Los fiscales de Iowa retiran los cargos contra los hombres contratados para probar su seguridad – Krebs on Stability


El 11 de septiembre de 2019, dos expertos en seguridad de una compañía que había sido contratada por el estado de Iowa para probar la seguridad física y de red de su sistema judicial fueron arrestados mientras investigaban la seguridad de un tribunal del condado de Iowa, encarcelado en trajes de shade naranja, acusado de robo y retenido bajo fianza de $ 100,000. El jueves 30 de enero, los fiscales en Iowa anunciaron que habían retirado los cargos penales. La noticia llegó mientras KrebsOnSecurity estaba realizando una entrevista en movie con los dos acusados ​​(que se presentan a continuación).

El palacio de justicia en el condado de Dallas, Iowa. Imagen: Wikipedia.

Gary DeMercurio, 43 de Seattle, y Justin Wynn, 29 de Naples, Florida, son profesionales probadores de penetración empleado por Laboratorios de fuego de carbón, una firma de seguridad con sede en Westminster, Colorado. La Administración de la Corte del Estado de Iowa había contratado a la compañía para probar la seguridad de sus edificios judiciales.

Debajo los términos de su contrato (PDF), a DeMercurio y Wynn se les permitió suplantar al particular y a los contratistas, proporcionar falsas pretensiones para obtener acceso físico a las instalaciones, «trasladar» a los empleados a los edificios y acceder a áreas restringidas de esas instalaciones. El contrato decía que los hombres no podían intentar subvertir los sistemas de alarma, abrir puertas a la fuerza o acceder a áreas que requieren equipo de protección.

Cuando la prueba de seguridad del dúo el 11 de septiembre por la mañana en el juzgado del condado de Dallas, Iowa, activó una alarma de seguridad audible, siguieron el procedimiento y esperaron en el lugar a la policía. DeMercurio y Wynn dijeron que cuando los agentes del sheriff del condado llegaron a la escena unos minutos después, les dijeron a los oficiales quiénes eran y por qué estaban allí, y que habían obtenido la entrada a las instalaciones a través de una puerta abierta.

«Dijeron que encontraron la puerta de un juzgado abierta, así que la cerraron desde afuera y la dejaron cerrarse». Dan Goodin de Ars Technica escribió de la prueba en noviembre. “Luego deslizaron una tabla de cortar de plástico a través de una grieta en la puerta y manipularon su mecanismo de bloqueo. (Los Pentesters usan con frecuencia herramientas improvisadas o creadas por ellos mismos en sus embarcaciones para abrir pestillos, activar mecanismos de detección de movimiento y probar otros sistemas de seguridad). Los agentes parecían impresionados ”.

Para calmar las preocupaciones de que podrían ser ladrones, DeMercurio y Wynn produjeron una carta de autorización que detalla el trabajo para el que fueron contratados y enumera los nombres y números de teléfonos móviles de los empleados del estado de Iowa que podrían verificar su historia.

Después de contactar a algunos de los funcionarios de la corte que figuran en la carta, los diputados parecían satisfechos de que los hombres no fueran ladrones. Es decir, hasta Sheriff del condado de Dallas Chad Leonard apareció.

«Los pentesters ya habían dicho que usaban una herramienta para abrir la puerta principal», contó Goodin. “Leonard entendió que eso significaba que los hombres habían violado la restricción de forzar la apertura de puertas. Leonard también dijo que los hombres intentaron apagar la alarma, algo que los funcionarios de Coalfire niegan con vehemencia. En la mente de Leonard, esa fue una segunda violación. Otro motivo de duda: una de las personas que figuran como contacto en la carta para salir de la cárcel no respondió a las llamadas de los agentes, mientras que otro dijo que no creía que los hombres tuvieran permiso para realizar intrusiones físicas. . «

DeMercurio y Wynn fueron arrestados, encarcelados y retenidos durante casi 24 horas antes de ser liberados bajo una fianza de $ 100,000. Inicialmente, fueron acusados ​​de delito grave de robo en tercer grado y de poseer herramientas de robo, aunque esos cargos fueron degradados posteriormente a delitos menores.

Lo que inicialmente le pareció a Coalfire como un lapso momentáneo de juicio por parte de las autoridades de Iowa se transformó rápidamente en surrealista cuando los legisladores estatales celebraron audiencias cuestionando por qué y cómo alguien en el empleo del estado podría haber puesto en peligro tan imprudentemente la seguridad de sus ciudadanos.

DeMercurio y Wynn, menos los monos naranjas.

Los funcionarios del Poder Judicial en el condado de Dallas dijeron en respuesta a este interrogatorio que no esperaban que las pruebas de penetración física de Coalfire se realizaran fuera del horario comercial. La senadora estatal Amy Sinclair fue citada diciendo a sus colegas que «la contratación de una compañía externa para entrar en los juzgados en septiembre creó hazard un peligro significativo, no solo para los contratistas, sino también para la policía area y los miembros del público».

«Esencialmente, una rama del gobierno ha contratado a una empresa para cometer delitos, y eso es muy preocupante», se lamentó el estado de Iowa Senador Zach Whiting. «Quiero saber quién debe ser responsable de esto y cómo podemos hacer eso».

Esas fuertes palabras chocaron con una declaración conjunta publicada el jueves por Coalfire y Abogado del condado de Dallas Charles Sinnard:

«En última instancia, los intereses a largo plazo de la justicia y la protección del público no están mejor atendidos por el enjuiciamiento continuo de los cargos de intrusión», se lee en el comunicado. «Esos intereses son mejor atendidos por todas las partes que trabajan juntas para garantizar que haya una comunicación clara sobre las acciones que se tomarán para asegurar la información confidencial que mantiene la rama judicial, sin poner en peligro la vida o la propiedad de los ciudadanos de Iowa, la policía o las personas que realizan la prueba.

Matthew Linholm, un abogado que representa a DeMercurio y Wynn en el caso, dijo que el sistema de justicia deja de cumplir su función crucial y pierde credibilidad cuando las acusaciones penales se utilizan para avanzar en agendas personales o políticas.

«Tal práctica pone en peligro la administración efectiva de la justicia y nuestra confianza en el sistema de justicia penal», dijo Linholm El registro de Des Moines, cuales dio la noticia de los cargos retirados.

Si bien el caso contra los empleados de Coalfire ha reunido a muchos en la comunidad de seguridad cibernética en torno al acusado, no todos ven esta disputa en blanco y negro. Chris Nickerson, especialista en intrusión electronic y fundador de Consultoría LARES, dijo en una publicación de Twitter el jueves que «cuando una empresa nos pone en peligro debido a su mala planificación, educación de ventas fallida, gestión de proyectos inadecuada y gestión de contratos deplorable … No deberíamos celebrarlos». Deberíamos responsabilizarlos ”.

Cuando se le pidió que elaborara, Nickerson se refirió un podcast reciente que tocó los arrestos.

«Las cosas que me preocupan sobre esta situación son más de las piezas de seguridad que existen sobre cómo los instrumentos de la industria realizan este tipo de compromisos», dijo Nickerson. «Parecen muy, muy razonables y obvios una vez que se vuelven obvios, pero hasta entonces son completamente extraños para las personas».

«Realmente depende de los propietarios de la organización educar al cliente sobre esas posibles dificultades», continuó Nickerson. «Porque no hay un buen estándar. No todos nos hemos reunido e institucionalizado el conocimiento que tenemos en nuestras cabezas y lo volcamos en papel para que alguien que es nuevo en el campo que se encarga de esto pueda pasar y decir: &#39Oye, ¿les preguntaste si la ciudad vs . el estado vs . el dueño del edificio y la gente de bienes raíces … ¿están todas estas personas en el paso de la cerradura?

Fuego de carbón CEO Tom McAndrew Parecía abordar este punto en nuestra entrevista el jueves, diciendo que había dos aspectos únicos de este compromiso individual. Primero, aunque el cliente en este caso dijo que no quería que Coalfire informara a la policía neighborhood sobre el compromiso en curso antes de probar la seguridad física del sitio, quedó claro después del hecho de que los funcionarios estatales nunca hicieron eso por su cuenta.

Más importante aún, dijo McAndrew, había ambigüedad sobre quién era el dueño de los edificios que fueron contratados para probar.

«Si estás haciendo una prueba para el estado y entras al edificio y es el juzgado y estás haciendo una prueba para el sistema judicial, pensarías que tendrían jurisdicción o la poseerían, y eso resultó no es el caso en este escenario porque hay algunas cosas que posee el estado y otras que posee el condado, y eso period algo de lo que no estábamos al tanto cuando realizamos parte de este trabajo ”, dijo. «No entendimos los matices».

(incrustar) https://www.youtube.com/view?v=mYy3ZfpL4BE (/ incrustar)

Cuando se le preguntó qué había aprendido Coalfire de esta horrible experiencia, McAndrew dijo que es possible que su compañía insista en que las autoridades policiales locales, estatales e incluso federales sean informadas de antemano de cualquier prueba de penetración, al menos en lo que respecta a esos compromisos con entidades públicas.

«Cuando miramos los contratos y vemos quién está autorizado a hacer qué … normalmente, si un (jefe de seguridad) dice que pruebe estas direcciones IP, diríamos que está bien», dijo. «Pero estamos cuestionando desde una perspectiva legal en qué punto se necesita una revisión de asesoría legal».

McAndrew dijo que probablemente sea hora de que los expertos de varios rincones de la comunidad de pruebas de pluma colaboren para documentar las mejores prácticas que podrían ayudar a otros a evitar que se repita el escenario en el condado de Dallas.

«No hay un estándar en la industria», dijo. “Cuando se trata de este tipo de problemas en la formación de equipos rojos, los desafíos legales y los contratos, realmente no hay nada ahí afuera. Hay algunas cosas que no se pueden deshacer. Están las fotos policiales que están ahí fuera para siempre, pero incluso cuando retiremos los cargos, estos permanecerán permanentemente en la foundation de datos federal. Esto es algo permanente que residirá con ellos y no hay forma authorized de que sepamos para eliminar estos cargos de la foundation de datos federal «.

McAndrew dijo que, si bien sigue frustrado de que haya tardado tanto en resolver esta disputa, no cree que nadie involucrado haya actuado con intenciones maliciosas.

«No creo que haya gente mala», dijo. “Todos intentaban hacer lo correcto, desde la policía hasta el sheriff, los jueces y el condado, todos tenían las intenciones correctas. Pero no todos tenían necesariamente la información correcta, y posiblemente las personas tomaron decisiones en niveles que no estaban realmente autorizados a hacer. Normalmente esa no es nuestra decisión, pero creo que la gente debe pensar en eso «.


Etiquetas: Ars Technica, Chad Leonard, Chris Nickerson, Coalfire, Condado de Dallas, Fiscal del Condado de Dallas Charles Sinnard, Dan Goodin, Gary DeMercurio, Justin Wynn, Matthew Linholm, Senador Zach Whiting, Senador estatal Amy Sinclair, Tom McAndrew

Esta entrada fue publicada el viernes 31 de enero de 2020 a las 4:06 pm y está archivada bajo A Minor Sunshine.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia initial