الرئيسية » جييك » القبعة السوداء: عندما تكون اختبارات التطفل تستحق التسجيل في السجل الجنائي

القبعة السوداء: عندما تكون اختبارات التطفل تستحق التسجيل في السجل الجنائي

القبعة السوداء: عندما تكون اختبارات التطفل تستحق التسجيل في السجل الجنائي

Shared 0



"آه ، نحن في السجن". عندما أبرمت شركة Coalfire اتفاقية مع إدارة محكمة الولاية (SCA) في الولايات المتحدة لإجراء اختبار أمان الكمبيوتر في محكمة مقاطعة دالاس ، أيوا ، لم تتوقع تلقي هذه المكالمة الهاتفية. . واعتقل اثنان من فريقه عند منتصف الليل ووُضعا وراء القضبان. وهو أيضًا لم يكن تمامًا ما توقعه المجتمع.

بدأت القصة في سبتمبر من العام الماضي عندما بدأ خبراء الأمن جاري ديميركوريو ، مدير شركة Coalfire Systems ، وجوستين وين ، كبير مستشاري الأمن ، اختبار الأمن الجسدي للمحكمة. يُعرف باسم "اختبار الاختراق" في الأمن السيبراني ، ويمكن أن يتضمن اختبار الوضع الأمني ​​لشركة أو مؤسسة فحص الشبكات والتطبيقات ومواقع الويب الخاصة بـ نقاط الضعف التي يجب إصلاحها قبل أن يكتشفها المهاجمون ويستغلونها لأغراض ضارة.

ومع ذلك ، يمكن أن يشمل اختبار الاختراق أيضًا عناصر مادية. هل من الممكن الوصول إلى مكاتب الشركة من خلال الهندسة الاجتماعية والتظاهر بأنك ضيف؟ هل يرتدي الناس ملابس أفراد الصيانة؟ هل أبواب المناطق الحساسة مؤمنة بشكل صحيح؟ في حالة محكمة ولاية أيوا ، ما مدى سرعة استجابة سلطات إنفاذ القانون للاقتحام؟

اختبار الأمان المادي أدى بروتوكول الاختبار بين SCA و Coalfire إلى خروج Demercurio و Wynn في منتصف الليل لاختبار أمان مباني المحكمة ، كما أخبروا Black Hat USA يوم الأربعاء. قبل إجراء الاختبار ، قامت شركة Coalfire "بمراجعة النطاق ، والبناء من خلال البناء" لضمان عدم وجود اتصال خاطئ بين شركة الأمن السيبراني والعميل. فيما يتعلق بالمباني التي يمكن استهدافها وأيها يجب تجنبها.

بموجب شروط العقد ، سُمح للفريق باستخدام الهندسة الاجتماعية لانتحال شخصية الموظفين ، لاستخدام ادعاءات كاذبة لمحاولة الوصول إلى المناطق المحظورة – بشرط أنظمة الإنذار تبقى سليمة ولا تسبب أي ضرر.

في بداية الاختبار ، مساء الأحد ، مر شرطي في دورية بالفريق وهو يحاول الدخول من أحد الأبواب. غادر بعد أن زوده الباحثون بإثبات الهوية ، وأخبره أن اختبارات مماثلة قد أجريت في الماضي. بعد الاختبار الأول – وبعد العثور على بطاقة عمل Coalfire في غرفة الكمبيوتر في اليوم التالي – هنأ العميل الفريق عبر البريد الإلكتروني. ما الذي يقنع المختبرين بأنهم يستطيعون المضي قدمًا.

مشاكل مع الشرطة
يوم الثلاثاء ، 11 سبتمبر ، عُثر على أحد أبواب المحكمة مفتوحًا. أغلقه الباحثون لأن مهمتهم لم تكن فقط للدخول ، ولكن لاختبار الأمان المادي للمبنى. بعد ترك الباب يقفل ، استخدموا أدواتهم لإعادة فتح القفل.

انطلق جرس الإنذار في الساعة 12:30 ظهرًا ، وانتظر فريق اختبار الاختراق بصبر في الطابق الثالث حتى تصل سلطات إنفاذ القانون ، ووصف عقدها بأنه "بطاقة إطلاق سراح من السجن" لإثبات أنها كذلك. هناك قانونيا.

وعلق وين قائلاً: "كان وقت رد الفعل (بالنسبة لإنفاذ القانون) أسرع وقت رأيناه على الإطلاق ، حرفيًا ثلاث دقائق". نزل ديمركوريو ووين على الدرج ، يداهما لأعلى. كانت نبرة الشرطة ودية ، على الأقل في البداية. لكن وصول شريف مقاطعة دالاس ، تشاد ليونارد ، إلى مكان الحادث ، غيّر كل شيء. 20 ساعة في الحجز لأن ديمركوريو ووين اعتقلوا فيما بعد وسجنوا لمدة 20 ساعة. ثم اضطروا بعد ذلك إلى العودة إلى المحكمة لتوبيخ القاضي ، على الرغم من اعتراضات الباحثين. في الأصل ، تم تحديد السند بمبلغ 7000 دولار لكل موظف من موظفي Coalfire ، لكن الادعاء جادل بأن الاثنين كانا في خطر الفرار. وبالتالي تمت زيادة المبلغ إلى 50000 دولار للفرد.

وأيدت تهم السطو وحيازة أدوات السطو. ثم أعيد تصنيف هذه الاتهامات على أنها تعدي على ممتلكات الغير. وبعد مناقشات بين الرئيس التنفيذي لـ Coalfire ، وعمدة مقاطعة دالاس ، ومحامي مقاطعة دالاس ، تم إسقاط جميع التهم. ومع ذلك ، استغرقت هذه العملية شهورًا.
وقالت كولفاير في بيان: "كان شريف مقاطعة دالاس يعتزم حماية مواطني مقاطعة دالاس وولاية أيوا من خلال ضمان نزاهة محكمة مقاطعة دالاس". "كما كانت نية كولفاير المساعدة في حماية مواطني ولاية أيوا ، من خلال اختبار أمن المعلومات التي يحتفظ بها القضاء ، وفقًا لعقد مع هيئة الأوراق المالية والسلع".

وجد ديمركوريو ووين نفسيهما حتى يومنا هذا مع ذكر الجريمة في سجلهما الإجرامي. ما يعيق آفاقهم المستقبلية في مجال أمن الكمبيوتر. لذلك طلب Demercurio و Wynn في مشهد Black Hat من الشركات التي تجري اختبار الاختراق تسجيل كل مكالمة يتم إجراؤها بين الشركة والعميل لمكافحة هذا النوع من المواقف. بالإضافة إلى ذلك ، يحاول الزوجان تمرير التشريعات لحماية شركات اختبار الاختراق – وموظفيها – من الدعاوى القضائية المماثلة. المصدر: "ZDNet.com"


المقال الأصلي

Shared 0

الوسوم:
لأعلي