600 mil dólares pela prisão: como um teste de segurança legal se transformou em ação contra o estado

Às vezes, a melhor recompensa por um excelente trabalho não é um bônus, mas a ausência de uma sentença de prisão. Para Gary DeMercurio e Justin Winn, essa ironia se tornou realidade, estendendo-se por seis longos anos. A história começou em setembro de 2019, quando a empresa de cibersegurança Coalfire recebeu um contrato perfeitamente legal do sistema judiciário de Iowa.

A tarefa era cristalina: testar como um estranho poderia facilmente penetrar edifícios governamentais. Esta é uma prática padrão para Red Teaming, onde especialistas simulam as ações de invasores para encontrar vulnerabilidades antes que criminosos reais possam explorá-las. Gary e Justin abordaram o trabalho com responsabilidade, mas não contaram com um fator que nenhuma especificação técnica poderia prepará-los — o orgulho ferido das autoridades locais.

Naquela noite fatídica, os pentesters penetraram com sucesso no prédio do tribunal do condado de Dallas. Não quebraram portas com um malho, mas usaram suas habilidades profissionais. Quando o alarme disparou, não correram para fugir, mas esperaram pela polícia para poder apresentar seu "cartão de saída da prisão" — uma carta oficial do estado confirmando sua autoridade.

Em um mundo normal, teria terminado com uma breve conversa e um relatório de vulnerabilidades. Mas o xerife do condado de Dallas, Chad Leonard, decidiu de outra forma. Para ele, não era um teste de segurança, mas uma ofensa pessoal.

Apesar de terem um contrato, os especialistas foram presos e acusados de roubo com invasão de terceiro grau. O xerife declarou publicamente que ninguém tem o direito de entrar no "seu" prédio após o fechamento, nem mesmo com uma ordem da capital do estado.

Esse incidente causou uma mudança tectônica na comunidade de cibersegurança. De repente, percebeu-se que mesmo trabalhando sob um contrato oficial, você pode acabar atrás das grades por causa de um conflito de interesses entre o estado e o condado. Gary e Justin não passaram muito tempo na cadeia, mas as acusações pairaram sobre eles por meses, destruindo sua reputação e carreira. Embora as acusações tenham sido posteriormente reduzidas e depois retiradas sob pressão pública e bom senso, o dano foi feito. Os especialistas processaram o condado de Dallas, acusando as autoridades de prisão ilegal e difamação. Eles argumentaram que foram usados como peças em uma luta política entre autoridades locais e a administração judicial do estado.

A batalha legal durou anos, tornando-se uma maratona desgastante. As autoridades do condado continuaram tentando justificar as ações do xerife, insistindo que os pentesters supostamente haviam excedido o escopo de seu trabalho. No entanto, os fatos diziam o contrário: o contrato foi assinado, os objetivos definidos e os métodos estavam em conformidade com os padrões profissionais. Finalmente, o condado de Dallas preferiu não prosseguir para um julgamento completo com júri e concordou com um acordo. A quantia de 600 mil dólares não é apenas compensação por danos morais e despesas legais. É o preço que os contribuintes pagaram pela incompetência e teimosia de um xerife em particular.

Essa história importa não apenas por causa do dinheiro. Ela cria um precedente criticamente importante para toda a indústria de testes de penetração física. Agora, empresas que contratam especialistas para verificar segurança verificarão três vezes se as autoridades locais foram informadas e não terão o desejo de brincar de heróis de filmes de ação. Para os próprios "hackers éticos", isso é um lembrete de que a clareza legal em um contrato não é um luxo, mas a única maneira de sobreviver em um mundo onde a burocracia às vezes é mais perigosa do que qualquer exploit. Gary e Justin finalmente podem deixar esse pesadelo para trás, mas a cicatriz na indústria durará muito tempo.

O principal: a proteção legal para pentesters deve ser tão confiável quanto seu software, caso contrário você terá que pagar pela invasão de sistemas de segurança com sua liberdade.