I pubblici ministeri hanno ritirato le accuse penali di reato contro un paio di tester della penna etica arrestati mentre stavano valutando la sicurezza di un tribunale dell'Iowa. Ma i due uomini non sono ancora pronti ad andare avanti.
I dipendenti di Coalfire Gary DeMercurio, dirigente senior, e Justin Wynn, consulente senior per la sicurezza, hanno fatto pressioni mercoledì alla conferenza virtuale di Black Hat per una legge del Buon Samaritano che proteggesse i loro colleghi del settore dal tipo di azione giudiziaria troppo zelante che dicono di aver subito per circa cinque mesi, dopo che uno sceriffo locale li ha arrestati l'11 settembre 2019 per presunto furto con scasso di terzo grado. I due uomini hanno aperto una serratura alla porta del tribunale della contea di Dallas in Iowa ed sono entrati nella struttura, facendo scattare un allarme.
Demercurio e Wynn erano stati incaricati dall'amministrazione del tribunale dello Stato dell'Iowa per valutare la sicurezza informatica e fisica di vari edifici, ma alcuni funzionari della contea di Dallas hanno affermato che l'atto non era autorizzato perché la contea controlla effettivamente la proprietà del tribunale, ma non è mai stato notificato.
Le accuse sono state successivamente ritirate alla fine di gennaio 2020.
SC Media ha parlato con DeMercurio e Wynn prima della presentazione della conferenza.
Perché ora è il momento di raccontare la tua esperienza in un forum pubblico così importante?
Wynn: Questa è la prima volta che siamo stati in grado di rendere pubblica la storia. Durante tutto il tempo in cui gli eventi si sono svolti, ci è stato consigliato di rimanere in silenzio sul processo ei media hanno preso d'assalto le cose e non siamo mai stati in grado di diffondere la nostra storia. Quindi questa presentazione, è di 40 minuti ed è fondamentalmente solo un riassunto condensato degli eventi che si sono svolti in quei sei mesi. Alla fine concludiamo [con] dove vogliamo andare con l'industria e come vogliamo avere più protezione per le persone che fanno questo tipo di lavoro. E poi una sinossi delle azioni intraprese dal ramo giudiziario dell'Iowa in risposta a questo, che è stata una reazione istintiva – l'opposto di ciò che vogliamo che accada per i test di sicurezza proattivi.
Hai mai avuto un serio incontro con le forze dell'ordine prima di questo?
Wynn: Praticamente chiunque abbia svolto questo tipo di lavoro, a un certo punto ti imbatti nelle forze dell'ordine e di solito le interazioni sono: sospetto, sono curiosi del perché tu sia lì e poi passi attraverso il processo di convalida, il cliente ottiene l'ok e poi la polizia viene respinta e questo è quanto più o meno è andato per chiunque nel settore fino ad oggi. E per me e Gary, personalmente abbiamo avuto dischi perfettamente puliti. Non intendo assolutamente nulla che coinvolga le forze dell'ordine fino a questo punto.
C'erano componenti di sicurezza informatica e fisica in questa particolare assegnazione di sicurezza, giusto?
Wynn: Sì. Si trattava di un coinvolgimento del team rosso a tutto campo, quindi stavamo lavorando a quel progetto probabilmente per circa un mese prima e che include test di penetrazione della rete interna e esterna, penetrazione wireless, applicazione [sicurezza … Questa] era la parte di pentimento fisico di il test, ecco perché eravamo fuori … Una delle cose interessanti di questo era anche il fatto che avremmo dovuto fare il test di penetrazione della rete interna in seguito. Uno degli articoli [di notizie] ha rilevato il vento che abbiamo collegato un drone o un dispositivo in loco. Stavamo seguendo le regole di ingaggio. Volevano che venissimo sul posto, per vedere se potevamo intervenire e quindi installare quel dispositivo per il successivo test di penetrazione della rete interna. Quindi volevano davvero simulare un avversario nella vita reale: "Qualcuno può entrare nel nostro edificio, piantare un dispositivo di accesso remoto e poi da lì mostrarci cosa può fare? E in seguito faremo seguito al test di penetrazione interno. "
Sei stato incaricato di testare i beni giudiziari statali dall'amministrazione del tribunale statale, ma è stata la contea locale a perseguire questo caso dal punto di vista dell'accusa. Allora cosa è successo con la comunicazione tra questi due livelli di governo che non avrebbe potuto chiarire tutto in un giorno?
Wynn: Dal nostro punto di vista, avrebbe potuto essere. Si è trattato davvero di una controversia giurisdizionale. Quindi un'entità, la contea, voleva affermare la propria autorità e dire che questo è il tribunale della contea e lo stato non ha l'autorizzazione per condurre questo tipo di test per quella località. Quindi questo è davvero tutto ciò a cui è arrivato – ed è per questo che la controversia legale, ecco perché siamo stati trascinati in tutto, stavano cercando di risolverlo.
Ci siamo sentiti come se fossimo trattenuti come garanzia. Non c'era davvero bisogno che rimanessimo coinvolti in quel processo per cinque mesi. Voglio dire, è una specie di tra stato e paese o almeno tra Coalfire e chiunque sia coinvolto, ma non gli individui, non noi, i ragazzi che fanno solo il lavoro. [La contea ha deciso], "Anche se questo è un servizio gratuito per noi a beneficio della nostra comunità, dei nostri cittadini e del nostro tribunale, lo stato non dovrebbe pagare per questo genere di cose. Questo è il nostro terreno e quindi portali in prigione ". È così che lo guardo nei miei occhi.
La Corte Suprema entro la fine dell'anno esaminerà il Computer Fraud and Abuse Act per determinare se la violazione dei termini di servizio di un sistema o di un sito web costituisce un atto criminale se l'attore è stato altrimenti autorizzato ad accedervi. La comunità white-hat è preoccupata per la necessità di maggiori protezioni per garantire che i propri test etici e l'hacking siano considerati legali. Quali protezioni vorresti vedere istituite?
DeMercurio: La cosa su cui stiamo cercando di concentrarci è avere una legge del "buon samaritano" in atto. Quindi la legge del buon samaritano, per quanto riguarda la ricerca che abbiamo fatto e ciò che abbiamo attraversato, sostituirà qualsiasi termine di servizio in quanto si riferisce all'hacking etico.
Se sei un hacker etico – o forse un termine migliore sarebbe tester etico della penna – [e se] stai eseguendo un test della penna fisicamente o sei … ingegneria sociale o cosa hai, se stai eseguendo un prova in buona fede per un cliente che ti ha assunto e sei nell'ambito di ciò che dovresti fare o di ciò che credi di dover fare, quindi non dovresti avere ripercussioni …
Ma hai affrontato delle ripercussioni per le tue azioni.
DeMercurio: Ci è stato dato un ambito, abbiamo sentito di essere in quell'ambito … Più tardi lo stato ha ammesso che eravamo in ambito, ma prima di questo, per motivi personali o politici o per quello che hai, hanno cercato di lanciare noi sotto l'autobus e hanno cercato di dire che eravamo fuori portata – che non stavamo eseguendo la cosa che avremmo dovuto eseguire. Ma più tardi, dopo l'udienza giudiziaria, è venuto fuori tutto. Sì, in effetti, stavamo facendo esattamente quello che avremmo dovuto fare.
… [Ma] anche se facciamo passi falsi sull'ambito di applicazione a causa di una certa confusione o mancanza di termini o qualcosa che non è realmente disposto perfettamente, il consenso generale è che stiamo cercando di fare la cosa giusta e non dovremmo essere perseguiti come se siamo criminali, perché non lo siamo … Se stiamo facendo quello che dovremmo fare dopo aver parlato con il cliente, non dovrebbero essere in grado di tornare indietro e dire: “Beh, non è esattamente quello che avevamo in mente. Adesso proveremo a mandarti in prigione. Se sei completamente fuori campo e non stai facendo quello che dovresti fare, questa è una storia diversa.
Spiega un po 'di più su come la politica ha complicato questa faccenda.
DeMercurio: [Quando] inizi a entrare a livello di stato e contea, non solo hai le leggi e le disposizioni di cui parli, ma hai anche la politica che è coinvolta. E il fatto che [lo stato] abbia o meno l'autorità per far rispettare la sicurezza in quell'edificio [della contea] è diverso in Iowa da quanto lo sia in un altro stato. Che tu abbia o meno la possibilità di entrare in quell'edificio dopo mezzanotte, è stabilito dalla contea o dallo stato? In genere è impostato da chiunque assuma le persone all'interno di quell'edificio, che è ciò di cui eravamo convinti quando lo facevamo. Tuttavia, lo sceriffo non condivideva tale opinione e l'Iowa ha recentemente approvato una legge [secondo la quale] la contea possiede … la proprietà e [ha] il controllo dell'edificio. Ma questo ancora non risponde alla domanda su cosa fai per i dipendenti statali? … Non arresterebbero un giudice [statale] se fosse entrato per prendere un computer, quindi perché siamo stati arrestati? Quindi, di nuovo, hai tutte queste domande legali e non c'è risposta perché non è mai stato scritto nulla ed è qualcosa di completamente diverso da qualsiasi cosa sia mai accaduta.
Qual è stata la reazione dei tuoi colleghi del settore quando hanno seguito questo caso? Hai avuto il loro supporto?
Wynn: Penso che le persone di tutto il settore fossero molto preoccupate … Tornando alla legge del buon samaritano, voglio dire, se [un tester di penna] "dita grasse" un indirizzo IP e poi provi il client sbagliato, non vuoi andare in prigione per questo, né dovresti perché lo stai facendo in buona fede. Non stai cercando di entrare nelle altre organizzazioni, quindi penso che tutti siano molto preoccupati.
Abbiamo ricevuto un supporto assolutamente fenomenale dall'industria. La famiglia infosesc si è riunita e si è radunata per noi. Hanno organizzato AwarenessCon [un evento fisico e virtuale progettato per esporre le persone nella regione ai meriti di test offensivi con penne] in quella piccola città dell'Iowa dove siamo stati arrestati, e tutti sono stati molto proattivi nel contattarci e nell'offrire supporto attraverso tutto il tempo. Quindi è stato meraviglioso vedere che ci ha fatto sentire davvero parte della comunità.
Il post "Vogliamo avere più protezione": i tester di penna arrestati spingono per la legge del Buon Samaritano è apparso per primo su SC Media .