El 11 de septiembre de 2019, dos expertos en seguridad de una empresa que había sido contratada por el estado de Iowa para probar la seguridad física y de la red de su sistema judicial fueron arrestados mientras investigaban la seguridad de un tribunal del condado de Iowa, encarcelados con monos naranjas. acusado de robo y detenido con una fianza de $ 100,000. El jueves 30 de enero, los fiscales de Iowa anunciaron que habían retirado los cargos penales. La noticia llegó mientras KrebsOnSecurity realizaba una entrevista en video con los dos acusados (que se muestra a continuación).
El palacio de justicia en el condado de Dallas, Iowa. Imagen: Wikipedia.
gary demercurio, 43 de Seattle, y justin wynn, 29 de Naples, Florida, son profesionales probadores de penetración empleado por Laboratorios de fuego de carbón, una firma de seguridad con sede en Westminster, Colorado. La Administración del Tribunal del Estado de Iowa había contratado a la compañía para probar la seguridad de sus edificios judiciales.
under los términos de su contrato (PDF), a DeMercurio y Wynn se les permitió suplantar al personal y a los contratistas, proporcionar falsas pretensiones para obtener acceso físico a las instalaciones, "trasladar" a los empleados a los edificios y acceder a áreas restringidas de esas instalaciones. El contrato decía que los hombres no podían intentar subvertir los sistemas de alarma, abrir puertas a la fuerza o acceder a áreas que requieren equipo de protección.
Cuando la prueba de seguridad del dúo el 11 de septiembre por la mañana en el juzgado del condado de Dallas, Iowa, activó una alarma de seguridad audible, siguieron el procedimiento y esperaron en el lugar a la policía. DeMercurio y Wynn dijeron que cuando los agentes del sheriff del condado llegaron a la escena unos minutos después, les dijeron a los oficiales quiénes eran y por qué estaban allí, y que habían obtenido la entrada a las instalaciones a través de una puerta abierta.
"Dijeron que encontraron la puerta de un juzgado abierta, así que la cerraron desde afuera y la dejaron cerrarse". Y goodin de Ars Technica escribí de la prueba en noviembre. “Luego deslizaron una tabla de cortar de plástico a través de una grieta en la puerta y manipularon su mecanismo de bloqueo. (Los Pentesters usan con frecuencia herramientas improvisadas o creadas por ellos mismos en sus embarcaciones para abrir pestillos, activar mecanismos de detección de movimiento y probar otros sistemas de seguridad). Los agentes parecían impresionados ”.
Para calmar las preocupaciones de que podrían ser ladrones, DeMercurio y Wynn produjeron una carta de autorización que detalla el trabajo para el que fueron contratados y enumera los nombres y números de teléfonos móviles de los empleados del estado de Iowa que podrían verificar su historia.
Después de contactar a algunos de los funcionarios de la corte que figuran en la carta, los agentes parecían satisfechos de que los hombres no fueran ladrones. Es decir, hasta Sheriff del condado de Dallas Chad Leonard apareció.
"Los pentesters ya habían dicho que usaban una herramienta para abrir la puerta principal", contó Goodin. “Leonard entendió que eso significaba que los hombres habían violado la restricción de forzar la apertura de puertas. Leonard también dijo que los hombres intentaron apagar la alarma, algo que los funcionarios de Coalfire niegan con vehemencia. En la mente de Leonard, esa era una segunda violación. Otro motivo de duda: una de las personas que figuran como contacto en la carta para salir de la cárcel no respondió a las llamadas de los agentes, mientras que otro dijo que no creía que los hombres tuvieran permiso para realizar intrusiones físicas. . "
DeMercurio y Wynn fueron arrestados, encarcelados y retenidos durante casi 24 horas antes de ser liberados bajo una fianza de $ 100,000. Inicialmente, fueron acusados de delito grave de robo en tercer grado y de poseer herramientas de robo, aunque esos cargos fueron degradados posteriormente a delitos menores.
Lo que inicialmente le pareció a Coalfire como un lapso momentáneo de juicio por parte de las autoridades de Iowa se transformó rápidamente en surrealista cuando los legisladores estatales celebraron audiencias cuestionando por qué y cómo alguien en el empleo del estado podría haber puesto en peligro tan imprudentemente la seguridad de sus ciudadanos.
DeMercurio y Wynn, menos los monos naranjas.
Los funcionarios de la rama judicial en el condado de Dallas dijeron en respuesta a este interrogatorio que no esperaban que las pruebas de penetración física de Coalfire se llevaran a cabo fuera del horario comercial. La senadora estatal Amy Sinclair fue citada diciendo a sus colegas que "la contratación de una compañía externa para entrar en los juzgados en septiembre creó 'un peligro significativo, no solo para los contratistas, sino también para la policía local y los miembros del público'".
"Esencialmente, una rama del gobierno ha contratado a una empresa para cometer delitos, y eso es muy preocupante", se lamentó el estado de Iowa Senador Zach Whiting. "Quiero saber quién debe ser responsable de esto y cómo podemos hacer eso".
Esas fuertes palabras chocaron con una declaración conjunta publicada el jueves por Coalfire y Abogado del condado de Dallas Charles Sinnard:
"En última instancia, los intereses a largo plazo de la justicia y la protección del público no están mejor atendidos por el enjuiciamiento continuo de los cargos de intrusión", se lee en el comunicado. "Esos intereses son mejor atendidos por todas las partes que trabajan juntas para garantizar que haya una comunicación clara sobre las acciones que se tomarán para asegurar la información confidencial que mantiene la rama judicial, sin poner en peligro la vida o la propiedad de los ciudadanos de Iowa, la policía o las personas que realizan la prueba.
Mateo Linholm, un abogado que representa a DeMercurio y Wynn en el caso, dijo que el sistema de justicia deja de cumplir su función crucial y pierde credibilidad cuando las acusaciones penales se utilizan para avanzar en agendas personales o políticas.
"Tal práctica pone en peligro la administración efectiva de la justicia y nuestra confianza en el sistema de justicia penal", dijo Linholm El registro de Des Moines, cual dio la noticia de los cargos retirados.
Si bien el caso contra los empleados de Coalfire ha reunido a muchos en la comunidad de ciberseguridad alrededor del acusado, no todos ven esta disputa en blanco y negro. Chris Nickerson, especialista en intrusión digital y fundador de Consultoría LARESdijo en una publicación de Twitter el jueves que "cuando una empresa nos pone en peligro debido a su mala planificación, educación de ventas fallida, gestión de proyectos inadecuada y gestión de contratos deplorables ... No debemos celebrarlos. Deberíamos responsabilizarlos ”.
Cuando se le pidió que elaborara, Nickerson se refirió un podcast reciente que tocó los arrestos.
"Las cosas que me preocupan sobre esta situación son más de las piezas de seguridad que existen sobre cómo los instrumentos de la industria realizan este tipo de compromisos", dijo Nickerson. "Parecen muy, muy razonables y obvios una vez que se vuelven obvios, pero hasta entonces son completamente extraños para las personas".
"Realmente depende de los propietarios de la organización educar al cliente sobre esas posibles dificultades", continuó Nickerson. “Porque no hay un buen estándar. No todos nos hemos reunido e institucionalizado el conocimiento que tenemos en nuestras cabezas y lo volcamos en papel para que alguien que es nuevo en el campo que se encarga de esto pueda pasar y decir: 'Oye, ¿les preguntaste si la ciudad versus el estado versus el dueño del edificio y la gente de bienes raíces ... ¿están todas estas personas en el paso de la cerradura?
Fuego de carbón Director ejecutivo Tom McAndrew Parecía abordar este punto en nuestra entrevista el jueves, diciendo que había dos aspectos únicos de este compromiso particular. Primero, aunque el cliente en este caso dijo que no quería que Coalfire informara a la policía local sobre el compromiso en curso antes de probar la seguridad física del sitio, quedó claro después del hecho de que los funcionarios estatales nunca hicieron eso por su cuenta.
Más importante aún, dijo McAndrew, había ambigüedad sobre quién era el dueño de los edificios que fueron contratados para probar.
“Si estás haciendo una prueba para el estado y entras al edificio y es el juzgado y estás haciendo una prueba para el sistema judicial, pensarías que tendrían jurisdicción o la poseerían, y eso resultó no es el caso en este escenario porque hay algunas cosas que posee el estado y otras que posee el condado, y eso era algo de lo que no estábamos al tanto cuando realizamos parte de este trabajo ”, dijo. "No entendimos los matices".
Cuando se le preguntó qué aprendió Coalfire de esta terrible experiencia, McAndrew dijo que es probable que su compañía insista en que las autoridades locales, estatales e incluso federales sean informadas antes de cualquier prueba de penetración, al menos en la medida en que esos compromisos se relacionen con entidades públicas.
"Cuando miramos los contratos y vemos quién está autorizado a hacer qué ... típicamente, si un [jefe de seguridad] dice que pruebe estas direcciones IP, diríamos que está bien", dijo. "Pero estamos cuestionando desde una perspectiva legal en qué punto se necesita una revisión de asesoría legal".
McAndrew dijo que probablemente es hora de que los expertos de varios rincones de la comunidad de pruebas de pluma colaboren para documentar las mejores prácticas que podrían ayudar a otros a evitar que se repita el escenario en el condado de Dallas.
"No hay un estándar en la industria", dijo. “Cuando se trata de este tipo de problemas en la formación de equipos rojos, los desafíos legales y los contratos, realmente no hay nada ahí afuera. Hay algunas cosas que no se pueden deshacer. Están las fotos policiales que están ahí fuera para siempre, pero incluso cuando retiremos los cargos, estos permanecerán permanentemente en la base de datos federal. Esto es algo permanente que residirá con ellos y no hay forma legal de que sepamos que estos cargos se eliminen de la base de datos federal ".
McAndrew dijo que si bien sigue frustrado por el hecho de que tomó tanto tiempo resolver esta disputa, no cree que nadie involucrado haya actuado con intenciones maliciosas.
"No creo que haya gente mala", dijo. “Todos intentaban hacer lo correcto, desde la policía hasta el sheriff, los jueces y el condado, todos tenían las intenciones correctas. Pero no necesariamente todos tenían la información correcta, y posiblemente las personas tomaron decisiones a niveles que no estaban realmente autorizados a hacer. Normalmente, ese no es realmente nuestro llamado, pero creo que la gente debe pensar en eso ”.
Tags: Ars Technica, chad leonard, Chris Nickerson, Fuego de carbón, Condado de Dallas, Abogado del condado de Dallas Charles Sinnard, Y goodin, gary demercurio, justin wynn, Mateo Linholm, Senador Zach Whiting, La senadora estatal Amy Sinclair, Tom McAndrew
