image

Penetratietesters tijdens fysieke beveiligingstest gearresteerd

donderdag 19 september 2019, 16:15 door Redactie, 10 reacties

In de Verenigde Staten zijn vorige week twee penetratietesters gearresteerd tijdens het uitvoeren van een fysieke beveiligingstest bij een rechtbank in de Amerikaanse staat Iowa. Het securitybedrijf dat de test uitvoerde was door de State Court Administration ingeschakeld om de beveiliging te testen.

De penetratietesters hadden de opdracht gekregen om op verschillende manieren ongeautoriseerde toegang tot digitale gerechtelijke dossiers te verkrijgen. Ze werden aangehouden nadat er een alarm in de rechtbank was afgegaan, zo meldt de Des Moines Register. Volgens de autoriteiten was er een misverstand ontstaan over de locaties die onderdeel van de test zouden uitmaken.

"Beide partijen dachten dat ze een overeenstemming hadden over de locaties voor de fysieke beveiligingstest. Recente gebeurtenissen hebben echter aangetoond dat beide partijen verschillende interpretaties van de reikwijdte van de overeenkomst hadden", aldus een verklaring van de State Court Administration die gisterenavond verscheen.

De autoriteiten hebben excuses aan de sheriffs en raad van toezichthouders aangeboden voor de ontstane verwarring en de impact die het incident had. Daarnaast hebben het securitybedrijf en de autoriteiten de documenten met betrekking tot de beveiligingstest openbaar gemaakt en een onderzoek aangekondigd.

Reacties (10)
19-09-2019, 16:35 door [Account Verwijderd]
https://www.theregister.co.uk/2019/09/19/iowa_pentester_update/
19-09-2019, 16:38 door Anoniem
Ok maar wat is nou het probleem? Dit is toch de perfecte uitkomst van de test? Het lukte niet en degene die het
probeerde werd opgepakt. Kan niet beter zou ik zeggen.
19-09-2019, 17:10 door Anoniem
test geslaagd...
19-09-2019, 18:57 door Anoniem
Door Anoniem: Ok maar wat is nou het probleem? Dit is toch de perfecte uitkomst van de test? Het lukte niet en degene die het probeerde werd opgepakt. Kan niet beter zou ik zeggen.

Dit is een Europese manier van kijken naar het gebeurde.

Laten we eerlijk zijn. Dit is niet volgens de afspraak. Deze zijn dus niet nagekomen en reden voor...
Noem maar op. Dat is de Amerikaanse manier van kijken naar dit gebeurde.
19-09-2019, 19:38 door Anoniem
Lezen jullie wel?
19-09-2019, 22:45 door Anoniem
“This is not in scope”: said no attacker ever
20-09-2019, 07:05 door Anoniem
Door Anoniem:
Door Anoniem: Ok maar wat is nou het probleem? Dit is toch de perfecte uitkomst van de test? Het lukte niet en degene die het probeerde werd opgepakt. Kan niet beter zou ik zeggen.

Dit is een Europese manier van kijken naar het gebeurde.

Laten we eerlijk zijn. Dit is niet volgens de afspraak. Deze zijn dus niet nagekomen en reden voor...
Noem maar op. Dat is de Amerikaanse manier van kijken naar dit gebeurde.

Hoezo Amerikaanse manier van kijken? Als ik een pentest op een (andere) partij laat uitvoeren dan dek ik ook de scope goed af. Sowieso laat je de leverancier en pentester overenkomen dat de pentester computervredebreuk mag plegen. Bij een broncode review laat je een non-disclosure agreement tekenen en bij fysieke toegang tot andermans gebouw regel je ook gewoon expliciete toestemming.
20-09-2019, 08:12 door Anoniem
Door Anoniem: Ok maar wat is nou het probleem? Dit is toch de perfecte uitkomst van de test? Het lukte niet en degene die het
probeerde werd opgepakt. Kan niet beter zou ik zeggen.
Ze waren ingehuurd door de staat Iowa en de rechtbank waar ze inbraken was niet van de staat maar van de county, een district binnen de staat. Dat is een afzonderlijke rechtspersoon, de staat heeft geen zeggenschap over een gebouw dat eigendom is van de county en door de county wordt gebruikt. Een contract met de staat kan daarom geen toestemming opleveren om 's nachts in dat gebouw in te breken.

Het ligt eigenlijk nog wat ingewikkelder. In dat gebouw staan wel computers die bij het geteste systeem horen die, ook fysiek, mochten worden aangepakt, maar dat mochten de pentesters alleen tijdens kantooruren proberen. Voor acties buiten kantooruren (en dit was rond middernacht) waren aanvullende afspraken nodig, en er is tot nu toe niet gebleken dat die er waren.

Je kan zeggen dat het afgaan van een inbraakalarm en het optreden van de politie een geslaagde test vormen, het is alleen geen onderdeel van wat de staat mocht laten testen en zonder toestemming van de instantie die toestemming kan geven is een inbraak strafbaar.

Door Anoniem: Dit is een Europese manier van kijken naar het gebeurde.
Lijkt me niet. Bij ons geldt ook keihard dat als je geen toestemming hebt om ergens in te breken van iemand die die toestemming kan geven je fout zit als je toch inbreekt. En net als een officier van justitie het bij ons kan kan in de VS een openbaar aanklager besluiten om niet te vervolgen of om de eis af te zwakken.
20-09-2019, 09:41 door botbot
Door Anoniem:
Door Anoniem: Ok maar wat is nou het probleem? Dit is toch de perfecte uitkomst van de test? Het lukte niet en degene die het probeerde werd opgepakt. Kan niet beter zou ik zeggen.

Dit is een Europese manier van kijken naar het gebeurde.

Laten we eerlijk zijn. Dit is niet volgens de afspraak. Deze zijn dus niet nagekomen en reden voor...
Noem maar op. Dat is de Amerikaanse manier van kijken naar dit gebeurde.

Naja "niet volgende de afsrpaak". Dat is dus niet duidelijk. De staat dacht dat het alleen ging om acties tijdens kantooruren. En de onderzoekers dachten 24/7. En dat was nergens in een afspraak gedefinieerd.
20-09-2019, 10:00 door Nova
Geweldige test en goed zo! in mijn optiek is dit juist goed, een hacker zal ook niet van tevoren aankondigen in welk netwerk bijvoorbeeld ze gaan proberen in te breken, zodat ze de *deur* dicht kunnen doen ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.