Am 11. September 2019 wurden zwei Sicherheitsexperten eines Unternehmens, das vom Staat Iowa beauftragt worden war, die physische und Netzwerksicherheit seines Justizsystems zu testen, festgenommen, als sie die Sicherheit eines Gerichtsgebäudes des Bezirks Iowa untersuchten, inhaftiert in orangefarbenen Overalls. wegen Einbruchs angeklagt und gegen eine Kaution von 100,000 Dollar festgehalten. Am Donnerstag, dem 30. Januar, gaben die Staatsanwälte in Iowa bekannt, dass sie die Anklage fallen ließen. Die Nachricht kam, während KrebsOnSecurity ein Videointerview mit den beiden Angeklagten führte (siehe unten).
Das Gerichtsgebäude in Dallas County, Iowa. Bild: Wikipedia.
Gary DeMercurio, 43 von Seattle und Justin Wynn, 29 aus Naples, Florida, sind beide Profis Penetrationstester angestellt bei Kohlefeuerlabore, eine Sicherheitsfirma mit Sitz in Westminster, Colorado, hatte die Staatsgerichtsverwaltung von Iowa das Unternehmen beauftragt, die Sicherheit seiner Justizgebäude zu testen.
Der die Bedingungen ihres Vertrages (PDF) war es DeMercurio und Wynn gestattet, sich als Mitarbeiter und Auftragnehmer auszugeben, falsche Vortäuschungen zu machen, um physischen Zugang zu Einrichtungen zu erhalten, Mitarbeiter in Gebäude zu schleichen und Zugang zu eingeschränkten Bereichen dieser Einrichtungen zu erhalten. Der Vertrag besagte, dass die Männer nicht versuchen durften, Alarmsysteme zu untergraben, Türen gewaltsam zu öffnen oder Bereiche zu betreten, die Schutzausrüstung erfordern.
Als das Duo am frühen Morgen des 11. September im Gerichtsgebäude in Dallas County, Iowa, einen Sicherheitsalarm auslöste, befolgten sie das Verfahren und warteten vor Ort auf die Polizei. DeMercurio und Wynn sagten, als die Sheriff-Abgeordneten des Bezirks nur wenige Minuten später am Tatort eintrafen, sagten sie den Beamten, wer sie waren und warum sie dort waren, und dass sie durch eine unverschlossene Tür Zugang zu den Räumlichkeiten erhalten hatten.
„Sie sagten, sie hätten eine unverschlossene Gerichtsgebäudetür gefunden, also hätten sie sie von außen geschlossen und abschließen lassen.“ Und Goodin von Ars Technica schrieb der Tortur im November. „Dann haben sie ein Plastikschneidebrett durch einen Türspalt geschoben und den Verriegelungsmechanismus manipuliert. (Pentester verwenden häufig behelfsmäßige oder selbst erstellte Werkzeuge in ihrem Handwerk, um Verschlüsse zu öffnen, Bewegungserkennungsmechanismen auszulösen und andere Sicherheitssysteme zu testen.) Die Abgeordneten schienen beeindruckt zu sein.“
Um Bedenken zu zerstreuen, dass es sich um Einbrecher handeln könnte, legten DeMercurio und Wynn ein Genehmigungsschreiben vor, in dem die Arbeit, für die sie eingestellt wurden, detailliert beschrieben und die Namen und Mobiltelefonnummern von Angestellten des Staates Iowa aufgeführt wurden, die ihre Geschichte bestätigen konnten.
Nachdem sie einige der in dem Brief aufgeführten Gerichtsbeamten kontaktiert hatten, schienen die Abgeordneten zufrieden zu sein, dass die Männer keine Diebe waren. Das heißt, bis Chad Leonard, Sheriff von Dallas County auftauchten.
„Die Pentester hatten bereits gesagt, dass sie ein Werkzeug benutzten, um die Haustür zu öffnen“, erzählte Goodin. „Leonard nahm das so an, dass die Männer gegen die Beschränkung verstoßen hatten, Türen gewaltsam zu öffnen. Leonard sagte auch, die Männer hätten versucht, den Alarm auszuschalten – etwas, das die Beamten von Coalfire vehement bestreiten. In Leonards Augen war das ein zweiter Verstoß. Ein weiterer Grund für Zweifel: Einer der auf dem Haftentlassungsbrief als Kontakt aufgeführten Personen nahm die Anrufe der Abgeordneten nicht entgegen, während ein anderer sagte, er glaube nicht, dass die Männer die Erlaubnis hätten, körperliche Eingriffe vorzunehmen .“
DeMercurio und Wynn wurden verhaftet, eingesperrt und fast 24 Stunden lang festgehalten, bevor sie gegen eine Kaution von 100,000 US-Dollar freigelassen wurden. Zunächst wurden sie wegen Einbruchs dritten Grades und des Besitzes von Einbruchswerkzeugen angeklagt, obwohl diese Anklagen später auf Hausfriedensbruch herabgestuft wurden.
Was Coalfire zunächst wie eine vorübergehende Fehleinschätzung der Behörden von Iowa vorkam, verwandelte sich schnell ins Surreale, als staatliche Gesetzgeber Anhörungen abhielten, in denen die Frage gestellt wurde, warum und wie jemand, der im Staatsdienst steht, die Sicherheit seiner Bürger so rücksichtslos gefährden konnte.
DeMercurio und Wynn, ohne die orangefarbenen Overalls.
Beamte der Justizbehörde in Dallas County antworteten auf dieses Grillen, dass sie nicht damit gerechnet hätten, dass die physischen Penetrationstests von Coalfire außerhalb der Geschäftszeiten durchgeführt würden. Staatssenatorin Amy Sinclair wurde zitiert, als sie ihren Kollegen sagte, dass „die Beauftragung einer externen Firma mit dem Einbruch in die Gerichtsgebäude im September eine ‚erhebliche Gefahr‘ darstellte, nicht nur für die Auftragnehmer, sondern auch für die örtlichen Strafverfolgungsbehörden und die Öffentlichkeit.“
„Im Wesentlichen hat ein Zweig der Regierung einen Vertrag mit einem Unternehmen abgeschlossen, um Verbrechen zu begehen, und das ist sehr beunruhigend“, beklagte der Staat Iowa Sen. Zach Whiting. „Ich möchte herausfinden, wer dafür zur Rechenschaft gezogen werden muss und wie wir das tun können.“
Diese starken Worte kollidierten mit einer gemeinsamen Erklärung, die am Donnerstag von Coalfire und veröffentlicht wurde Charles Sinnard, Staatsanwalt von Dallas County:
„Letztendlich ist den langfristigen Interessen der Justiz und dem Schutz der Öffentlichkeit nicht am besten gedient, wenn die Anklagen wegen Hausfriedensbruchs weiter verfolgt werden“, heißt es in der Erklärung. „Diesen Interessen wird am besten gedient, wenn alle Parteien zusammenarbeiten, um sicherzustellen, dass eine klare Kommunikation über die zu ergreifenden Maßnahmen zur Sicherung der sensiblen Informationen der Justiz erfolgt, ohne das Leben oder Eigentum der Bürger von Iowa, der Strafverfolgung, zu gefährden oder die Personen, die die Prüfung durchführen.
Matthäus Linholm, ein Anwalt, der DeMercurio und Wynn in dem Fall vertritt, sagte, dass das Justizsystem seine entscheidende Funktion nicht mehr erfüllt und an Glaubwürdigkeit verliert, wenn kriminelle Anschuldigungen verwendet werden, um persönliche oder politische Agenden voranzutreiben.
„Eine solche Praxis gefährdet die effektive Rechtspflege und unser Vertrauen in das Strafjustizsystem“, sagte Linholm The Des Moines Register, Die brachte die Nachrichten der fallengelassenen Anklagen.
Während der Fall gegen die Mitarbeiter von Coalfire viele in der Cybersecurity-Community um den Angeklagten versammelt hat, sieht nicht jeder diesen Streit schwarz auf weiß. Chris Nickerson, ein Spezialist für digitales Eindringen und Gründer von LARES Beratungsagte in ein Twitter-Beitrag Donnerstag dass „wenn ein Unternehmen uns aufgrund seiner schlechten Planung, seiner gescheiterten Vertriebsschulung, seines unzureichenden Projektmanagements und seines erbärmlichen Vertragsmanagements in Gefahr bringt … sollten wir es nicht feiern. Wir sollten sie zur Rechenschaft ziehen.“
Als Nickerson gebeten wurde, dies näher zu erläutern, verwies er darauf ein aktueller Podcast was die Verhaftungen berührte.
„Die Dinge, die mich an dieser Situation beunruhigen, sind eher die Sicherheitselemente, die es gibt, wie die Industrie diese Art von Engagements durchführt“, sagte Nickerson. „Sie erscheinen sehr, sehr vernünftig und offensichtlich, sobald sie offensichtlich werden, aber bis dahin sind sie den Menschen völlig fremd.“
„Es ist wirklich Aufgabe der Eigentümer des Unternehmens, den Kunden über diese potenziellen Fallstricke aufzuklären“, fuhr Nickerson fort. „Weil es keinen guten Standard gibt. Wir haben uns nicht alle zusammengetan und das Wissen, das wir in unseren Köpfen haben, institutionalisiert und zu Papier gebracht, damit jemand, der neu auf dem Gebiet ist, der damit beauftragt wird, durchgehen und sagen kann: „Hey, hast du sie gefragt, ob die Stadt gegen den Staat gegen den Bauherrn und die Immobilienmakler … sind all diese Leute im Gleichschritt?'“
Kohlenfeuer CEO Tom McAndrew schien diesen Punkt in unserem Interview am Donnerstag anzusprechen und sagte, dass es zwei einzigartige Aspekte dieses besonderen Engagements gibt. Erstens, obwohl der Kunde in diesem Fall sagte, dass er nicht wollte, dass Coalfire die örtlichen Strafverfolgungsbehörden auf das laufende Engagement aufmerksam machte, bevor die physische Sicherheit des Standorts getestet wurde, war es im Nachhinein klar, dass die Staatsbeamten dies nie alleine getan hatten.
Noch wichtiger sei, so McAndrew, dass es Unklarheiten darüber gebe, wem die Gebäude, die sie testen sollten, tatsächlich gehörten.
„Wenn Sie einen Test für den Staat machen und das Gebäude betreten und es das Gerichtsgebäude ist und Sie einen Test für das Gerichtssystem machen, würden Sie denken, dass sie zuständig wären oder es besitzen würden, und das stellte sich heraus Das sollte in diesem Szenario nicht der Fall sein, da es einige Dinge gibt, die dem Staat gehören, und einige Dinge, die der Grafschaft gehören, und das war etwas, dessen wir uns nicht bewusst waren, als wir einige dieser Arbeiten erledigten“, sagte er. „Wir haben die Nuancen nicht verstanden.“
Auf die Frage, was Coalfire aus dieser Tortur gelernt habe, sagte McAndrew, sein Unternehmen werde wahrscheinlich darauf bestehen, dass lokale, staatliche und sogar bundesstaatliche Strafverfolgungsbehörden im Voraus über Penetrationstests informiert werden, zumindest soweit diese Verpflichtungen sich auf öffentliche Einrichtungen beziehen.
„Wenn wir uns die Verträge ansehen und uns ansehen, wer berechtigt ist, was zu tun … Wenn ein [Chief Security Officer] sagt, diese IP-Adressen zu testen, würden wir normalerweise sagen, okay, das reicht“, sagte er. "Aber wir fragen uns aus rechtlicher Sicht, ab wann dies einer anwaltlichen Überprüfung bedarf."
McAndrew sagte, es sei wahrscheinlich an der Zeit, dass Experten aus verschiedenen Ecken der Pen-Testing-Community zusammenarbeiten, um Best Practices zu dokumentieren, die anderen helfen könnten, eine Wiederholung des Szenarios in Dallas County zu vermeiden.
„In der Branche gibt es keinen Standard“, sagte er. „Wenn es um diese Art von Problemen beim Red Teaming geht – die rechtlichen Herausforderungen und die Verträge – gibt es wirklich nichts da draußen. Es gibt Dinge, die lassen sich nicht rückgängig machen. Es gibt die Fahndungsfotos, die für immer da draußen sind, aber selbst wenn wir die Anklagen fallen lassen, werden diese dauerhaft in der Bundesdatenbank sein. Dies ist eine dauerhafte Sache, die bei ihnen verbleiben wird, und uns ist keine rechtliche Möglichkeit bekannt, diese Anklagen aus der Bundesdatenbank zu entfernen.
McAndrew sagte, obwohl er weiterhin frustriert ist, dass es so lange gedauert hat, diesen Streit zu lösen, glaube er nicht, dass irgendjemand in böser Absicht gehandelt habe.
„Ich glaube nicht, dass es schlechte Menschen gab“, sagte er. „Alle haben versucht, die richtigen Dinge zu tun – von der Strafverfolgung über den Sheriff bis hin zu den Richtern und dem Landkreis – sie alle hatten die richtigen Absichten. Aber sie hatten nicht unbedingt alle die richtigen Informationen, und möglicherweise trafen Leute Entscheidungen auf Ebenen, zu denen sie nicht wirklich befugt waren. Normalerweise ist das nicht wirklich unser Ding, aber ich denke, die Leute sollten darüber nachdenken.“
Stichworte: Ars Technica, Tschad Leonhard, Chris Nickerson, Kohlenfeuer, Dallas County, Charles Sinnard, Staatsanwalt von Dallas County, Und Goodin, Gary DeMercurio, Justin Wynn, Matthäus Linholm, Sen. Zach Whiting, Staatssenatorin Amy Sinclair, Tom McAndrew
