their wish to break into a highly secured facility. All it took was a fake badge and the right chitchat\u2013\u2013<a href=\"https:\/\/twitter.com\/WIRED?ref_src=twsrc%5Etfw\">@WIRED<\/a> has the story: <a href=\"https:\/\/t.co\/ezkYYH52C3\">https:\/\/t.co\/ezkYYH52C3<\/a><\/p>\n<p>\u2014 Cond\u00e9 Nast (@CondeNast) <a href=\"https:\/\/twitter.com\/CondeNast\/status\/1234555850683015170?ref_src=twsrc%5Etfw\">March 2, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Es ist schon eine krude Geschichte, die Wired da von der RSA-Konferenz mitgebracht hat. Wie bereits erw\u00e4hnt, hatte Sicherheitsforscher John Strand den Auftrag zur Pr\u00fcfung der IT-Sicherheit einer US-Justizvollzugsanstalt. Auf Vorschlag seiner Mutter, die drei Jahrzehnte in der Gastronomiebranche gearbeitet hatte, sollte sie sich als staatliche Gesundheitsinspektorin ausgeben und das Gef\u00e4ngnis inspizieren. Nebenaufgabe als Penetrationstesterin war, die IT-Systeme mit USB-Sticks zu kompromittieren.<\/p>\n<p>Als erstes bekam die Mutter einen gef\u00e4lschten 'Anh\u00e4nger' (Badge) der sie als Gesundheitsinspektorin ausweisen sollte, wobei als ID MIT FREUNDLICHER GENEHMIGUNG VON JOHN STRAND aufgedruckt war. Dazu bekam sie noch eine Visitenkarte und eine \"Manager\"-Karte mit den Kontaktinformationen von John Strand. Mit im Gep\u00e4ck: Ein Smartphone, um Fotos zu schie\u00dfen, und einige sogenannte 'Gummi-Enten' \u2013 USB-Sticks, die sie in jeden erreichbaren Rechner einstecken sollte, um diese zu kompromittieren. \u00dcber diese Sticks sollten die Penetrationstester, die in der N\u00e4he des Gef\u00e4ngnisses in einem Caf\u00e9 weilten, dann Zugang zu den IT-Systemen bekommen.<\/p>\n<p>Lage Geschichte in kurz: Mit dem gef\u00e4lschten Ausweis gelangte die Frau problemlos als vermeintliche Gesundheitsinspektorin in die Haftanstalt und in den K\u00fcchenbereich, wo sie die Temperatur der K\u00fchleinheiten ma\u00df und so tat, als w\u00fcrde sie Abklatschproben f\u00fcr Bakterienkulturen anfertigen. Das Smartphone hatte man ihr an der Gef\u00e4ngnispforte gelassen, weil sie die 'Arbeit als Gesundheitsinspektorin' ja dokumentieren musste. <\/p>\n<p>Dann fragte sie einen Bediensteten nach den Arbeits- und Aufenthaltsr\u00e4umen, die sie auch inspizieren wollte. Sie bat auch darum, die Netzwerk-Zentrale des Gef\u00e4ngnisses und sogar den Serverraum zu sehen &#8211; angeblich, um nach Insektenbefall, Feuchtigkeit und Schimmel zu suchen. Niemand sagte nein. Sie durfte sogar allein durch das Gef\u00e4ngnis streifen, was ihr ausreichend Zeit gab, um Fotos zu machen und ihre USB-Gummi-Enten an alle erreichbare Computer anzust\u00f6pseln. <\/p>\n<p>Am Ende der \"Inspektion\" bat der Gef\u00e4ngnisdirektor die Mutter in sein B\u00fcro und fragte nach Vorschl\u00e4gen, wie die Einrichtung ihre Verpflegungspraktiken verbessern k\u00f6nnte. Sie ging auf einige Fragen und Sachverhalte ein, da sie seit Jahrzehnten im Gastst\u00e4ttengewerbe gearbeitet und mit Gesundheitsinspektionen Erfahrung hatte. Dann \u00fcbergab sie ihm einen speziell pr\u00e4parierten USB-Stick. Der Staat habe eine hilfreiche Checkliste zur Selbst\u00fcberpr\u00fcfung erstellt, sagte sie dem Direktor. Diese sei auf dem USB-Stick gespeichert und er k\u00f6nne diese nutzen, um Probleme zu identifizieren, bevor ein Inspektor der Gesundheitsbeh\u00f6rde auftauche.<\/p>\n<p>Das Microsoft-Word-Dokument auf dem Stick war mit einem Makro verunreinigt. Als der Gef\u00e4ngnischef das Dokument \u00f6ffnete, gab er damit den Penetrationstestern von Black Hills versehentlich Zugang zu seinem Computer. Damit waren die Tester im Netzwerk. Die Sicherheitsforscher waren verbl\u00fcfft, wie einfach alles ging. Andere Pentester sagen zwar, dass dies ein au\u00dfergew\u00f6hnlicher Fall gewesen sei. Aber die t\u00e4gliche Erfahrung spiegele das wider \u2013 forsches Auftreten und einige gef\u00e4lschte Ausweise\/Visitenkarten gen\u00fcgen, um in Einrichtungen einzudringen und Sicherheitsbarrieren zu \u00fcberwinden. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher John Strand hatte den Auftrag zur Pr\u00fcfung der IT-Sicherheit einer US-Justizvollzugsanstalt. Kein Problem, heuer Mutti f\u00fcr den Penetrationstest an, und kurze Zeit sp\u00e4ter war der Rechner des Anstaltsleiters kompromittiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-229065","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229065"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229065\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}