Bron: Des Moines Register/ 12-09-2019/ Anna Spoerre
Twee mannen zijn gearresteerd voor het binnendringen van het gerechtsgebouw in Dallas, dit gebeurde nadat de rechterlijke macht hen had ingehuurd om de ‘kwetsbaarheden’ van het gebouw, middels een fysieke penetratietest, te onderzoeken.
Het kan natuurlijk nooit de bedoeling zijn dat dergelijke incidenten zich kunnen voordoen bij een PEN test of Red Teaming operatie. Hoe dan ook is hier wat ons betreft sprake van een slechte voorbereiding en uitvoering van een fysieke penetratietest.
Wij besteden altijd veel tijd en aandacht aan de mogelijkheid dat een auditor betrapt wordt door een functionaris of persoon die niets van de test zelf af weet. Zelfs de risico’s van bewakingshonden, bewapende beveiliging of politie worden afgewogen en geëlimineerd voordat we überhaupt aan een operatie gaan beginnen. En dan is het wat ons betreft al spannend genoeg.
De mannen zijn gearresteerd omdat ze in het gerechtsgebouw van Dallas County hadden ingebroken, vertelde de politie. De auditors, uitgerust met tal van inbraakinstrumenten, vertelden de autoriteiten dat ze een contract hadden om de beveiliging van het gerechtsgebouw te testen en de responstijd van de politie te meten. Een contract dat bij ambtenaren van Dallas County niet bekend was.
Het beveiligingssysteem van het gerechtsgebouw heeft duidelijk zijn werk gedaan. Het alarmsysteem trad bij de aanval kort na middernacht in werking toen de auditors op de derde verdieping van het gerechtsgebouw rondliepen.
De twee auditors uit Napels, Florida en uit Seattle, Washington, werden allebei beschuldigd van inbraak en bezit van inbraakgereedschap. Hun borg werd vastgesteld op 50.000 dollar. De mannen waren in dienst bij een cyber security-adviesbureau uit Colorado, Iowa. Een woordvoerder weigerde kort na het incident commentaar te geven op de situatie. De mannen zullen op 23 september opnieuw verschijnen in het gerechtsgebouw van Dallas County, niet uit eigen beweging maar voor voorlopige hoorzittingen. De sheriff in Dallas County weigerde commentaar te geven, omdat het onderzoek nog gaande is.
De opdrachtgever van de PEN testen heeft later excuses aangeboden aan de ambtenaren van Dallas County, die de inbraak blijven onderzoeken.
Een fysieke penetratietest uitvoeren?
Het uitvoeren van een fysieke penetratietest of het inzetten van een Red Team operatie levert bijna altijd nieuwe en bruikbare inzichten op. Natuurlijk zorgen wij er samen met onze opdrachtgever voor dat risico’s aangaande de oefening zelf geëlimineerd worden. Wij gaan graag vrijblijvend met u in gesprek om de mogelijkheden, maar ook de onmogelijkheden te bespreken.