За пентест – в тюрьму?

Когда в здании суда округа Даллас, штат Айова, ночью сработала сигнализация, поднятые по тревоге полицейские наверняка не предполагали, что застанут на месте не обычных взломщиков, а так называемых пентестеров (от англ.

pentest) – специалистов, проверяющих системы на устойчивость к кибервзломам.

По данным локального издания Des Moines Register, инцидент произошел 11 сентября в окружном центре – городе Адел,.

Как следует из материалов дела, прибыв в здание суда в первом часу ночи, полицейские задержали 43-летнего Гари Демеркурио (Gary Demercurio) и 29-летнего Джастина Уинна (Justin Wynn).

Гари Демеркурио и Джастин Уинн.

Мужчины, при которых обнаружили инструменты для взлома, сообщили, что они сотрудники компании Coalfire, которую администрация суда наняла для проверки уязвимости своих систем.

Также они уверяли, что проникли в здание, чтобы протестировать охранную сигнализацию и выяснить, как быстро отреагируют правоохранительные органы.

Эксперимент закончился арестом – мужчинам предъявили обвинения в незаконном проникновении в помещение третьей степени и владении инструментами для взлома.

Фирме было предложено с помощью различных методов попытаться несанкционированно получить доступ к документам, чтобы выявить потенциальной уязвимости.

“Мы не подразумевали и не предполагали, что под различными методами имеется в виду, в том числе, и физическое вторжение в здание”, – заявили в администрации.

Общаясь со СМИ, шериф округа Даллас Чад Леонард (Chad Leonard) назвал происшествие очень странным и добавил, что расследование продолжается.

В Coalfire отказались комментировать случившееся, сославшись на конфиденциальный характер своей работы и законы о защите информации.

Вместе с тем, в компании подчеркнули, что обладают обширным опытом в сфере услуг информационной безопасности, где Coalfire работает с 2001 года.

“Мы провели сотни оценок по заказу аналогичных государственных организаций.

Наши сотрудники прилагают все усилия, чтобы выполнять поставленные задачи максимально добросовестно и в соответствии с целями нашего клиента”, – говорится в заявлении пресс-службы Coalfire.

По информации Infosecurity Magazine, Демеркурио и Уинн отпущены под залог в размере 57000 и 50000 долларов соответственно.

Предварительные слушания по их делу назначены на 23 сентября и состоятся в суде округа Даллас.

Новость об аресте пентестеров широко обсуждается в соцсетях.

Люди, знакомые процедурой тестирования на проникновение отмечают, что проверка на возможность несанкционированного физического доступа к ИТ-системам – вполне распространенная практика в рамках пентеста.

ИБ-специалисты советуют иметь при себе копию контракта во время такого рода мероприятий.

Судя по комментариям в администрации суда, между заказчиком и исполнителем могло возникнуть недопонимание относительно запланированных действий.

Остается надеяться, что Coalfire не оставит своих специалистов без помощи, и все недоразумения благополучно разрешатся.