Due professionisti della sicurezza arrestati nel 2019 dopo aver condotto una valutazione della sicurezza di un tribunale di contea in Iowa riceveranno 600.000 dollari per risolvere una causa per presunto arresto illegale e diffamazione.
La causa è stata intentata da Gary DiMercurio e Justin Winn, due penetration tester impiegati all’epoca dalla società di sicurezza Coalfire Labs con sede in Colorado. Gli uomini hanno ottenuto l’approvazione scritta dal ramo giudiziario dell’Iowa per condurre un’esercitazione di “squadra rossa”, un tentativo di violazione della sicurezza che imita le tecniche utilizzate da hacker criminali o ladri.
Lo scopo di tali esercitazioni è testare la resilienza delle difese esistenti utilizzando tipi di attacchi reali che i sistemi di difesa sono progettati per contrastare. Le regole di ingaggio per questa pratica consentono espressamente “attacchi fisici”, compreso lo “scasso delle serrature”, contro gli edifici del ramo giudiziario purché non causino danni significativi.
Un bel messaggio
L’evento ha galvanizzato i professionisti della sicurezza e delle forze dell’ordine. Nonostante la legalità del lavoro e l’accordo legale che lo autorizzava, DeMercurio e Wynn furono arrestati con l’accusa di furto con scasso di terzo grado e trascorsero 20 ore in prigione, finché non furono rilasciati dietro cauzione di 100.000 dollari (50.000 dollari ciascuno). Le accuse furono successivamente ridotte a accuse di violazione di domicilio, ma anche allora lo sceriffo della contea di Dallas, dove si trovava il tribunale, continuò a lamentarsi pubblicamente che gli uomini avevano agito illegalmente e dovevano essere perseguiti.
I danni alla reputazione derivanti da questi tipi di eventi possono essere fatali per la carriera di un professionista della sicurezza. E, naturalmente, la prospettiva di finire in prigione per aver eseguito una valutazione della sicurezza autorizzata è sufficiente per attirare l’attenzione di qualsiasi penetration tester, per non parlare dei clienti che li assumono.
“Questo incidente non ha reso nessuno più sicuro”, ha detto Wynn in una nota. “Ha inviato un messaggio agghiacciante ai professionisti della sicurezza a livello nazionale secondo cui (a) aiutare il governo a identificare le vulnerabilità reali potrebbe portare ad arresti, procedimenti giudiziari e disonore pubblico. Ciò mina la sicurezza pubblica, non la migliora”.
DeMercurio e Wynn si sono fidanzati l’11 settembre 2019 presso il tribunale della contea di Dallas. Poco dopo mezzanotte, la gente trovò aperta una porta laterale del tribunale e la lasciò chiudere a chiave. Quindi infilano uno strumento improvvisato attraverso la fessura della porta e strappano il meccanismo di chiusura. All’ingresso, gli Pinterester attivano un allarme allertando le autorità.
