„Legalne włamanie”, które skończyło się w celi. Hrabstwo zapłaci 600 tys. dolarów niesłusznie aresztowanym pentesterom
W świecie cyberbezpieczeństwa istnieje pojęcie „Get out of jail free card”. To list autoryzacyjny, który pentesterzy (kontrolowani hakerzy) noszą przy sobie podczas fizycznych testów bezpieczeństwa.
Ma on gwarantować, że w razie wpadki policja puści ich wolno. W 2019 roku w stanie Iowa ta karta nie zadziałała. Dwóch specjalistów trafiło za kratki, a sprawiedliwość odzyskali dopiero teraz, po 6 latach batalii.
Zlecenie jak każde inne
Gary DeMercurio i Justin Wynn, pracujący wówczas dla firmy Coalfire Labs, mieli jasne zadanie od Władzy Sądowniczej stanu Iowa: sprawdzić bezpieczeństwo budynków sądowych. Mieli na to umowę. Mieli pozwolenie na „ataki fizyczne”, w tym otwieranie zamków (lockpicking). W nocy 11 września 2019 roku weszli do sądu w hrabstwie Dallas (Iowa). Znaleźli otwarte drzwi, weszli, celowo uruchomili alarm i czekali na reakcję służb. To standardowa procedura – sprawdzasz, jak szybko przyjedzie ochrona.
Szeryf mówi „nie”
Kiedy przyjechała policja, panowie pokazali dokumenty. Funkcjonariusze zweryfikowali je u władz stanowych i… atmosfera była luźna. Wymieniali się nawet anegdotami. Wtedy jednak na scenę wkroczył Chad Leonard, miejscowy szeryf. Stwierdził, że budynek należy do hrabstwa, a nie do stanu, więc stanowe papiery go nie interesują, a on sam żadnej zgody nie wydawał. Efekt? Pentesterzy zostali aresztowani za włamanie trzeciego stopnia, spędzili 20 godzin w celi, a szeryf publicznie robił z nich kryminalistów, niszcząc ich reputację w branży.
Pół miliona dolarów za błędy biurokracji
Dziś, na kilka dni przed planowanym procesem cywilnym, hrabstwo Dallas zgodziło się zapłacić 600 000 dolarów odszkodowania, by zamknąć sprawę o bezprawne aresztowanie i zniesławienie. To gorzka wygrana – DeMercurio i Wynn stracili lata nerwów i musieli odbudowywać swoje nazwiska od zera (DeMercurio prowadzi teraz własną firmę, Kaiju Security).
Kto tu zawinił? Głos rozsądku
Choć łatwo zrobić z szeryfa czarny charakter (i słusznie, bo eskalacja była niepotrzebna), sprawa ma drugie dno, na które w komentarzach pod artykułem Ars Technica zwrócił uwagę jeden z czytelników, były pentester. Kluczem jest tu jurysdykcja. Zleceniodawca (Stan) wynajął hakerów do sprawdzenia budynku, którym zarządzał ktoś inny (Hrabstwo/Szeryf), prawdopodobnie nie informując zarządcy o planach.
„Większość z nas nie rusza się w teren na podstawie maila. Mamy podpisane autoryzacje, zweryfikowane przez prawników obu stron. (…) Ludzie, którzy ich wynajęli, nie dopełnili należytej staranności” – zauważa komentujący.
Wniosek na poniedziałek? Nawet jeśli masz „papier na włamanie”, upewnij się, że podpisał go ten, kto trzyma klucze do budynku. W przeciwnym razie audyt bezpieczeństwa może zamienić się w bardzo drogi (dla podatnika) cyrk.
Historyczny cyberatak: chińscy hakerzy użyli AI do autonomicznego włamania. Mamy raport Anthropic
