Именно такой метод проверки своей ИТ-инфраструктуры избрал американский суд Далласа. Представители суда наняли сотрудников компании Coalfire. Но спустя некоторое время нанятых экспертов арестовали при попытке физического проникновения в здание суда.
Подозреваемые заявили, что их целью была проверка возможности физического вторжения, поскольку это было важно для решения задачи, поставленной нанимателем. Эксперты хотели проверить, насколько легко или сложно получить физический доступ к ПК, при помощи которого суд ищет цифровые архивы в специальной базе.
Как оказалось, меры безопасности работают как нужно, во всяком случае, обоих специалистов поймали после того, как сработали сигнальные системы. После ареста кибербезопасников обвинили во взломе третьей степени с использованием специализированных инструментов для совершения преступления. Возможен залог в $50 тыс.
Интересным нюансом в этой истории является свидетельство представителей суда — они заявили, что действительно обратились к экспертам, кроме того, поручили им провести тесты на проникновение. Материалы дела содержат момент, где специалистов просят проверить возможность доступа к архивам «различными методами». Вполне может быть, что стороны просто недопоняли друг друга, поскольку представители суда и предположить не могли, что кибербезопасники станут тестировать и метод физического проникновения.
Руководство Coalfire сообщили, что никаких комментариев, кроме того, что представители компании всегда работают в интересах клиентов, дать не могут. Пресс-секретарь компании также заявил, что за свою историю компания провела сотни проверок для правительственных организаций, при этом ее сотрудники всегда действовали по инструкциям, которые давали заказчики.
По словам представителей сферы информационной безопасности, скорее всего, дело все же в недопонимании. Поскольку по своей инициативе, без договоренности, со злым умыслом представители ИБ-компании вряд ли бы стали пытаться забраться в здание суда. Они прекрасно понимали, что это нарушение закона и их накажут. Поэтому необходимо внимательно изучить нюансы контракта и проанализировать всю доступную по этому вопросу информацию.
Суд состоится 23 сентября.
Комментарии (16)
tmin10
16.09.2019 20:35Скорее всего у компании должны быть внутренние документы, где прописаны меры, которые компания будет проводить для нахождения уязвимостей и они должны быть согласованы на высшем уровне.
AllexIn
16.09.2019 21:51+3поскольку представители суда и предположить не могли
Они и не должны предполагать ничего.
Если они будут предполагать возможные и не возможные способы тестирования — самое тестирование теряет смысл. И в целом практика физического проникновения неразрывно связана с примерами киберпреступлений.
VitalKoshalew
16.09.2019 22:12+3Нет документов — сами виноваты. Всегда пентестеры требуют расписку, что фирма заказала конкретно такой взлом и снимает с пентестеров ответственность. А «различными методами» это пустая формулировка, они б ещё заложников захватили, тоже метод.
keydon2
17.09.2019 08:56+1Тем не менее эту пустую формулировку подписали, причём не абы кто, а сам суд.
Так что либо суд расформировывать за проф непригодность, либо тестеров отпускать.VitalKoshalew
17.09.2019 20:12Пока неизвестно, что им конкретно «подписали». Есть только заявление суда:
The company was asked to attempt unauthorized access to court records through various means to learn of any potential vulnerabilities. SCA did not intend, or anticipate, those efforts to include the forced entry into a building.
Более того, охраной здания занимается полиция, так что чиновники суда при всём желании не могли подписать согласие на физический взлом. Кроме того, перевод неточен: полиция выдвинула также отдельным пунктом обвинение в хранение незаконных орудий взлома, что хоть с бумажкой, хоть без бумажки, похоже — статья, даже если пункт про взлом удастся снять.
И ещё раз хочу пояснить — расписка (waiver) это конкретный документ, где юридическим языком описано в деталях, что конкретно будет тестироваться, и за что заказчик снимает ответственность с тестеров. Это не контракт, который с ними заключили с размытой формулировкой, это отдельный документ. И любые размытые формулировки в нём будут считаться null and void, а не трактоваться в пользу тестеров.
tyomitch
16.09.2019 22:49Этот процесс будет иметь ещё большее значение для программ Bug Bounty.
Сейчас в их правилах прописано, что багхантер освобождается от ответственности за взлом или попытку взлома, если в итоге расскажет фирме о найденной уязвимости.
Для взломщиков это означает, что если попался — то можно сказать, что собирался всё расссказать, и остаться на свободе. А если не попался, то можно ничего не рассказывать :)
И вот если физическое проникновение в офис гугла или фб можно подвести под формулировку их Bug Bounty, то их охранников ждёт много весёлых ночей…mickvav
17.09.2019 00:19В описаниях Bug Bounty явно пишут, что чем считается. Никаких там «различными способами» нет. И платить кучу денег за «взлом» посредством применения паяльно-ректального криптоанализа к сотруднику никто в здравом уме не будет.
Другое дело, что пыонэров, читающих новости вмето условий Bug Bounty и законов, может и прибавиться, да.
Moskus
17.09.2019 04:05Вероятнее всего, "процесс" не состоится, на первом же слушании, когда защита представит motion to dismiss, всё и закончится.
zartarn
17.09.2019 08:57+1Помоему, в данном случае две структуры одной организации действовали отдельно, одна проверила другую, вторая отработала хорошо. Договор есть, всё будет хорошо с судом.
Просто кликбейт и хайп.
v1000
17.09.2019 10:45Второй этап тестирования безопасности-проникнуть в систему и поменять решение на оправдательное
funca
Может они так тестируют, нет ли какой уязвимости, чтобы задержанные смогли избежать приговора.
Kanut
А потом будут тестировать можно ли сбежать из тюрьмы? :)
Sarymian
Я это уже видел в каком-то фильме…