Wie ein Sicherheitsforscher mit seiner Mutter in ein Gefängnis einbrach

Der Sicherheitsforscher John Strand wählte für seinen Penetrationstest in einem Gefängnis einen eher ungewöhnlichen Weg. Anstatt einen Hacker mit der Aufgabe zu betreuen, schickte er seine damals 58-jährige Mutter, Rita Strand, in die Einrichtung. Wie Wired berichtet, betrat sie das Gefängnis mit einem gefälschten Ausweis als Gesundheitsinspektorin. Da sie selbst keine Hackerin ist, konnte sie nicht selbst das System infiltrieren und ihr Sohn musste sich auf anderem Weg Zugang verschaffen. 

Daher sollte sie ihm Fotos der Sicherheitssysteme schicken und USB-Sticks mit Schadsoftware überall anstecken, wo sie einen passenden Port fand. Die Mitarbeiter von Strands Sicherheitsfirma sollten die USB-Sticks dann als Angriffspunkte nutzen, um in das Gefängnis-System zu gelangen. Während Rita Strand weiterhin als falsche Gesundheitsinspektorin die Fassade aufrecht erhalten sollte, saß Stands Team in einem nahe gelegenen Cafê und hackte sich in das System. "Gefängnissicherheit ist offensichtlich kritisch. Sollte jemand in ein Gefängnis einbrechen und die Computer-Systeme übernehmen können, wäre es sehr einfach jemand aus dem Gefängnis zu holen," so Strand.

Keine Erfahrung in der IT

Eine Stunde lang musste John Strand bangen, bis er ein Zeichen von seiner Mutter bekam. Auch wenn es Sicherheitsfirmen vertraglich erlaubt ist, bei ihren Kunden einzubrechen, könnte seine Mutter erwischt worden sein und so lange in einer Arrestzelle landen, bis der Fall aufgeklärt ist. Sie hatte jahrelang in der Lebensmittelindustrie gearbeitet und daher zwar Erfahrung mit Gesundheits-Inspektionen, jedoch war sie das erste Mal als Penetrationstesterin unterwegs. "Sie hat keine Erfahrung in der IT. Ich sagte ihr, wenn irgendetwas schief geht, muss sie sich ein Telefon schnappen und mich anrufen", so Strand. 

Tatsächlich war das Gegenteil der Fall: Rita Strand durfte das Gefängnis besonders gründlich inspizieren und den gesamten Vorgang mit ihrem Smartphone dokumentieren. Sie untersuchte neben der Küche auch Mitarbeiterräume und den Serverraum auf Insektenbefall und Schimmel. Anschließend überreichte sie dem Gefängnisdirektor einen USB-Stick, der ein Word-Dokument mit vermeintliches Check-Liste zur Gesundheitsinspektion. Im Word-Dokument befand sich ebenfalls Schadsoftware, die dem Team der Sicherheitsfirma Zugriff auf den Computer des Direktors ermöglichte. 

"Es gibt viel, was man hiervon mitnehmen kann über grundlegende Schwachstellen und wie wichtig es ist, höflich Autorität zu hinterfragen. Nur weil jemand behauptet, ein Fahrstuhl- oder Gesundheitsinspektor zu sein, müssen wir diesen Menschen bessere Fragen stellen und nicht einfach Dinge annehmen", erklärt Strand. Um welches Gefängnis es sich handelt, wollte Strand nicht sagen, allerdings habe man nach dem Test die Sicherheit deutlich erhöht: "Und ich glaube, ihre Gesundheitsstandards haben sich auch verbessert".