Rekordowa liczba podatności w sieciach Pentagonu. Sukces programu etycznych hakerów

3 marca 2020, 09:27
ETYCZNI_HAKERZY56
Fot. Air Force/defense.gov/

Etyczni hakerzy znaleźli największą ilość podatności w sieciach i systemach Departamentu Obrony od początku rozpoczęcia programu – wynika z oficjalnych danych Pentagonu. To kolejne potwierdzenie, że inicjatywy bug bounty przynoszą pożądane rezultaty.

Centrum Cyberprzestępczości w Departamencie Obrony (DC3) opublikowało sprawozdanie z programu Vulnerability Disclosure (VDP). Inicjatywa ta polega na tym, że etyczni hakerzy sprawdzają bezpieczeństwo sieci i systemów Pentagonu, a następnie informują Departament Obrony o tym co się udało wykryć.  Ostatni raport z realizacji programu informuje o 4 tys. znalezionych podatności, z czego prawie 3 tys. doprowadziło do wprowadzenia dodatkowych środków bezpieczeństwa.  8% ze zgłoszonych podatności miało znaczenie krytyczne. To o 21% więcej niż w 2017 roku – wynika z raportu Pentagonu.

Departament Obrony pracuje nad metodami ujawniania  podatności w sieciach i systemach. W 2016 roku, uruchomiono projekt „Hack the Pentagon”, który ma nagradzać etycznych hakerów za wynajdywanie błędów i podatności. Początkowo za 140 podatności znalezionych na 5 publicznych stronach internetowych zapłacono 150 tys. dolarów. Przykład z Departamentu Obrony wzięło wiele innych instytucji zarówno w sektorze prywatnym jak i państwowym uruchamiając własne programy big bounty – informuje Cyberscoop.

Dyrektor programu Vulnerability Disclosure, Kristopher Johnson powiedział na początku roku, że wiele organizacji wciąż jest niechętnych współpracy z hakerami. Pentagon musiał przejść wewnętrzną transformację, aby współpraca z etycznymi hakerami przyniosła pożądany rezultat.  W 2018 roku, Pentagon zwiększył wydatki o 34 miliony na ten program.

W 2016 roku program Hack the Pentagon jako narzędzie usprawnienia cyber higieny było czymś rewolucyjnym. Dzisiaj trudno jest wyobrazić sobie bezpieczeństwo sieci i systemów Pentagonu bez tego programu – powiedział Johnson w rozmowie z Cyberscoop. Podkreślił też, że zaufanie jest fundamentem współpracy. Ufamy, że hakerzy będą działali etycznie i swoimi działaniami nie zaszkodzą Departamentowi Obrony.

W zeszłym roku, etyczni hakerzy byli szczególnie pomocni w znalezieniu niezałatanych luk w VPNach, które były wykorzystywane przez sponsorowanych przez państwa hakerów, którzy wykorzystując ich podatność wykradali dane do logowania oraz mogli monitorować ruch. Była to jedna z najważniejszych działań przeprowadzonych przez etycznych hakerów.

Jednak znalezienie luk w VPNach to nie jedyny problem rozwiązany przez etycznych hakerów. Pomogli oni również usunąć zagrożenia w CMSach (narzędzia do administrowania stroną) takich jak WordPress, DotNetNuke czy vBulletin. Najpopularniejszym błędem wykrytym w trakcie pracy było jednak ujawnianie informacji przez pracowników nieautoryzowanym podmiotom trzecim jak również łamanie zasad bezpiecznego projektowania.

Wykorzystanie etycznych hakerów przynosi wiele korzyści  i pozwala na odkrycie wielu luk i słabości systemów teleinformatycznych w Departamencie Obrony pozwalając na zwiększenie bezpieczeństwa. Obecnie w Stanach Zjednoczonych rozpatruje się rozszerzenie współpracy projektu VDP z Defence Counterintelligence and Security Agency (DCSA) oraz DC3’s Defence Industrial Base Collabrative Information Sharing Environment (DCISE) w celu ujawnienia podatności.

Autorzy raportu wyrażają nadzieje na powtórzenie sukcesu i wykorzystanie wiedzy i doświadczenia Pentagonu dla prywatnych firm z sektora zbrojeniowego, które nie posiadają odpowiednich zasobów aby samemu rozpocząć takie programy.

Pozytywnie o programach typu Hack the Pentagon czy Hack the Army wyrażał się również generał brygady Karol Molenda. W wywiadzie dla CyberDefence24.pl podkreślił, że doświadczenia partnerów zagranicznych pokazują, że jest to słuszna inicjatywa. Zapowiedź programów bug-bounty znalazła się również w Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024.

KomentarzeLiczba komentarzy: 1
Fanklub Daviena
wtorek, 3 marca 2020, 12:50

Powodzenia w zabezpieczaniu infrastruktury na amerykańskim Intelu, gdzie gratis dodają Meltdown, Spectre, SpectreRSB, RIDL, Fallout, Zombieload, Plundervolt, Zombieload 2, TPM-FAIL, NetCAT, SWAPGS, SPOILER, Foreshadow, Machine Check DoS, BMC flaws, Lazy FPU context switching issues itd. I "polecam" amerykańskie, zamiast "złych" chińskich Huawei, chipy wi-fi Broadcoma czy Cypress, które, jak odkrył ESET, po wysłaniu im radiowo odpowiedniego kodu, "szyfrują" transmisję wi-fi "kluczem" w którym są same zera! Niech Polin buduje swoją infrastrukturę na "najlepszych" rozwiązaniach naszego nowego Wielkiego Brata, by się "uchronić" przed złymi Ruskimi i Chińczykami! :)