Immagina di essere pagato per fare il tuo lavoro, solo per finire in galera. Questo è ciò che è successo a Gary DeMercurio e Justin Wynn, due pentesters che hanno testato la sicurezza di un tribunale. Il loro crimine? Avere fatto esattamente quello per cui erano stati ingaggiati.
La contea in questione ha deciso di pagare 600mila dollari per sistemare la situazione, ma la storia è molto più interessante di così. Vediamo insieme cosa è successo e cosa possiamo imparare da questo pasticcio.
Tutto è iniziato nel 2020, quando i due esperti di sicurezza sono stati ingaggiati per testare le vulnerabilità del tribunale. Hanno fatto il loro lavoro, hanno trovato problemi seri, e poi… sono stati arrestati. Sì, avete capito bene. La contea ha deciso che il modo migliore per gestire una falla di sicurezza era sbattere in prigione chi l’aveva scoperta.
Dopo oltre sei anni di battaglie legali, finalmente la contea ha capito che forse non era stata un’idea geniale. E così, invece di continuare a fare la guerra ai suoi stessi esperti di sicurezza, ha preferito pagare un bel po’ di soldi per chiudere la faccenda.
Da smanettone, la prima cosa che mi viene in mente è: ma davvero? In un’epoca in cui la cybersecurity è più importante che mai, come si fa a non capire che arrestare chi cerca di proteggerti è l’ultimo dei buoni consigli? Se anche noi, quando troviamo un bug in un nostro progetto, venissimo arrestati per averlo segnalato, non credo che molti si sentirebbero motivati a continuare.
La lezione principale qui è che la sicurezza informatica non è un gioco. Se vuoi che la gente ti aiuti a proteggere i tuoi sistemi, devi trattarli con rispetto. Arrestarli non è esattamente il modo migliore per guadagnarsi la loro fiducia.
Per noi che amiamo smanettare, questo caso è un esempio perfetto di come la burocrazia possa trasformare una situazione semplice in un incubo. La prossima volta che qualcuno vi dice che la sicurezza è troppo complicata, ricordategli questa storia. E se qualcuno vi chiede di testare la sicurezza di un sistema, assicuratevi che abbiano capito bene cosa state facendo. Altrimenti, potreste finire nei guai.
In conclusione, la contea ha imparato la lezione a caro prezzo. Noi possiamo imparare da questo errore senza dover sborsare 600mila dollari. La prossima volta che qualcuno vi chiede di testare la sicurezza di qualcosa, assicuratevi che sappiano cosa stanno facendo. Altrimenti, potreste finire nei guai.
E ricordate: se vi arrestano per aver fatto il vostro lavoro, forse è il caso di cambiare lavoro.
Source: County pays $600,000 to pentesters it arrested for assessing courthouse security