Тестировщиков, нанятых американским судом для проверки систем защиты, арестовали за взлом

    Информационная безопасность — неотъемлемая часть большинства организаций, как коммерческих, так и государственных. И первые, и вторые порой вынуждены нанимать экспертов по кибербезопасности для того, чтобы они находили и ликвидировали дыры в защите.

    Именно такой метод проверки своей ИТ-инфраструктуры избрал американский суд Далласа. Представители суда наняли сотрудников компании Coalfire. Но спустя некоторое время нанятых экспертов арестовали при попытке физического проникновения в здание суда.

    Подозреваемые заявили, что их целью была проверка возможности физического вторжения, поскольку это было важно для решения задачи, поставленной нанимателем. Эксперты хотели проверить, насколько легко или сложно получить физический доступ к ПК, при помощи которого суд ищет цифровые архивы в специальной базе.

    Как оказалось, меры безопасности работают как нужно, во всяком случае, обоих специалистов поймали после того, как сработали сигнальные системы. После ареста кибербезопасников обвинили во взломе третьей степени с использованием специализированных инструментов для совершения преступления. Возможен залог в $50 тыс.

    Интересным нюансом в этой истории является свидетельство представителей суда — они заявили, что действительно обратились к экспертам, кроме того, поручили им провести тесты на проникновение. Материалы дела содержат момент, где специалистов просят проверить возможность доступа к архивам «различными методами». Вполне может быть, что стороны просто недопоняли друг друга, поскольку представители суда и предположить не могли, что кибербезопасники станут тестировать и метод физического проникновения.


    Руководство Coalfire сообщили, что никаких комментариев, кроме того, что представители компании всегда работают в интересах клиентов, дать не могут. Пресс-секретарь компании также заявил, что за свою историю компания провела сотни проверок для правительственных организаций, при этом ее сотрудники всегда действовали по инструкциям, которые давали заказчики.

    По словам представителей сферы информационной безопасности, скорее всего, дело все же в недопонимании. Поскольку по своей инициативе, без договоренности, со злым умыслом представители ИБ-компании вряд ли бы стали пытаться забраться в здание суда. Они прекрасно понимали, что это нарушение закона и их накажут. Поэтому необходимо внимательно изучить нюансы контракта и проанализировать всю доступную по этому вопросу информацию.

    Суд состоится 23 сентября.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 16

      +6

      Может они так тестируют, нет ли какой уязвимости, чтобы задержанные смогли избежать приговора.

        +9

        А потом будут тестировать можно ли сбежать из тюрьмы? :)

          0
          Я это уже видел в каком-то фильме…
        0
        Скорее всего у компании должны быть внутренние документы, где прописаны меры, которые компания будет проводить для нахождения уязвимостей и они должны быть согласованы на высшем уровне.
          +4
          поскольку представители суда и предположить не могли

          Они и не должны предполагать ничего.
          Если они будут предполагать возможные и не возможные способы тестирования — самое тестирование теряет смысл. И в целом практика физического проникновения неразрывно связана с примерами киберпреступлений.
            +4
            Нет документов — сами виноваты. Всегда пентестеры требуют расписку, что фирма заказала конкретно такой взлом и снимает с пентестеров ответственность. А «различными методами» это пустая формулировка, они б ещё заложников захватили, тоже метод.
              +1

              Тем не менее эту пустую формулировку подписали, причём не абы кто, а сам суд.
              Так что либо суд расформировывать за проф непригодность, либо тестеров отпускать.

                +1
                Пока неизвестно, что им конкретно «подписали». Есть только заявление суда:
                The company was asked to attempt unauthorized access to court records through various means to learn of any potential vulnerabilities. SCA did not intend, or anticipate, those efforts to include the forced entry into a building.

                Более того, охраной здания занимается полиция, так что чиновники суда при всём желании не могли подписать согласие на физический взлом. Кроме того, перевод неточен: полиция выдвинула также отдельным пунктом обвинение в хранение незаконных орудий взлома, что хоть с бумажкой, хоть без бумажки, похоже — статья, даже если пункт про взлом удастся снять.

                И ещё раз хочу пояснить — расписка (waiver) это конкретный документ, где юридическим языком описано в деталях, что конкретно будет тестироваться, и за что заказчик снимает ответственность с тестеров. Это не контракт, который с ними заключили с размытой формулировкой, это отдельный документ. И любые размытые формулировки в нём будут считаться null and void, а не трактоваться в пользу тестеров.
              +1
              Этот процесс будет иметь ещё большее значение для программ Bug Bounty.
              Сейчас в их правилах прописано, что багхантер освобождается от ответственности за взлом или попытку взлома, если в итоге расскажет фирме о найденной уязвимости.
              Для взломщиков это означает, что если попался — то можно сказать, что собирался всё расссказать, и остаться на свободе. А если не попался, то можно ничего не рассказывать :)
              И вот если физическое проникновение в офис гугла или фб можно подвести под формулировку их Bug Bounty, то их охранников ждёт много весёлых ночей…
                0
                В описаниях Bug Bounty явно пишут, что чем считается. Никаких там «различными способами» нет. И платить кучу денег за «взлом» посредством применения паяльно-ректального криптоанализа к сотруднику никто в здравом уме не будет.
                Другое дело, что пыонэров, читающих новости вмето условий Bug Bounty и законов, может и прибавиться, да.
              +1

              Вероятнее всего, "процесс" не состоится, на первом же слушании, когда защита представит motion to dismiss, всё и закончится.

                +2
                Помоему, в данном случае две структуры одной организации действовали отдельно, одна проверила другую, вторая отработала хорошо. Договор есть, всё будет хорошо с судом.
                Просто кликбейт и хайп.
                  +2

                  Второй этап тестирования безопасности-проникнуть в систему и поменять решение на оправдательное

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое