安全人员在“渗透测试”过程中被逮捕。。。
文章来源:云头条
一家知名 *** 安全公司的两名安全工作人员与美国衣阿华州(Iowa)签约,在9月份对某些市政大楼(尤其是多幢法院大楼)进行“渗透测试”。
他们在工作过程中被捕。尽管衣阿华州承认与县当局沟通不畅,但指控仍未撤销。
这起事件引发了整个 *** 安全行业的担忧,包括有人担心:2020年总统大选前夕加大测试投票设施的力度可能会使安全专业人员面临险境。
美国衣阿华州与一家知名 *** 安全公司签约,在9月份对某些市政大楼(尤其是法院大楼)进行“渗透测试”。
9月份,该公司的两名员工在工作过程中被捕。指控仍未撤销。
这起事件引发了整个 *** 安全行业的担忧,包括有人担心:许多公司在2020年总统大选前夕加大测试设施(包括投票和选举设施)的力度可能会使安全专业人员面临险境。
普通的测试,罕见的结果
渗透测试(常常名为“pen test”)是由安全公司进行的一种评估,旨在揪出可能使数据面临风险的技术和物理安全漏洞。这可能包括测试服务器以查看是否可以通过电子方式窃取敏感数据,或测试设施以查看是否有人可以轻易闯入并访问敏感数据或设备。渗透测试人员收费后尝试闯入公司或 *** 的设施、计算机、设备和数据中心。
9月9日,渗透测试公司Coalfire的两名员工Justin Wynn和Gary Demercurio试图绕过衣阿华州达拉斯县法院的一套安全系统,使用那些“其他方式”进入了系统。据该公司首席执行官Tom McAndrew声称,这两名员工之前已成功测试了另外两幢法院大楼,而且与地方当局有良好的互动。
McAndrew告诉CNBC,在达拉斯县法院大楼,他们俩发现一扇门被撑开着。他们关上了门,然后试图再次打开,在此过程中触发了警报。
McAndrew说,这种情况下按规定是等当局到来,Wynn和Demercurio就是这么做的。他说,那时,他们与警长的代表有良好的互动。代表们检查了他们的文件和证书。但是警长到来后,他们却因盗窃罪被捕。他们蹲了一晚的班房,公司不得不将他们保释出来。
McAndrew说,在渗透测试中,“让警察介入并非完全不寻常”,但安全专业人员被捕却不寻常。
更令人惊讶的是,尽管有一份内容明确的合同概述了这两名员工是被该州司法部门雇来闯入大楼的,但他们俩在达拉斯县仍面临指控。McAndrew认为,受雇人员在渗透测试过程中被捕、随后面临指控“是前所未有的”。
据逮捕时当地新闻报道,签约进行渗透测试的州与有权监管法院大楼安全状况的达拉斯县之间似乎存在沟通不畅的情况。McAndrew说,但这应该与犯罪是否发生的问题无关。
McAndrew:“我不知道为什么当局不放他们走。他们被关押在监狱。我们以为州会与县一起解决这些问题。我们获悉会减轻指控而不是撤销指控后,很震惊居然会发生这种事。”
据《得梅因纪事报》报道,衣阿华州更高法院大法官Mark Cady上个月就此事向州参议院委员会道歉。不过据报道显示,一些立法者抱怨道,渗透测试可能对公众构成某种“危险”。
据事件调查结果显示,Coalfire自2015年以来一直与衣阿华州更高法院签有进行渗透测试的合约。服务令允许进行典型的渗透测试服务,包括“尾随而入”(试图跟在有权访问所有大楼区域的授权员工身后进入设施)和“非破坏性的撬锁”。
*** 安全领域的警报
David Kennedy是同样进行渗透测试的 *** 安全咨询公司Binary Defense and Trusted Sec的创始人兼首席执行官,他解释道,渗透测试非常普遍。
Kennedy说:“我与开展这类工作的公司的老板有过多次交谈,他们多少觉得这不可思议。你着眼于自己的工作以及现有的保护措施。我们尽力确保你获得全面的授权。这些人试图帮助客户提高安全性,结果却被捕,太不像话了。”
Kennedy说,他是在2017年对一家保险公司进行获得批准的渗透测试的过程中被捕的。他说,他与当局之间的互动良好;就像衣阿华州的Coalfire员工一样,他也携带了概述为什么来此工作、为谁工作的文件。在Kennedy的案子中,警察拨打了与他公司签约的那家公司提供的 *** 号码,最终得到了是保险公司要求进行渗透测试的保证。
Kennedy说:“我们都在密切关注此事,我们对此表示关切。”
*** 安全群众测试服务Bugcrowd的创始人兼董事长Casey Ellis为公司和 *** 机构进行有组织的渗透测试,他说,他在刚接触渗透测试(尤其是成功测试)的公司中看到与达拉斯县的反应有相似之处。
Ellis说:“进行进攻性测试时,常常会有很大的过度反应,有人会表明影响。”他说,试图测试公司中漏洞的黑客也因其工作而面临过法律诉讼,业界试图为此制定相应的法律框架加以保护。”
Ellis表示,衣阿华州的这起事件促使他公司对2018年启动的一个名为Disclose.io的项目“寄予厚望”,这个开源项目旨在概述指导原则,以便在披露漏洞的同时,为力求披露漏洞的研究人员制定“安全港”协议。
Ellis表示,他担心这起事件可能会限制渗透测试人员的工作范围和效果,尤其是在2020年大选前夕,选举和投票设施正受到越来越多的审查。
Ellis说:“人们在构建系统时,无论是计算机 *** 还是实体大楼,它都有主要的功能;而构建系统的人不一定考虑安全。我看到这方面的需求在快速加大。
相关文章
维基百科遭DDoS攻击,宕机多个小时,多国受影响
没错,就是你十分熟悉的那个维基百科出问题了。 维基百科(Wikipedia)遭受恶意网络攻击,导致多个国家的网站宕机下线。 最受欢迎的百科全书遭攻击 维基百科是全球最大也最受欢迎的网络参考工...
住酒店不再无聊 ,城市便捷变身很会“撩”的酒店品牌
移动互联网时代,营销圈开始流行起一句话:“得用户者得天下“,越来越多企业把用户经营放在品牌营销的重要地位。作为酒店界的营销高手,城市便捷酒店也持续致力于探索用户经营,在真实场景下跟用户建立沟通和对话,...
应对内部威胁需要在不断变化的环境中管理风险
很多企业在“始终在线”和“按需使用”工作场所中管理内部人员风险需要采用新模式。除了对设备或网络进行逻辑保护以保护数据以及监视、审核和管理人员之外,还需要一种新的无边界内部人员风险管理方法来确保安全,该...
刷屏朋友圈的“做任务,赚钱App”,到底有啥猫腻?
最近,市场上出现了一些声称可以赚钱的手机App,用户只要根据App的指令完成相应任务就可以获得奖励,吸引了很多消费者的关注。 这些到底是什么任务?怎么赚钱?这类App真能赚到钱吗? 声称阅读、走路...
xss攻击原理与跨站解决方法
xss发生原理 xss就是跨站脚本攻击,造成这种漏洞存在的根本原因是开发者的安全意识不够而留下的漏洞,使得用户可以直接在页面提交代码,并且执行,从而获取到用户权限,cookie等危害,xss攻击一般...
网络遇“贵人”实则是团伙诈骗 女子月投73万血本无归
网络投资需谨慎,所谓的“暴利”往往都是骗子精心设计的诱饵。16日记者获悉,在浙江东阳就有一名女子在陌陌上无意间结识了一个能带着她发财的“贵人”,初次投入1万元当天就挣到600元。尝到了甜头的她准备投入...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!