John Strand đột nhập vào mọi thứ để kiếm sống. Là một người thử nghiệm và thâm nhập, anh thường được các tổ chức thuê để tấn công hệ thống phòng thủ mạng thông tin của họ, giúp tìm ra các điểm yếu trước khi có một kẻ xấu nào đó thực sự tìm thấy chúng.
Thông thường, Strand thường xử lý các nhiệm vụ bằng cách tìm kiếm hoặc hợp tác với các đồng nghiệp giàu kinh nghiệm của mình tại công ty Black Hills Information Security. Nhưng vào tháng 7/2014, sau khi nhận nhiệm vụ xâm nhập vào một cơ sở cải huấn, một dạng nhà tù, ở Nam Dakota (Mỹ), anh muốn thực hiện một chiến thuật khác. Anh đã nhờ tới sự trợ giúp của mẹ mình.
"Công bằng mà nói, đó là ý tưởng của Rita Strand, mẹ tôi. Bà khi đó 58 tuổi, lúc đó đang là giám đốc tài chính của công ty Black Hills. Trước đó bà có hơn 30 năm kinh nghiệm trong ngành dịch vụ thực phẩm. Bà rất tự tin và nhờ kinh nghiệm chuyên môn, tin tưởng rằng mình có thể đóng vai một thanh tra y tế nhà nước để được tiếp cận nhà tù. Tất cả những gì chúng tôi cần sau đó là một tấm thẻ giả và danh phận thích hợp", chuyên gia bảo mật này chia sẻ.
Trên thực tế, chính mẹ anh là người đã tiếp cận và khơi gợi ra ý tưởng này.
"Một ngày, bà đã đến gần tôi và nói: 'Con biết đấy, mẹ muốn đột nhập vào một nơi nào đó'", Strand chia sẻ câu chuyện của mình tại hội nghị an ninh mạng RSA, vừa diễn ra ở San Francisco, Mỹ, tuần này. "Và đó là mẹ tôi mà, vậy tôi phải nói gì đây?"
Tấm thẻ nhân viên giả mạo được Strand tạo ra cho mẹ của mình.
Nhưng nói thì dễ hơn làm. Xâm nhập một cơ quan công quyền bình thường đã khó, chứ đừng nói đó là một nhà tù của chính phủ. Những người lạc quan có thể nói rằng bạn chỉ cần sự tự tin, nhưng khi thực sự đứng trước ánh mắt săm soi của những tay quản ngục với hàng chục năm kinh nghiệm, bạn mới biết thực sự việc nói dối khó tới mức nào.
Và công việc càng khó khăn hơn khi nhà tù này chính là đơn vị đã thuê bạn để tấn công vào hệ thống của họ. Công việc căng thẳng hơn rất nhiều. Hồi tháng 9 năm ngoái, từng có hai chuyên gia an ninh đã thử đột nhập vào một tòa án ở Iowa và đã phải ngồi tù 12 giờ sau khi bị phát hiện.
Với nhiệm vụ của Rita Strand, công việc cũng sẽ phức tạp hơn do bà thiếu chuyên môn kỹ thuật. Một người chuyên nghiệp sau khi xâm nhập có thể đánh giá sơ bộ về hệ thống an ninh kỹ thuật số của một tổ chức trong thời gian thực và đặt các "cửa hậu" phù hợp với những gì họ tìm thấy trên một hệ thống mạng cụ thể. Còn Rita chỉ đóng giả là một viên thanh tra y tế lạnh lùng và cũng chẳng có tí kinh nghiệm nào về việc làm một hacker.
Để giúp đưa mẹ mình lọt qua cửa kiểm tra, Strand đã làm cho bà một chiếc huy hiệu, danh thiếp và thẻ "người quản lý" với các thông tin liên hệ trên đó. Nếu lọt được vào bên trong, nhiệm vụ của Rita sẽ là chụp ảnh các điểm truy cập và các hệ thống bảo mật vật lý của cơ sở này. Thay vì để mẹ mình tự mày mò tìm cách cố gắng hack bất kỳ máy vi tính nào, John đã trang bị cho bà cái gọi là Rubber Duckies, một thanh USB chứa mã độc để bà có thể cắm vào mọi thiết bị có thể. Khi xâm nhập được vào hệ thống, thiết bị sẽ báo hiệu cho Strand và các đồng nghiệp, cấp cho họ quyền truy cập vào hệ thống an ninh của nhà tù. Sau đó, công việc còn lại hoàn toàn là vấn đề kỹ thuật và có thể làm từ xa.
"Đối với hầu hết mọi người, lần đầu tiên làm điều này khiến họ thực sự không thoải mái", Strand nói. "Nhưng mẹ tôi đã sẵn sàng để thực hiện. An ninh mạng trong nhà tù là rất quan trọng, ai cũng hiểu rõ. Nếu ai đó có thể đột nhập vào nhà tù và chiếm lấy hệ thống máy tính, việc đưa một tù nhân nào đó ra khỏi nhà tù là việc thực sự dễ dàng."
Hệ thống an ninh trong các nhà tù vô cùng nghiêm ngặt và khó tấn công.
Buổi sáng của ngày tiến hành nhiệm vụ, Strand và một số đồng nghiệp đã lái xe đến một quán cà phê gần nhà tù. Trong khi nhân viên của quán bận bịu làm đồ ăn, cả nhóm nhanh chóng thiết lập một "phòng chiến tranh thu nhỏ" gồm máy tính xách tay, thiết bị thu phát sóng di động và các thiết bị khác. Khi mọi thứ đã xong, bà Rita được lệnh tự mình lái xe đến nhà tù.
"Khi bà ấy bắt đầu, tôi bắt đầu nghĩ rằng đây là một ý tưởng thực sự tồi tệ", Strand nói. "Bà ấy không có kinh nghiệm làm việc này. Càng không có kinh nghiệm hack các thiết bị công nghệ. Tôi đã nói: 'Mẹ ơi, nếu mọi việc trở nên tồi tệ, chỉ cần nhấc điện thoại và gọi cho con ngay lập tức.'"
Những người xâm nhập hệ thống thường cố gắng ra vào cơ sở mục tiêu càng nhanh càng tốt để tránh gây nghi ngờ. Nhưng sau 45 phút chờ đợi, không có bất kỳ dấu hiệu nào của bà Rita.
"Đó là khoảng một giờ và tôi bắt đầu hoảng loạn," ông nói. "Tôi nghĩ rằng mình nên dự đoán trước về điều đó. Bởi vì tất cả chúng tôi đang ở đây nên tôi không có cách nào để đến với bà ấy."
Đột nhiên, máy tính xách tay của một đồng nghiệp bắt đầu nhấp nháy với tín hiệu hoạt động. Rita đã làm được điều đó. Ổ USB mà bà đã cài cắm đang tạo ra cái gọi là "webshell" -một dạng cửa hậu cho phép điều khiển và quản lý thiết bị từ xa. Nó cho phép nhóm tác chiến tại quán cà phê truy cập vào các máy tính và máy chủ khác nhau bên trong nhà tù. Strand nhớ rằng một đồng nghiệp đã hét lên: "Mẹ của bạn vẫn ổn!"
Trên thực tế, bà Rita đã không gặp phải khó khăn nào bên trong nhà tù. Người phụ nữ này đã nói với những người bảo vệ ở lối vào rằng cô đang tiến hành việc kiểm tra đột xuất. Họ đã không chỉ cho phép bà vào mà còn để Riba mang theo điện thoại di động, thứ sau đó đã ghi lại toàn bộ hoạt động. Trong nhà bếp của nhà tủ, Riba đã kiểm tra nhiệt độ trong tủ lạnh và tủ đông, giả vờ quét vi khuẩn trên sàn nhà và quầy nấu ăn, tìm kiếm xem thức ăn đã hết hạn hay chưa và chụp nhiều ảnh.
Sau đó bà Rita cũng yêu cầu được xem các khu vực làm việc của nhân viên và các khu vực quan trọng khác, bao gồm trung tâm điều hành mạng của nhà tù và thậm chí cả phòng máy chủ - nơi bà nói rằng nó cần kiểm tra để xem có sự xâm nhập của côn trùng, kiểm tra độ ẩm và nấm mốc. Không ai trong nhà tù dám từ chối. Bà thậm chí còn được phép đi lang thang trong nhà tù một mình, có rất nhiều thời gian để chụp ảnh và quan sát.
Khi kết thúc "cuộc kiểm tra", giám đốc nhà tù đã yêu cầu Rita đến thăm văn phòng của mình và nói chuyện với nhau về việc làm thế nào để cơ sở này có thể cải thiện các hoạt động dịch vụ liên quan tới vấn đề thực phẩm. Với kinh nghiệm nhiều năm trong ngành dịch vụ ăn uống, Rita đã đưa ra một số vấn đề mà mình quan tâm. Rồi bà đưa cho vị giám đốc chiếc USB đã được con trai mình "đặc biệt chuẩn bị". Bà nói rằng trong đó chứa một danh sách kiểm tra và tự đánh giá hữu ích, mà vị giám đốc có thể sử dụng để tiến hành xác định các vấn đề trước khi một nhóm thanh tra liên ngành xuất hiện.
Tài liệu Microsoft Word bên trong đã được cài cắm mã độc và khi vị giám đốc bấm vào, ông đã vô tình tạo một cửa hậu ngay trên máy tính của mình.
"Chúng tôi chỉ biết chết lặng khi nghe bà kể lại", Strand nói. "Đó là một thành công lớn. Và có rất nhiều điều cần làm liên quan tới những điểm yếu cơ bản trong hệ thống an ninh của đơn vị này. Ngay cả khi ai đó nói họ là người kiểm tra thang máy hay thanh tra y tế, hoặc bất cứ ai đến, cần phải làm tốt hơn việc đặt câu hỏi để xác định danh phận. Không được mù quáng giả định và tin tưởng bất cứ ai."
John Strand đã làm được một điều vô cùng điên rồ, cùng với mẹ của mình.
Những người đồng nghiệp khác của Strand, sau khi nghe được câu chuyện anh kể đã nhận được một bài học và trải nghiệm mạnh mẽ, về chính công việc hàng ngày của mình.
David Kennedy, người sáng lập công ty kiểm tra an ninh TrustedSec, sau khi nghe được phiên bản rút gọn về câu chuyện của Strand cho biết: "Nếu bạn tuyên bố mình là thanh tra viên, kiểm toán viên, hay một người có thẩm quyền, bất cứ điều gì đều có thể xảy ra."
Năm 2016, bà Rita Strand chết vì ung thư tuyến tụy. Người phụ nữ này đã không bao giờ có cơ hội được tiến hành một lần xâm nhập thứ hai của mình. Strand cũng từ chối cho biết nhà tù nào mà mẹ anh đã xâm nhập, tuy nhiên hé lộ rằng hiện tại nó đã bị đóng cửa. Và những nỗ lực của mẹ mình đã góp phần tạo ra một tác động nhỏ trong việc đó.
"Nhà tù đã cải thiện an ninh tốt hơn sau khi kết quả của bài thử nghiệm tấn công hệ thống được đưa ra", Strand nói. "Tôi cũng nghĩ rằng chương trình chăm sóc sức khỏe của họ cũng đã được cải thiện."
Tham khảo Wired