14 grudnia br. rozpocznie się trzecia edycja popularnych zawodów hakerskich, w ramach których uczestnicy atakują sieci i systemy Pentagonu w celu poszukiwaniu luk oraz podatności. W ten sposób Stany Zjednoczone próbują podnosić jakość cyberbezpieczeństwa swojej infrastruktury.
Cykl hakerskich zawodów rozpoczął się pod koniec 2016 roku, kiedy to z powodzeniem udało się uruchomić flagowy projekt Departamentu Obrony USA (DoD) „Hack the Pentagon bug bounty”. Stworzona przez amerykańską Defense Digital Service (DDS) inicjatywa miała z założenia pomóc Pentagonowi oraz siłom zbrojnym USA w przeprowadzaniu skutecznej oceny cyberbezpieczeństwa sieci i systemów.
Jak wskazano w oficjalnym komunikacie U.S. Army, wydarzenie skupia wykwalifikowanych cywilnych i wojskowych specjalistów zajmujących się cyberbezpieczeństwem (często określanych jako etyczni hakerzy), których zadaniem jest wykorzystanie posiadanych zdolności do wykrywania podatności w sieciach i systemach Pentagonu. Najlepsi uczestnicy zgodnie z przyjętymi zasadami otrzymują nagrody pieniężne.
Wykorzystanie umiejętności oraz wiedzy grupy ekspertów w kontrolowanych warunkach pozwala na wprowadzenie mechanizmów podnoszących jakość cyberbezpieczeństwa Stanów Zjednoczonych, w tym danych Departamentu Obrony czy systemów wojskowych
Pierwsza wersja Hack The Army przyciągnęła 371 hakerów. Wśród nich znalazło się 25 specjalistów działających na zlecenie rządu oraz 17 związanych z wojskiem. W efekcie wydarzenie to pozwoliło zidentyfikować, a następnie zlikwidować 118 luk w amerykańskich zabezpieczeniach. Najlepsi hakerzy otrzymali około 100 000 USD za swoje „odkrycia”.
Po sukcesie pierwszej edycji pod koniec 2019 r. zorganizowano kolejną – „Hack The Army 2.0”. Udział w niej wzięło 52 specjalistów z sześciu krajów, którzy finalnie znaleźli 146 podatności w publicznie dostępnych witrynach armii USA. Nagroda dla najlepszych została ponad dwukrotnie zwiększona względem poprzedniej edycji i wyniosła 275 000 USD.
Teraz Departament Obrony Stanów Zjednoczonych wyznaczył termin trzeciej odsłony wydarzenia. „Hack The Army 3.0” rozpocznie się 14 grudnia br. i potrwa do 28 stycznia 2021 roku.
Głównym przedmiotem zmagań uczestników najnowszej edycji wydarzenia będzie kilkanaście domen istotnych z punktu widzenia sił zbrojnych USA, a także usługi przeznaczone do logowania i/lub uwierzytelniania. Jednym z celów będą witryny z adresem: „.army.mil”.
Jak ważna jest likwidacja luk w wojskowej infrastrukturze sieciowej Stanów Zjednoczonych zauważyła m.in. amerykańska National Security Agency (NSA), która wskazała, że podatności wykorzystują chińscy hakerzy do kradzieży poufnych danych.
W opublikowanym pod koniec października br. alercie NSA podkreśliła, że hakerzy Państwa Środka podczas operacji bardzo często korzystają z istniejących luk w zabezpieczeniach, w związku z tym ważne jest, aby podmioty odpowiedzialne za infrastrukturę nadawały szczególny priorytet wdrażaniu aktualizacji. Ma to się przyczynić do zlikwidowania istniejących podatności.
Podejście polegające na wykorzystaniu zdolności oraz know-how etycznych hakerów realnie przyczynia się do podnoszenia cyberbezpieczeństwa nie tylko U.S. Army, ale także innych podmiotów stanowiących fundament funkcjonowania Stanów Zjednoczonych. W ten sposób Amerykanie są w stanie zidentyfikować luki oraz podatności, które mogłyby zostać wykorzystane przez wrogich aktorów. To inicjatywa, która z roku na roku nabiera znaczenia i staje się coraz ważniejszym punktem na mapie cyberbezpieczeństwa USA. Czy w Polsce podobne rozwiązanie „przyjęłoby się” i przyniosło podobne efekty?