Поделиться
Тестировщики, нанятые для проверки ИБ, арестованы за попытку взлома
Сотрудники компании Coalfire, нанятой для проверки защищенности цифровых архивов суда американского города Даллас, попытались проникнуть в здание суда физически. Теперь их обвиняют во взломе; сами они утверждают, что действовали в рамках запланированных рабочих мероприятий.
Тест на проникновение, буквальный
Два профессионала в области кибербезопасности были арестованы в американском Далласе за попытку проникнуть в здание суда. Ирония ситуации заключается в том, что подозреваемые работают на компанию Coalfire, которую администрация того самого суда привлекла для проверки защищенности судебных архивов от кибератак.
Оба подозреваемых заявили, что произвели физическое вторжение в рамках задачи, поставленной перед ними работодателем. Их целью была проверка, насколько легко или наоборот сложно получить физический доступ к компьютерам, через которые осуществляется обращение к цифровым архивам.
Физические меры безопасности сработали как положено, но в итоге двое пентестеров оказались за решеткой. Теперь 29-летний Джастин Уинн (Justin Wynn) и 43-летний Гэри Демеркурио (Gary Demercurio) обвиняются во взломе третьей степени (наименее тяжкой) с использованием инструментов для совершения преступления. Обоим назначен залог в $50 тыс.
Головотяпство со взломом
Представители судебной администрации признали факт обращения к экспертам Coalfire, и что именно двое арестованных должны были непосредственно осуществлять тест на проникновение.
По имеющимся в открытом доступе данным, специалистов пригласили с тем, чтобы они проверили «самыми разнообразными способами» возможность несанкционированного доступа к электронным архивам суда. Однако, по словам чиновников, они и понятия не имели, что речь может идти и о физическом проникновении.
Что касается Coalfire, то в ее пресс-службе ограничились заявлением, что эксперты компании всегда работают в интересах клиента, и что никаких других комментариев по данной ситуации компания дать не может, поскольку ведется следствие.
Что сказано в договоре?
По мнению сторонних экспертов, ситуация выглядит, по меньшей мере, неоднозначно, и скорее всего, подробности о том, что на самом деле случилось, еще не стали публичным достоянием.
«”Этические хакеры” или пентестеры на то и этические, что не станут нарушать закон, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Физически вламываться без соответствующих санкций в здание суда? — Более нелепый способ оказаться под арестом еще надо придумать. Очевидно, речь идет о проблемах в коммуникации между Coalfire и представителями суда. К слову, проверка на возможность несанкционированного физического доступа к компьютерам — вполне может быть частью мероприятий в рамках пентеста. Вопрос в том, что было прописано в контракте — и как.
По мнению Мельниковой, вариант с «самодеятельностью» со стороны экспертов следует исключить полностью.
Короткая ссылка
