Iowa Beamte behaupten Verwirrung über den Umfang führte zur Verhaftung von Pen-Testern

Die Einsatzregeln betrafen das Gerichtsgebäude und das autorisierte Aufbrechen von Schlössern. Die Dallas Grafschaft, Iowa, Gerichtsgebäude, der Aufstellungsort eines Penetrationstests ging falsch.

Überprüfen Sie den Umfang: Pen-Tester geschnappt, inhaftiert im Einbruchsversuch des Gerichts in Iowa

In einem Pfosten zur Iowa Gerichtsfiliale Web site heute, gab ein Sprecher für die Gerichtsverwaltung des Zustandes redigierte Bilder der Dokumente frei, die mit den Sicherheitstests verbunden sind, die zwei Penetrationstester im Gefängnis früh dieser Monat landeten. Das Dokument „Rules of Engagement“ für den Vertrag zeigt hier, dass die Verwaltung des Staatsgerichtshofs eine physische Sicherheitsbewertung von der Sicherheitsfirma Coalfire angefordert hat. Staatsbeamte sagen, dass die Mitarbeiter von Coalfire die Dokumente anders interpretiert haben als sie es getan haben. Aber es scheint, dass das eigentliche Problem hinter der Verhaftung von Coalfire’s Team ein Rasenkrieg zwischen Staats- und Bezirksbeamten ist – und ob die staatlichen Gerichtsverwalter die Sicherheitstests mit den lokalen Behörden geklärt hatten.

Im Pfosten schrieb der Sprecher der Iowa Judicial Branch:

Coalfire und State Court Administration glaubten, dass sie sich über die physikalischen Sicherheitsbewertungen für die im Arbeitsbereich enthaltenen Standorte einig waren…. doch die jüngsten Ereignisse haben gezeigt, dass Coalfire und State Court Administration unterschiedliche Interpretationen des Umfangs der Vereinbarung hatten. Gemeinsam steuern Kohlefeuer und die Landesgerichtsverwaltung weiterhin durch diesen Prozess.

Die State Court Administration hat in der Vergangenheit mit Coalfire zusammengearbeitet, um Sicherheitstests ihrer Daten durchzuführen, und begrüßte die Möglichkeit, wieder mit Coalfire zusammenzuarbeiten. Beide Unternehmen schätzen die Bedeutung des Schutzes der Sicherheit und des Schutzes der Mitarbeiter sowie der Integrität der Daten.

Staatliche Gerichtsverwaltung entschuldigt sich bei den Sheriffs und Aufsichtsräten von Dallas County und Polk County für die Verwirrung und die Auswirkungen, die diese Vorfälle verursacht haben.

Das Dokument zeigte, dass der Staat das Team von Coalfire ermächtigt hat, „Lock-Picking-Aktivitäten durchzuführen, um zu versuchen, Zugang zu gesperrten Bereichen zu erhalten“. Aber das Dokument besagt auch, dass die Tester „in Bereiche sprechen sollten“ und „begrenzte physische Umgehung“ zulassen sollten.

Die Regeln des Engagements diktierten auch, dass die staatlichen Behörden sagten, sie würden die Strafverfolgung nicht über den Penetrationstest informieren.

Ein Abschnitt des Dokuments „Rules of Engagement“ für das Engagement von Coalfire mit der Iowa Judicial Branch.

Bedeutung des Schutzes der Sicherheit

Vergrößern / Ein Abschnitt des Dokuments „Rules of Engagement“ für das Engagement von Coalfire mit der Iowa Judicial Branch.

Es gibt einige Bereiche, in denen es zu Verwechslungen bei den unterzeichneten Vereinbarungen zur Genehmigung des Tests kommen kann. Die „Social Engineering Authorization“, die vom Informationssicherheitsbeauftragten, Chief Information Officer und Infrastrukturmanager der Iowa Judicial Branch unterzeichnet wurde, besagt, dass versucht wird, Zugang zu Daten zu erhalten:

…kann einen der folgenden Punkte beinhalten:

Als Mitarbeiter, Auftragnehmer oder andere Personen auftretend
Falsche Vorwände, um physischen Zugang zu den Einrichtungen zu erhalten.
„Tailgating“ von Mitarbeitern in Einrichtungen
Zugang zu geschützten Bereichen von Einrichtungen
Zu den Aufgaben, die nicht ausgeführt werden sollen, gehören:

Alarmunterdrückung

Zwangsgeöffnete Türen

Zugriff auf Umgebungen, die eine persönliche Schutzausrüstung erfordern

Um 12:30 Uhr am Morgen des 11. September wurden die Penetrationstester Justin Wynn und Gary DeMercurio von den Offizieren des Sheriffs von Dallas County mit Lock Picks im Inneren des Dallas County Gerichtsgebäudes erwischt. Sie präsentierten Dokumente, die zeigten, dass sie die Genehmigung des Staates hatten; die Beamten kontaktierten Staatsbeamte auf dem Dokument, die bestätigten, dass der Test autorisiert war. Aber sie haben Wynn und DeMercurio trotzdem verhaftet und wegen Einbruch angeklagt.

Wynn und DeMercurio sind gegen Kaution frei und haben auf eine erste Anhörung verzichtet. Sie stehen immer noch vor Gericht, trotz der Entschuldigung von Staatsbeamten bei den Bezirksbeamten.