文章来源:云头条
一家知名网络安全公司的两名安全工作人员与美国衣阿华州(Iowa)签约,在9月份对某些市政大楼(尤其是多幢法院大楼)进行“渗透测试”。
他们在工作过程中被捕。尽管衣阿华州承认与县当局沟通不畅,但指控仍未撤销。
这起事件引发了整个网络安全行业的担忧,包括有人担心:2020年总统大选前夕加大测试投票设施的力度可能会使安全专业人员面临险境。
美国衣阿华州与一家知名网络安全公司签约,在9月份对某些市政大楼(尤其是法院大楼)进行“渗透测试”。
9月份,该公司的两名员工在工作过程中被捕。指控仍未撤销。
这起事件引发了整个网络安全行业的担忧,包括有人担心:许多公司在2020年总统大选前夕加大测试设施(包括投票和选举设施)的力度可能会使安全专业人员面临险境。
普通的测试,罕见的结果
渗透测试(常常名为“pen test”)是由安全公司进行的一种评估,旨在揪出可能使数据面临风险的技术和物理安全漏洞。这可能包括测试服务器以查看是否可以通过电子方式窃取敏感数据,或测试设施以查看是否有人可以轻易闯入并访问敏感数据或设备。渗透测试人员收费后尝试闯入公司或阅批的设施、计算机、设备和数据中心。
9月9日,渗透测试公司Coalfire的两名员工Justin Wynn和Gary Demercurio试图绕过衣阿华州达拉斯县法院的一套安全系统,使用那些“其他方式”进入了系统。据该公司首席执行官Tom McAndrew声称,这两名员工之前已成功测试了另外两幢法院大楼,而且与地方当局有良好的互动。
McAndrew告诉CNBC,在达拉斯县法院大楼,他们俩发现一扇门被撑开着。他们关上了门,然后试图再次打开,在此过程中触发了警报。
McAndrew说,这种情况下按规定是等当局到来,Wynn和Demercurio就是这么做的。他说,那时,他们与警长的代表有良好的互动。代表们检查了他们的文件和证书。但是警长到来后,他们却因盗窃罪被捕。他们蹲了一晚的班房,公司不得不将他们保释出来。
McAndrew说,在渗透测试中,“让警察介入并非完全不寻常”,但安全专业人员被捕却不寻常。
更令人惊讶的是,尽管有一份内容明确的合同概述了这两名员工是被该州司法部门雇来闯入大楼的,但他们俩在达拉斯县仍面临指控。McAndrew认为,受雇人员在渗透测试过程中被捕、随后面临指控“是前所未有的”。
据逮捕时当地新闻报道,签约进行渗透测试的州与有权监管法院大楼安全状况的达拉斯县之间似乎存在沟通不畅的情况。McAndrew说,但这应该与犯罪是否发生的问题无关。
McAndrew:“我不知道为什么当局不放他们走。他们被关押在监狱。我们以为州会与县一起解决这些问题。我们获悉会减轻指控而不是撤销指控后,很震惊居然会发生这种事。”
据《得梅因纪事报》报道,衣阿华州最高法院大法官Mark Cady上个月就此事向州参议院委员会道歉。不过据报道显示,一些立法者抱怨道,渗透测试可能对公众构成某种“危险”。
据事件调查结果显示,Coalfire自2015年以来一直与衣阿华州最高法院签有进行渗透测试的合约。服务令允许进行典型的渗透测试服务,包括“尾随而入”(试图跟在有权访问所有大楼区域的授权员工身后进入设施)和“非破坏性的撬锁”。
网络安全领域的警报
David Kennedy是同样进行渗透测试的网络安全咨询公司Binary Defense and Trusted Sec的创始人兼首席执行官,他解释道,渗透测试非常普遍。
Kennedy说:“我与开展这类工作的公司的老板有过多次交谈,他们多少觉得这不可思议。你着眼于自己的工作以及现有的保护措施。我们尽力确保你获得全面的授权。这些人试图帮助客户提高安全性,结果却被捕,太不像话了。”
Kennedy说,他是在2017年对一家保险公司进行获得批准的渗透测试的过程中被捕的。他说,他与当局之间的互动良好;就像衣阿华州的Coalfire员工一样,他也携带了概述为什么来此工作、为谁工作的文件。在Kennedy的案子中,警察拨打了与他公司签约的那家公司提供的电话号码,最终得到了是保险公司要求进行渗透测试的保证。
Kennedy说:“我们都在密切关注此事,我们对此表示关切。”
网络安全群众测试服务Bugcrowd的创始人兼董事长Casey Ellis为公司和阅批机构进行有组织的渗透测试,他说,他在刚接触渗透测试(尤其是成功测试)的公司中看到与达拉斯县的反应有相似之处。
Ellis说:“进行进攻性测试时,常常会有很大的过度反应,有人会表明影响。”他说,试图测试公司中漏洞的黑客也因其工作而面临过法律诉讼,业界试图为此制定相应的法律框架加以保护。”
Ellis表示,衣阿华州的这起事件促使他公司对2018年启动的一个名为Disclose.io的项目“寄予厚望”,这个开源项目旨在概述指导原则,以便在披露漏洞的同时,为力求披露漏洞的研究人员制定“安全港”协议。
Ellis表示,他担心这起事件可能会限制渗透测试人员的工作范围和效果,尤其是在2020年大选前夕,选举和投票设施正受到越来越多的审查。
Ellis说:“人们在构建系统时,无论是计算机网络还是实体大楼,它都有主要的功能;而构建系统的人不一定考虑安全。我看到这方面的需求在快速加大。