„Legalne włamanie”, które skończyło się w celi. Hrabstwo zapłaci 600 tys. dolarów niesłusznie aresztowanym pentesterom

W świecie cyberbezpieczeństwa istnieje pojęcie „Get out of jail free card”. To list autoryzacyjny, który pentesterzy (kontrolowani hakerzy) noszą przy sobie podczas fizycznych testów bezpieczeństwa.

Ma on gwarantować, iż w razie wpadki policja puści ich wolno. W 2019 roku w stanie Iowa ta karta nie zadziałała. Dwóch specjalistów trafiło za kratki, a sprawiedliwość odzyskali dopiero teraz, po 6 latach batalii.

Zlecenie jak każde inne

Gary DeMercurio i Justin Wynn, pracujący wówczas dla firmy Coalfire Labs, mieli jasne zadanie od Władzy Sądowniczej stanu Iowa: sprawdzić bezpieczeństwo budynków sądowych. Mieli na to umowę. Mieli pozwolenie na „ataki fizyczne”, w tym otwieranie zamków (lockpicking). W nocy 11 września 2019 roku weszli do sądu w hrabstwie Dallas (Iowa). Znaleźli otwarte drzwi, weszli, celowo uruchomili alarm i czekali na reakcję służb. To standardowa procedura – sprawdzasz, jak gwałtownie przyjedzie ochrona.

Szeryf mówi „nie”

Kiedy przyjechała policja, panowie pokazali dokumenty. Funkcjonariusze zweryfikowali je u władz stanowych i… atmosfera była luźna. Wymieniali się choćby anegdotami. Wtedy jednak na scenę wkroczył Chad Leonard, miejscowy szeryf. Stwierdził, iż budynek należy do hrabstwa, a nie do stanu, więc stanowe papiery go nie interesują, a on sam żadnej zgody nie wydawał. Efekt? Pentesterzy zostali aresztowani za włamanie trzeciego stopnia, spędzili 20 godzin w celi, a szeryf publicznie robił z nich kryminalistów, niszcząc ich reputację w branży.

Pół miliona dolarów za błędy biurokracji

Dziś, na kilka dni przed planowanym procesem cywilnym, hrabstwo Dallas zgodziło się zapłacić 600 000 dolarów odszkodowania, by zamknąć sprawę o bezprawne aresztowanie i zniesławienie. To gorzka wygrana – DeMercurio i Wynn stracili lata nerwów i musieli odbudowywać swoje nazwiska od zera (DeMercurio prowadzi teraz własną firmę, Kaiju Security).

Kto tu zawinił? Głos rozsądku

Choć łatwo zrobić z szeryfa czarny charakter (i słusznie, bo eskalacja była niepotrzebna), sprawa ma drugie dno, na które w komentarzach pod artykułem Ars Technica zwrócił uwagę jeden z czytelników, były pentester. Kluczem jest tu jurysdykcja. Zleceniodawca (Stan) wynajął hakerów do sprawdzenia budynku, którym zarządzał ktoś inny (Hrabstwo/Szeryf), prawdopodobnie nie informując zarządcy o planach.

„Większość z nas nie rusza się w teren na podstawie maila. Mamy podpisane autoryzacje, zweryfikowane przez prawników obu stron. (…) Ludzie, którzy ich wynajęli, nie dopełnili należytej staranności” – zauważa komentujący.

Wniosek na poniedziałek? choćby jeżeli masz „papier na włamanie”, upewnij się, iż podpisał go ten, kto trzyma klucze do budynku. W przeciwnym razie audyt bezpieczeństwa może zamienić się w bardzo drogi (dla podatnika) cyrk.

Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic

Jeśli artykuł „Legalne włamanie”, które skończyło się w celi. Hrabstwo zapłaci 600 tys. dolarów niesłusznie aresztowanym pentesterom nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.