Armia i Służby
Luki w zabezpieczeniach Pentagonu. USA testują systemy zabezpieczeń
9 podatności najwyższego stopnia oraz 1 krytyczną lukę w systemach Departamentu Obrony Stanów Zjednoczonych odkryli etyczni hakerzy sprawdzając zabezpieczenia serwerów pośredniczący, wirtualnych sieci prywatnych i wirtualnych pulpitów w ramach programu bug bounty „Hack the Proxy”. Skorzystanie z programów bug bounty rozważa również Polska, co zostało przestawione w projekcie nowej strategii cyberbezpieczeństwa.
Poza 10 lukami, które mogły stwarzać największe zagrożenie, hakerzy w ramach „Hack the Proxy” znaleźli również 21 innych mniej poważnych podatności. Rzecznik Departamentu Obrony nie wytłumaczył jakie luki dokładnie odkryto – informuje portal CyberScoop.
Program BugBounty, który został sfinansowany przez USCYBERCOM, był ukierunkowany na znalezienie podatności w programach pozwalających na zdalne łączenie się z siecią informacyjną Departamentu Obrony. Przełamanie jej zabezpieczeń pozwoliło by hakerom obserwować co się dzieje wewnątrz Pentagonu.
Projekt USCYBEROM zbiega się w czasie z ostrzeżeniem, które wydało ostatnio NSA. Amerykańska agencja wywiadowcza informowała, że aktorzy państwowi wykorzystują podatności w VPNach Pulse Secure i Fortinetu. Ataków w ich wykorzystanie mieli dokonywać w przeszłości chińscy hakerzy z grupy APT5.
Jeden z żołnierzy w USCYBERCOM w opublikowanym oświadczeniu stwierdził, że programy bug bounty pomagają Departamentowi Obrony upewnić się, że ich sieci są odporne na ataki ze strony wrogich podmiotów. Etyczni hakerzy sprawdzają nasze zdolności, przyczyniają się do zlikwidowania wcześniej nieznanych podatności oraz usprawniają nasze zdolności prowadzenia operacji wojskowych w wielu domenach naraz czyli łącząc działania w powietrzu, na morzu, na lądzie z aktywnością w przestrzeni kosmicznej i cyberprzestrzeni. Zdaniem sekretarza armii Ryana McCarthy’iego, przeciwnicy USA pozostają jeden krok naprzód przed USA. W jego opinii przeciwnicy USA operują w przestrzeni kosmicznej i cyberprzestrzeni nie niepokojeni przez kogokolwiek.
Program bug bounty zgromadził 81 hakerów ze Stanów Zjednoczonych, Ukrainy, Turcji, Indii czy Kanady i trwał przez 2 tygodnie. Najwyższa nagroda dla pojedynczego hakera wyniosła 16 tys. dolarów. Łączna pula nagród przekroczyła 33 tys. dolarów. Był to 8 program bug bounty Pentagonu. Już zapowiedziano kolejną edycję, która tym razem skupi się na sprawdzeniu zabezpieczeń sieci i systemów US Army.
Stany Zjednoczone są bardzo zadowolone z wyników programów bug bounty, które pozwalają im tanim kosztem usprawnić swoje systemy i sieci oraz sprawdzać zdolności reagowania. Wprawdzie pojawią się problemy, jak np., że do etycznych hakerów w trakcie trwania programów przyłączają się również hakerzy, którzy chcą wyrządzić realne szkody to i tak programy okazały się wielkim sukcesem.
Warto obserwować amerykańskie doświadczenia w ramach programów bug bounty, ponieważ taką inicjatywę rozważa się również w Polsce. W najnowszym projekcie Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2019-2024 taki pomysł się pojawił. Nie wiadomo jeszcze jak będzie on wyglądał w Polsce oraz czy obejmie tylko struktury cywilne, czy być może skorzysta z niego również wojsko.
