Nel gergo della sicurezza, una squadra rossa è un gruppo a cui è stato assegnato il compito di violare la sicurezza di un sistema.
Non per rubare nulla, intendiamoci, ma per rivelare le debolezze della sicurezza prima che i veri malfattori possano trarne vantaggio.
In alcuni esercizi c'è anche una squadra blu incaricata di sconfiggere qualsiasi imbroglio tentato dalla squadra rossa.
Assumere un team rosso è una pratica comune tra le aziende attente alla sicurezza e gli enti governativi.
Far arrestare la squadra rossa con l'accusa di crimine federale lo è non comune, ma è quello che è successo a due esperti di sicurezza di Coalfire Systems.
Hanno presentato il loro ammonimento, insieme a un invito all'azione, alla conferenza virtuale di Black Hat di questa settimana.
Un semplice lavoro andato storto
L'arresto di questi tester nel settembre 2019 ha fatto notizia, almeno in Iowa.
Il loro esonero, mesi dopo, raggiunse persino alcune testate nazionali.
Non ho notato le notizie in quel momento, ma i ricercatori di sicurezza e i penetration tester hanno seguito da vicino ciò che accadeva.
Ecco cosa è successo, brevemente.
L'amministrazione del tribunale statale dell'Iowa ha incaricato Coalfire Systems di eseguire un test di sicurezza di cinque località, compresi i tribunali della contea.
Justin Wynn, Senior Security Consultant, e Gary Demercurio, Senior Manager, hanno assunto l'incarico.
Secondo le loro biografie, le loro competenze combinate includono cracking sicuro, esclusione di allarmi, lock picking e ingegneria sociale.
Usando quelle abilità e altro, sono stati incaricati di entrare in edifici presumibilmente sicuri, localizzare la loro infrastruttura di rete e comprometterla.
Il rapporto risultante consentirebbe al governo di migliorare sia la sicurezza fisica che la sicurezza informatica
È andato tutto bene nelle prime due località.
In un caso, hanno fatto irruzione in un edificio e hanno lasciato un biglietto da visita sulla scrivania di uno dei loro contatti governativi.
Quel successo ha portato a sincere congratulazioni.
Al tribunale della contea di Dallas, i loro sforzi hanno innescato un allarme, che ha portato rapidamente la polizia locale e gli agenti sul posto.
Sono usciti e hanno spiegato i loro affari ai deputati, che hanno detto che erano pronti ad andare.
Non se ne sono andati subito, ma hanno passato un po 'di tempo a chiacchierare e scherzare con i deputati sull'interessante vita di un penetration tester.
Poi lo sceriffo si è presentato e li ha arrestati per furto con scasso.
Buzzkill!
Fare un po 'di rumore
Wynn e Demercurio hanno organizzato una presentazione coinvolgente su cosa esattamente è successo durante i loro test e la successiva incarcerazione.
Hanno lavorato in molti video, inclusi filmati di bodycam e alcune sequenze che ricordano I duchi di Hazzard.
Wynn ha detto che erano stati in silenzio per un po 'sull'intero scenario, ma pensavano che ora fosse il momento di fare un po' di rumore.
In effetti, la loro storia si legge come la trama di un film.
C'è lo sceriffo di una piccola città che risente fortemente del governo statale che interferisce nel "suo" territorio, il giudice di una piccola città che urla contro gli imputati e aumenta la loro cauzione, e persino la misteriosa morte di un altro giudice che avrebbe potuto far sparire l'intera faccenda .
Quando le sessioni del 2020 saranno disponibili sul canale YouTube di Black Hat, ti consigliamo di guardare questa.
L'equipaggio di Coalfire ha trascorso mesi in prigione mentre il sistema legale andava avanti.
Incapace di far valere le accuse di furto con scasso, il procuratore distrettuale ha considerato di ridurre l'accusa allo sconfinamento.
Alla fine, tutte le accuse furono ritirate.
Lieto fine?
Danno permanente
Beh, non così felice.
"Ora abbiamo record di arresto criminale permanente", ha detto Wynn.
“È estremamente dannoso per noi svolgere il nostro lavoro in futuro.
Non possiamo mai ottenere determinate autorizzazioni di sicurezza.
" Ha aggiunto che la loro attrezzatura da lavoro è stata trattenuta per sei mesi, impedendo loro di assumere determinati lavori e che anche se tutte le accuse sono state ritirate, non saranno mai in grado di acquistare armi da fuoco.
"Per quanto ci piacerebbe piangere su noi stessi", ha detto Demercurio, "le persone che si fanno davvero fregare sono le persone dello Iowa.
Ora hanno approvato politiche che riguardano la responsabilità, zero sulla sicurezza ".
Ha aggiunto che anche se non è consentito dire esattamente cosa hanno trovato, ci sono un sacco di problemi di sicurezza che semplicemente non verranno risolti.
Proteggere i buoni samaritani
"Penso che le persone nel campo della sicurezza informatica siano altruiste", ha continuato Demercurio.
“Vogliono aiutare a mantenere le persone al sicuro.
È l'opposto di questo scenario.
"
Ha chiesto aiuto al pubblico nell'elaborazione delle leggi del Buon Samaritano per proteggere i penetration tester.
Più della metà degli stati degli Stati Uniti ha leggi del Buon Samaritano sui libri.
In genere affermano che una persona che tenta di fornire un aiuto di emergenza non può essere ritenuta responsabile se il suo tentativo di aiuto fallisce o causa danni.
L'equivalente per i tester fornirebbe l'immunità in una situazione come quella che è accaduta nella contea di Dallas, Iowa, o ogni volta che un cliente "diventa canaglia" e rinnega il team di test.
Nel brevissimo periodo di domande e risposte alla fine, Wynn ha risposto a due domande in modo enfatico.
“I nostri registri di arresto criminale sono permanenti? Sì! Possiamo citare in giudizio? Sì!"
