ペネトレーションテスト携帯電話
顧客から、従業員の電話で侵入テストを実施するように依頼されました。ターゲットは電話のテキストメッセージです。テキストメッセージは、セキュリティ上の理由からSIMに保存されます。電話への物理的なアクセスは、電話の電源がオフになっている場合にのみ許可されます。お客様から、どのようなアプローチを取るかを尋ねられました。
私は次のことを思いついたが、満足できるものは何もない。
カードのクローンを1000回作成し、ピンコードをブルートフォースすることで、電話の電源を入れたときに尋ねられるピンコードを破ります。 3回試行した後、最初のカードがロックされた場合、2番目のカードを続行できるという考えです。このようにして、ピンをブルートフォースする可能性が高くなります。
最初の質問:これは良い考えですか、それともこのアプローチに欠陥がありますか?
2番目の質問:より良い/より簡単/より安いアプローチを教えていただけますか?
ブルートフォース攻撃では、いくつかの質問が思い浮かびます。
- PINの長さはどれくらいですか
- タイムアウトの長さはどれくらいですか
さて、実際に電話に侵入しようとすると、まずスクリーンプロテクターの摩耗、汚れ、またはキーパッドの摩耗(具体的には数字)を探します。従業員のデスクとの照合が許可されている場合は、重要な日付(誕生日と記念日)と思われるものが記された、書き留めたパスワードやカレンダーを探します。また、コンピューターのキーボードのキーパッドの摩耗を見ることは、彼らのPINが何であるか、つまり、人間が複数のシステムに対して複数のパスワードを持ちたくないためです。