Cómo una guerra territorial y un contrato fallido llevaron a 2 pentesters a la cárcel de Iowa

Fotografías policiales de Gary De Mercurio, a la izquierda, y Justin Wynn.
Agrandar / Fotografías policiales de Gary De Mercurio, a la izquierda, y Justin Wynn.

Cárcel del condado de Dallas

En las primeras horas del 11 de septiembre, un despachador del departamento del alguacil en el condado de Dallas, Iowa, vio algo alarmante en una cámara de vigilancia en el juzgado del condado. Dos hombres que habían disparado una alarma después de abrir una puerta cerrada con llave deambulaban por las salas del tribunal en el tercer piso, informó por radio mientras los agentes corrían a la escena. Los intrusos llevaban mochilas y estaban agazapados junto a los bancos de los jueces. Cuando el primer oficial se detuvo en el estacionamiento, los hombres se trasladaron a un área abierta fuera de las salas del tribunal y se escondieron.

“Estaban agazapados como pavos asomándose por el balcón”, dijo el alguacil del condado de Dallas, Chad Leonard, en una entrevista. “Aquí estamos a las 12:30 de la mañana frente a este tema, el 11 de septiembre, nada menos. Tenemos a dos personas desconocidas en nuestro juzgado, en un edificio del gobierno, que llevan mochilas que me recuerdan a mí y a varios otros diputados quizás las bombas de la olla a presión”.

Después de que llegaron más agentes, Justin Wynn, 29 de Naples, Florida, y Gary De Mercurio, 43 de Seattle, bajaron lentamente las escaleras con las manos en alto. Luego les presentaron a los agentes una carta que explicaba que los intrusos no eran delincuentes sino probadores de penetración que habían sido contratados por la Administración de Tribunales del Estado de Iowa para probar la seguridad de su sistema de información judicial. Después de llamar a uno o más de los funcionarios de la corte estatal enumerados en la carta, los agentes se convencieron de que los hombres estaban autorizados a estar en el edificio.

Los agentes escucharon con interés mientras los pentesters, que trabajan para Coalfire Labs, con sede en Westminster, Colorado, explicaban cómo entraron. Dijeron que encontraron la puerta de un juzgado abierta. Así que lo cerraron por fuera y lo dejaron trabado. Luego deslizaron una tabla de cortar de plástico a través de una rendija en la puerta y manipularon su mecanismo de bloqueo. (Los pentesters con frecuencia usan herramientas improvisadas o creadas por ellos mismos en su oficio para abrir cerrojos, activar mecanismos de detección de movimiento y probar otros sistemas de seguridad). Los agentes parecían impresionados.

Cuando Leonard llegó a la escena, el estado de ánimo cambió rápidamente. Leonard leyó la carta y evaluó a los hombres. Dijo que los hombres estaban autorizados a realizar “ingeniería social física para intentar obtener acceso” a los sistemas de los juzgados. Los intentos podrían incluir:

  • Hacerse pasar por personal, contratistas u otras personas
  • Proporcionar falsos pretextos para obtener acceso físico a las instalaciones
  • Llevar a los empleados a las instalaciones
  • Acceso a áreas restringidas de las instalaciones

La carta también enumeró tareas que no deben realizarse, entre ellas:

  • Subversión de alarma
  • Puertas de apertura forzada
  • Acceder a entornos que requieren equipo de protección personal

Los pentesters ya habían dicho que usaron una herramienta para abrir la puerta principal. Leonard interpretó que eso significaba que los hombres habían violado la restricción de forzar las puertas. Leonard también dijo que los hombres intentaron apagar la alarma, algo que los funcionarios de Coalfire niegan con vehemencia. En la mente de Leonard eso fue una segunda violación. Otro motivo de duda: una de las personas que figuran como contacto en la carta para salir de la cárcel no respondió las llamadas de los agentes, mientras que otro dijo que no creía que los hombres tuvieran permiso para realizar intrusiones físicas. .

1661640768 635 Como una guerra territorial y un contrato fallido llevaron a »

El alguacil también dijo que él y sus ayudantes olían a alcohol en el aliento de uno de los hombres. (Leonard, quien no identificó qué empleado de Coalfire era, dijo que una prueba más tarde mostró que el pentester tenía un contenido de alcohol en la sangre de 0,05, el equivalente a uno o dos tragos. Está por debajo del umbral de 0,08 para una condena por operar en estado de ebriedad. )

Leonard hizo arrestar rápidamente a los hombres por delitos graves de robo en tercer grado. Pasaron la noche en la cárcel en celdas separadas, donde a uno de ellos le dieron un banco con una colchoneta para dormir. Después de ser procesados ​​a la mañana siguiente, se sorprendieron cuando volvieron a la cárcel. Los pentesters no fueron liberados hasta tarde esa tarde o temprano esa noche con una fianza de $100,000 ($50,000 por cada uno).

Desde entonces, los cargos se han reducido a cargos menores de allanamiento. El juicio está programado para abril. Mientras tanto, el departamento del alguacil en el cercano condado de Polk está llevando a cabo una investigación criminal sobre un allanamiento de morada en su palacio de justicia el 10 de septiembre bajo el mismo acuerdo con la Administración Judicial del Estado.

Causa célebre

El caso se ha convertido en una causa célebre que ha impulsado una variedad de intereses diferentes. Para Coalfire y los pentesters profesionales de todo el mundo, los cargos son una afrenta que amenaza su capacidad para llevar a cabo lo que durante mucho tiempo se ha considerado una práctica clave para garantizar que los sistemas de los clientes sean realmente seguros. Si los pentesters no pueden estar seguros de que las evaluaciones físicas no darán lugar a procesos penales, los profesionales de la seguridad dicen que ya no podrán llevar a cabo esta función central con el vigor y la minuciosidad que requiere.

“Esto sí afecta mi trabajo directamente”, dijo un probador de penetración que pidió ser identificado solo por su alias Tinker, o @TinkerSec en Twitter. “Esto afecta el pentesting físico en general y realmente afecta el pentesting del gobierno cuando el gobierno estatal no puede brindar protección y no se puede confiar en que el gobierno estatal respaldará sus propias leyes”.

Para los funcionarios del condado de Dallas, por otro lado, y posiblemente los funcionarios del cercano condado de Polk, el caso se trata de su derecho jurisdiccional a vigilar las instalaciones que son propiedad de los contribuyentes. Leonard dijo que la Administración de Tribunales del Estado de Iowa, o SCA, no tenía la autoridad legal para permitir que los hombres ingresaran por la fuerza al edificio propiedad del condado.

Además, el alguacil dijo que el uso de equipo para forzar cerraduras por parte de los pentesters y su supuesta manipulación de un sistema de alarma (una vez más, Coalfire cuestiona la última afirmación) violó los términos de la carta para salir libre de la cárcel. El alguacil también dijo que la evaluación de medianoche fue una violación de un término detallado en una sección del documento de reglas de compromiso. Dijo que el petesting se realizaría entre las 6 a. m. y las 6 p. m., hora de la montaña. (Curiosamente, Iowa está en la zona horaria central. Otro término de las mismas reglas de enfrentamiento (pdf) decía que las pruebas físicas “pueden ser durante el día y la noche”. Leonard no estaba al tanto de este último detalle hasta que lo señalé en la entrevista El alguacil se ha negado a publicar un video del incidente).

vas a ir a la carcel

La carta para salir libre de la cárcel “decía que no manipulará las puertas”, dijo Leonard. “Bueno, eligieron cuatro puertas. Dijo que no manipularán el sistema de alarma. Fueron hasta la alarma y trataron de apagarla. El mayor problema es que solo debían trabajar de 6:00 a. m. a 6:00 p. m. Salieron en medio de la noche y entraron a la fuerza”.

De igual importancia, dijo Leonard, es lo que él creía que era la extralimitación de los funcionarios de Iowa que retuvieron a Coalfire. Cuando el sheriff se enfrentó a los hombres esa noche, dijo: “El estado de Iowa no tiene autoridad para permitirles entrar en un edificio del condado. Irán a la cárcel”.

Nadie tiene más interés en la controversia que Wynn y De Mercurio, quienes corren el riesgo de ser condenados por cargos penales que, entre otras cosas, podrían poner en peligro las autorizaciones del gobierno y las perspectivas laborales futuras. El director ejecutivo de Coalfire, Tom McAndrew, dijo en un comunicado el mes pasado que Leonard “no ejerció el sentido común ni el buen juicio y convirtió este compromiso en una batalla política entre el estado y el condado”. McAndrew también señaló que Coalfire realizó un compromiso para la SCA de Iowa en 2023 sin incidentes.

Leonard dijo que ha estado recibiendo “correos de odio” desde lugares tan lejanos como Europa desde el incidente hace dos meses.

McAndrew me dijo que Wynn y De Mercurio hicieron todo según las reglas. Los empleados, dijo McAndrew, activaron intencionalmente la alarma y luego se dirigieron al tercer piso para probar la respuesta. Agacharse en el piso o tratar de ocultarse es una práctica estándar después de que se activan las alarmas para evaluar aún más la respuesta de las autoridades y ver qué pueden detectar las cámaras de vigilancia.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario