John Strand invade as coisas para viver. Como testador de penetração, ele é contratado por organizações para atacar suas defesas, ajudando a revelar pontos fracos antes que os bandidos reais os encontrem. Normalmente, Strand embarca nessas missões ou envia um de seus colegas experientes da Black Hills Information Security. Mas em julho de 2014, preparando-se para um teste em uma instalação correcional de Dakota do Sul, ele adotou uma abordagem decididamente diferente. Ele enviou a mãe dele.
Para ser justo, foi idéia de Rita Strand. Aos 58 anos, ela havia se contratado como diretora financeira da Black Hills no ano anterior, após três décadas na indústria de serviços de alimentação. Ela estava confiante, dada a experiência profissional, que poderia ser uma inspetora de saúde do estado para obter acesso à prisão. Só era preciso um crachá falso e o padrão certo.
“Ela me abordou um dia e disse: ‘Sabe, eu quero entrar em algum lugar”, diz Strand, que está compartilhando a experiência esta semana na conferência de segurança cibernética da RSA em San Francisco. “E é minha mãe, então o que devo dizer?”
Não é uma ligação tão fácil quanto parece. Os testadores de penetração sempre dizem que você pode chegar incrivelmente longe com apenas uma prancheta e um pouco de confiança, mas uma corrida iniciante em uma instituição correcional estadual é simplesmente assustadora. E, embora os testadores com caneta tenham permissão contratual para invadir os sistemas de um cliente, se eles forem pegos, as tensões poderão aumentar rapidamente. Dois testadores de caneta que invadiram um tribunal de Iowa como parte de seu trabalho recentemente passaram 12 horas na cadeia depois de um confronto com as autoridades locais.
A missão de Rita Strand também seria complicada por sua falta de conhecimento técnico. Um testador de caneta profissional seria capaz de avaliar a segurança digital de uma organização em tempo real e instalar portas traseiras personalizadas para o que encontraram na rede específica. Rita tinha o inspetor de saúde disfarçado, mas ela não era hacker.
Para ajudá-la a entrar, Black Hills fez um crachá falso para Rita, um cartão de visita e um cartão de “gerente” com as informações de contato de John. Supondo que ela entrou, ela tiraria fotos dos pontos de acesso da instalação e dos recursos de segurança física. Em vez de fazê-la tentar invadir computadores, John equipou Rita com os chamados patinhos de borracha, pen drives USB maliciosos que ela conectaria a todos os dispositivos possíveis. Os pen drives refletiam seus colegas de Black Hills e lhes davam acesso aos sistemas da prisão. Depois, eles poderiam trabalhar remotamente no lado digital do teste com caneta, enquanto Rita continuava violenta.
“Para a maioria das pessoas, nas primeiras vezes em que fazem isso, ficam realmente desconfortáveis”, diz Strand. “Mas ela estava pronta para ir. A segurança cibernética da prisão é crucial por razões óbvias. Se alguém pode invadir a prisão e assumir o controle de sistemas de computadores, torna-se muito fácil tirar alguém da prisão”.
Na manhã do teste, os Strands e alguns colegas foram para um café perto da prisão. Sobre um rolo preparatório de caramelo e uma fatia de torta de nozes, eles montaram uma sala de guerra com laptops, pontos de acesso móveis e outros equipamentos. Quando tudo estava arrumado, Rita foi sozinha para a prisão.
“Ela decola e estou pensando na parte de trás da cabeça que essa é uma péssima idéia”, diz Strand. “Ela não tem experiência com testes de caneta. Nenhuma experiência com hackers de TI. Eu disse: ‘Mãe, se isso ficar ruim, você precisa atender o telefone e me ligar imediatamente'”.
Os testadores de caneta geralmente tentam entrar e sair de uma instalação o mais rápido possível para evitar levantar suspeitas. Mas, após 45 minutos de espera, não havia sinal de Rita.
“Demora cerca de uma hora e estou em pânico”, diz ele. “E eu acho que deveria ter pensado nisso, porque todos nós fomos no mesmo carro, então eu estou no meio do nada em uma loja de tortas sem maneira de chegar até ela”.
