El grupo de defensa de Servicios Digitales (DDS) se encarga de soluciones pioneras del sector privado para resolver algunos de los Departamento de Defensa de los problemas más complejos.
Y pioneros que son.
En noviembre, el Ejército de Estados Unidos coordina con el DDS para lanzar su primer fallo jamás desafío recompensa: https://hackerone.com/hackthearmy. La rama más grande del ejército de Estados Unidos dio la bienvenida a la inscripción de hackers, expandiendo sus esfuerzos de seguridad en una forma sin precedentes.
Es un reconocimiento de que las recompensas de errores y políticas de divulgación de vulnerabilidades crean una avenida legal de revelar vulnerabilidades, proporcionando un método para que los hackers utilizan sus habilidades para el bien.
ANTECEDENTES DE HACK EL EJÉRCITO
El más ambicioso programa de recompensas de errores Federal hasta la fecha, el Ejército Hack, dirigido sitios web operacionalmente significativos incluidos los de misión crítica para el reclutamiento - y para que diga "Hooah!"
Algunos de los principales objetivos de la Hack el programa de recompensas de errores Ejército:
- El Ejército está "poniendo su dinero donde está nuestra boca" y la construcción de puentes para el sector privado y hackers con talento;
- Acceda a la reserva de talento diverso de los piratas informáticos estrella de rock en HackerOne (muchos de los cuales de otra manera no trabajar con el Ejército);
- Aumentar el increíble trabajo de los equipos rojos y mano de obra DDS Ejército ya está haciendo para ayudar a proteger sus sistemas y redes.
- Aumentar la seguridad de los sistemas y redes orientadas a la misión que albergan información crítica para el reclutamiento militar
LOS RESULTADOS GLOBALES
El programa de recompensas de errores Hack Ejército corrió desde el miércoles 30 de de noviembre de, el año 2016 hasta el miércoles 21 de de diciembre de 2016.
Los resultados preliminares muestran que el programa fue un éxito!
Hack Los resultados del Ejército- Total de participantes elegibles registrados fue de 371 (derecho e invitó al programa).
- De los que participaron 25 eran empleados del gobierno incluyendo 17 personal militar.
- La primera vulnerabilidad fue reportada dentro de los cinco minutos de lanzamiento del programa !
- Los investigadores presentaron 416 informes, de ellos aproximadamente 118 carecían de precedentes, accionable.
- recompensas totales percibidas por los piratas informáticos hasta la fecha se estiman en alrededor de $ 100K (recompensas todavía se están concediendo).
UNA HISTORIA DE UNO DE LOS MEJORES INSECTOS
La vulnerabilidad más significativo encontrado a través de este ejercicio se debió a una serie de vulnerabilidades de cadena.
Un investigador podría pasar de una página web del lado público, goarmy.com, y llegar al Departamento de Defensa y el sitio web interno que requiere credenciales especiales para el acceso. Llegaron allí a través de un proxy abierto, es decir, el enrutamiento no se ha cerrado el camino que debería haber sido, y el investigador, sin saberlo, fue capaz de llegar a esta red interna, porque había una vulnerabilidad con el proxy, y con el sistema actual.
Por sí solo, ni la vulnerabilidad es particularmente interesante, pero cuando vincula entre sí, en realidad es muy grave.
Automatización sola rara vez es capaz de tales saltos de la lógica. Se requiere una mano de obra altamente cualificada encadenar una serie de defectos independientes para entender las complejidades de lo que podría ser algo crítico.
El equipo de recuperación del Ejército que posee y opera los sitios web, así como la brigada de Ciberprotección Ejército, actuaron rápido. Una vez que se presentó el informe, fueron capaces de bloquear cualquier nuevo ataque, y asegurarse de que no había manera de explotar la cadena de vulnerabilidades.
BUG BOUNTY HUNTERS SUPERIOR
Mientras recompensas de errores son una forma de que el Departamento de Defensa para aprovechar el talento del sector privado, a veces las estrellas de rock que ya se encuentran dentro de sus filas. Uno de los investigadores que participaron es un capitán del ejército actualmente en la escuela en el Centro Cibernético del ejército de excelencia en Fort Gordon, Georgia.
Además de tener un empleo a tiempo completo y la familia, este oficial registrado por el Ejército Hack para obtener las manos reales, operativos en la formación, además de su extensa escolarización. Este individuo ejemplar fue por encima y más allá de invertir en su país y su carrera como operador cibernético superior.
EL SIGUIENTE CAPÍTULO
El éxito del programa piloto de recompensas de errores Ejército, junto con el trabajo previo sobre Hack El Pentágono, que te sugeriría que mantener los ojos bien abiertos para más próximas noticias emocionante!
PS - Sólo un recordatorio de que los piratas informáticos que tengan conocimiento de las vulnerabilidades pueden revelar a DoD en HackerOne.
Fuente: https: //hackerone.com
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario