ブラックハット昨年、逮捕と投獄が話題となった 2 人の侵入テスターがついにその体験を語り始めたが、それは驚くべき内容だ。
情報セキュリティ企業のコールファイア・システムズでペンテスターを務めるフロリダ出身のジャスティン・ウィン氏とシアトル在住のゲイリー・デメルキュリオ氏は、昨年9月にアイオワ州で経験した苦難は、監査の範囲をきちんと文書化しておけば避けられたはずだと語った。
それと、気難しい保安官に遭遇しなかったこと。それに、好意的な判事が裁判の途中で突然亡くなったこともあった。
2人は夜、ダラス郡裁判所で定期的な侵入テストを行っていたところ、警報が鳴り、保安官代理に捕まり、最終的に最長7年の懲役につながる可能性のある重罪不法侵入で起訴された。
2人のプロの攻撃者は本日、ブラックハットオンラインカンファレンスで、問題の一部は、米国アイオワ州の要請でコールファイアが実施した侵入テストの条件が不正確だったことだと語った。
コミュニケーション、コミュニケーション、そして政治:手錠をかけられた情報セキュリティ専門家たちのアイオワ州での物語は、侵入テストの落とし穴を明らかにする
続きを読む
2人は、契約書には検査を日中の営業時間(午前6時から午後6時)に限定する定型文言があったものの、当初は州当局から深夜のセキュリティに特に注意を払うよう求められていると伝えられたと指摘した。
「この件の実情は、彼らが私たちに相談に来た時、営業時間外の夜間に物理的なペネトレーションテストだけを希望していたということです」とデメルキュリオ氏は述べた。「この件から学んだ教訓は、通話を録音しておくことです。」
3夜にわたるテストが成功した後、真夜中過ぎに裁判所で侵入者警報が鳴ったため、2人は保安官代理に近づかれた。
「警報が鳴って警察が来てくれることを期待していた」とウィンさんは振り返った。
「誤った希望だ」とデメルキュリオ氏は付け加えた。
当初、チームは、歩行者たちは2人に対してかなり親切で、アドバイスを求めたり、話を交換したりしていたと述べた。
「(警報が鳴った後も)私たちがそこに留まったのは、警察と非常に良好な関係を築いていたからです」とデメルキュリオ氏は語った。「すると、突然雰囲気が変わってしまったんです」
二人によると、雰囲気を変えたのはダラス郡保安官チャド・レナードの到着だったという。レナードは、二人が提出した書類を州の正当なセキュリティ監査の証拠として無視し、重罪容疑で逮捕するよう命じた。保安官は二人が職務を遂行するプロフェッショナルであることは認めたものの、事前の確認もなく州が郡裁判所への侵入テストを命じたことには不快感を示した。「州にはこの建物への侵入を許可する権限はなかった」とレナードは逮捕後のメールで述べた。
重要なのは、最終的に常識が優先され告訴は取り下げられたにもかかわらず、デメルキュリオ氏とウィン氏の両名とも重罪逮捕歴があり、それが身元調査で明らかになったことです。これは、業務の過程で幾度となく調査を受けるプロのペンテスターにとって特に厄介な問題です。
二人は、事件終結までの6ヶ月間は、法廷での茶番劇を助長した無能な役人たちの見せ場だったと主張している。保安官が法廷で書類を確認したことを認めようとしなかったことや、裁判所が何らかの検査を許可していたならば、自分に直接報告していたはずだと主張した下級判事などが含まれる。
「『奥様、保安官が昨夜、私たちが州から派遣されたことを確認しました』と伝えました」とデメルキュリオ氏は初出廷時のことを振り返る。「そして保安官の方を見ると、彼は満面の笑みを浮かべて、一言も発せずに座っていました」
その後、この訴訟を却下する動きは、2人の擁護者と目されていたアイオワ州最高裁判所のマーク・ケイディ判事が66歳で急死したことで後退した。最終的に、安全保障関係者からの抗議もあり、2人に対する告訴は取り下げられた。
現在、二人は、他のペネトレーションテスターが同じように法制度の隙間に落ちてしまうことを防ぐための法律の制定を訴えています。「私たちは、このようなことが誰にも起こらないよう、善きサマリア人法を成立させたいのです」とデメルキュリオ氏は語りました。「ここには私たち全員が属する家族がいて、彼らは私たちを救ってくれたのです。」®
