J
Jack Recider
Jack Recider: 本期节目邀请了物理渗透测试专家Deviant Ollam,分享了他三次成功入侵建筑物的案例。这些案例涵盖了多种入侵技巧,例如利用压缩空气触发运动传感器、伪装成维修人员、制作假证件等,也体现了社会工程在渗透测试中的重要作用。同时,节目也探讨了物理渗透测试的道德规范以及与锁匠工作的区别。
Deviant Ollam: 我从事物理渗透测试工作超过十年,积累了丰富的经验。在一次为客户恢复网络的过程中,我发现客户的办公室门存在安全漏洞,轻松打开,这促使我开始从事物理安全咨询工作。我的工作不仅包括锁具开启、保险箱操作等,还包括对隐蔽进入策略的教学。在Black Hat大会上,我进行的锁具开启培训也获得了成功,这标志着我的职业生涯正式开始。
在安全会议上,我已经做了300-400次关于物理渗透测试的演讲,其中关于电梯入侵的演讲尤为受欢迎。我的观察力非常敏锐,能够迅速识别建筑物中的安全漏洞。我经常在日常生活中观察和记录这些漏洞,并将其应用到我的工作中。
锁匠和物理渗透测试人员的技能虽然有重叠,但思维方式不同。锁匠更注重技能的保密,而物理渗透测试人员更注重知识的分享,因为测试的价值在于最终的报告和知识,而不是测试的成功与否。
Steven Olof: 我的工作是帮助客户识别和修复安全漏洞,我坚信分享知识的重要性。在物理渗透测试中,我们不仅要关注技术手段,更要关注人的因素,即社会工程。在与客户合作的过程中,我始终秉持着道德规范,在尽可能不造成损害的前提下完成测试。
我曾经在堪萨斯州一个小镇上进行过渗透测试,由于没有携带授权书,被一位经验丰富的保安识破。这次经历让我深刻认识到授权书的重要性,也让我明白,即使被抓,也要尝试从中学习。
在对一家关键基础设施公司进行渗透测试时,我们采用了多种策略,包括尾随车辆进入、伪装成工作人员、利用社会工程等。我们不仅成功地进入了敏感区域,还通过一系列行动引发了警报,最终成功完成了测试。这次测试也让我认识到,一个完善的安全体系应该采用纵深防御策略,而不是仅仅依靠单一的防线。
Deep Dive
This chapter recounts the audacious 2019 Antwerp diamond heist, where criminals bypassed state-of-the-art vault door security by drilling through a thick concrete wall. The heist highlights the vulnerability of seemingly impenetrable security measures and underscores the need for comprehensive security strategies.
- 2019 Antwerp diamond heist
- Criminals drilled through a six-foot concrete wall to access the vault
- Vault door security was bypassed
- The heist exposed vulnerabilities in traditional security measures
Shownotes Transcript