Los fiscales retiraron los cargos penales contra dos profesionales de la seguridad que fueron arrestados y encarcelados en septiembre pasado por irrumpir en un juzgado de Iowa como parte de un contrato con el brazo judicial de Iowa.
El despido, que se anunció el jueves, es una victoria no solo para Coalfire Labs, la empresa de seguridad que empleó a los dos probadores de penetración, sino también para la industria de la seguridad en su conjunto y las innumerables organizaciones que dependen de ella. Aunque los empleados Gary DeMercurio y Justin Wynn tenían una autorización por escrito para probar la seguridad física del juzgado del condado de Dallas en Iowa, los hombres pasaron más de 12 horas en la cárcel por delitos graves de robo en tercer grado. Posteriormente, los cargos se redujeron a un delito menor de allanamiento de morada.
El caso arrojó una nube amenazadora sobre una antigua práctica que es crucial para proteger los edificios y las computadoras y redes dentro de ellos. Los probadores de penetración son contratados para piratear o entrar en sistemas o instalaciones confidenciales y luego revelar las vulnerabilidades y técnicas que hicieron posibles las infracciones. Los propietarios y operadores luego usan la información para mejorar la seguridad.
“Estoy muy contento de escuchar esto”, dijo un pentester profesional cuando le dije que se retiraron los cargos (prefiere usar solo su nombre de usuario: Tink). “Los clientes y las empresas de seguridad tienen la obligación de proteger a sus pentesters y consultores. Los pentesters no son criminales. Los pentesters ayudan a las organizaciones a protegerse contra los delincuentes”.
Los intentos de comunicarse con el fiscal del condado de Dallas, Charles Sinnard, fuera del horario de atención no tuvieron éxito. DeMarcurio y Wynn se negaron a hablar conmigo.
salir gratis de la carcel
DeMercurio y Wynn fueron arrestados en la madrugada del 11 de septiembre después de que un despachador del departamento del alguacil del condado de Dallas observara a los hombres deambulando por el juzgado del condado cerrado con mochilas oscuras. Cuando los ayudantes del alguacil se enfrentaron a los hombres poco después, presentaron una carta, conocida como tarjeta para salir de la cárcel en la jerga de pentesting, que decía que habían sido contratados por la Administración de la Corte del Estado de Iowa para evaluar la seguridad de su estado físico y físico. Seguridad de la red. Los agentes se mostraron amistosos e interesados cuando DeMercurio y Wynn explicaron cómo usaron un dispositivo para forzar cerraduras para eludir una puerta principal cerrada.
Cuando el alguacil Chad Leonard llegó a la escena, las cosas tomaron un tono decididamente más conflictivo. Leonard dijo que no estaba al tanto de ningún acuerdo de este tipo y, además, dijo que la Administración de la Corte del Estado carecía de la autoridad para permitir la entrada fuera del horario de atención a la propiedad del condado. Los pentesters pasaron más de 12 horas en la cárcel del condado hasta que fueron liberados con una fianza de $100,000 ($50,000 cada uno). En los días siguientes, los funcionarios descubrieron que los pentesters también habían realizado pruebas de penetración física en el Palacio de Justicia y el Edificio Judicial del Condado de Polk.
La guerra territorial entre el condado de Dallas y los funcionarios estatales fue solo una de las cosas que complicaron el caso. El otro tema fue el acuerdo legal que Coalfire firmó con la Administración de Tribunales del Estado. El acuerdo completo se dividió en tres documentos separados que contenían términos confusos y contradictorios que describían el trabajo a realizar. Una orden de servicio inicial describía un plan para realizar «ataques físicos» contra el juzgado del condado de Dallas y otros dos edificios, pero en formas posteriores, las actividades de pentesting se describieron como «ingeniería social». También hubo un lenguaje contradictorio sobre si los pentesters estaban autorizados a usar equipos para forzar cerraduras y si se les permitía probar la seguridad física fuera del horario de trabajo.
Después de enterarse del contrato de pentesting, el fiscal del condado de Dallas, Charles Sinnard, redujo los cargos, pero a pesar de que no hubo apoyo para la intención criminal, continuó procesando a los dos hombres. En un comunicado emitido por Coalfire el jueves, los funcionarios escribieron:
Luego de las discusiones entre los representantes de Coalfire, el alguacil del condado de Dallas y el fiscal del condado de Dallas, el fiscal del condado de Dallas tomó la decisión de desestimar los cargos de allanamiento de morada contra los empleados de Coalfire. Está claro que el 11 de septiembre de 2023 la intención del alguacil del condado de Dallas era proteger a los ciudadanos del condado de Dallas y del estado de Iowa al garantizar la integridad del juzgado del condado de Dallas. También fue la intención de Coalfire ayudar a proteger a los ciudadanos del Estado de Iowa, probando la seguridad de la información mantenida por el Poder Judicial, de conformidad con un contrato con la Administración de Tribunales del Estado.
En última instancia, los intereses a largo plazo de la justicia y la protección del público no se atienden mejor con el enjuiciamiento continuo de los cargos de allanamiento. Esos intereses se atienden mejor si todas las partes trabajan juntas para garantizar que haya una comunicación clara sobre las medidas que se deben tomar para proteger la información confidencial que mantiene el Poder Judicial, sin poner en peligro la vida o la propiedad de los ciudadanos de Iowa, las fuerzas del orden público o las personas que realizan la prueba. El condado de Dallas y Coalfire esperan que el Poder Judicial trabaje con ellos para evitar cualquier problema relacionado con la realización de pruebas tan vitales en el futuro.
El CEO de Coalfire, Tom McAndrew, agregó: “Con lecciones positivas aprendidas, ahora comienza un nuevo diálogo con un enfoque en mejorar las mejores prácticas y elevar la alineación entre los profesionales de seguridad y las fuerzas del orden. Estamos agradecidos con la comunidad de seguridad global por su apoyo a lo largo de esta experiencia”.
En un comunicado, el abogado de DeMercurio y Wynn dijo:
El Sr. Wynn y De Mercurio se sienten aliviados de que las acusaciones hayan sido desestimadas, pero se sienten frustrados con la totalidad del proceso. Las fuerzas del orden público y los fiscales deben apreciar el hecho de que un arresto por un delito penal nunca se puede deshacer, incluso después de que se desestimó el cargo.
El sistema de justicia deja de cumplir su función crucial y pierde credibilidad cuando las acusaciones penales se utilizan para promover agendas personales o políticas. Tal práctica pone en peligro la administración efectiva de justicia y nuestra confianza en el sistema de justicia penal. Toda esta terrible experiencia podría haberse evitado simplemente respetando la determinación de los hechos que realizó el agente de la ley que respondió y que verificó que el trabajo estaba autorizado por el Poder Judicial. Desafortunadamente, la falta de comunicación entre las entidades gubernamentales, la ignorancia de la ley, el orgullo personal y la política anularon la investigación objetiva realizada por las fuerzas del orden que respondieron.
El Sr. Wynn y De Mercurio quisieran agradecer a los agentes del alguacil que respondieron y a los oficiales del Departamento de Policía de la Ciudad de Adel por su profesionalismo. También les gustaría agradecer a Coalfire por el apoyo incondicional que recibieron, especialmente del director ejecutivo Tom McAndrew y del vicepresidente Mike Weber. Finalmente, les gustaría agradecer a la familia Cyber Security por la inmensa cantidad de apoyo que brindaron.
Este fue un evento sin precedentes para la comunidad de seguridad cibernética. El Sr. Wynn y De Mercurio esperan compartir sus experiencias en un esfuerzo por ayudar a educar a otros a fin de proteger mejor a esta nación.
