Hackers del Pentágono contratación de objetivo sensibles sistemas internos


(Bloomberg) – el Pentágono paga los hackers para poner a prueba su clave interna de sistemas para corregir las vulnerabilidades – y encuentran debilidades más pronto de lo esperado.

en un proyecto piloto el mes pasado, servicios digitales de la defensa, el Pentágono dejó alrededor de 80 investigadores de seguridad en una simulación de ‘mecanismo de transferencia de archivos’ el Departamento se basa en el envío de correos electrónicos sensibles, documentos e imágenes entre redes, incluyendo los clasificados. El esfuerzo fue lo suficientemente importante como para que personal para el nuevo Secretario de defensa James Mattis informado de cursos programa su primer día en el trabajo.

Lisa Wiswell, cuyo título DDS es ‘hacker de la burocracia’, dijo que analistas cyber Pentágono que en modo de espera después de que el programa comenzó el 11 de enero, pero agregó que nada se convertiría probablemente hacia arriba por una semana. Dentro de las horas, sin embargo, el primer informe de un hacker, destacando el riesgo ocurrido.

“Es sorprendente”, Wiswell dijo en una entrevista en su oficina en el Pentágono. “Pensé, ‘ no sé qué más bajará el Lucio si tenemos cosas que rápidamente se cae.” “

Vea también: los hackers hacen $71.” 2K dividiendo en instalaciones militares, el primer Bug Bounty del Pentágono

con las preocupaciones acerca de las vulnerabilidades de cyber en aumento dentro del gobierno de Estados Unidos, la firma de cyber que SYNACK Inc. recibió un de tres años, contrato de $ 4 millones en septiembre para llevar a cabo “bonos bug” en el Pentágono. La empresa con sede en Redwood City, California, controlados y recluta a los investigadores de seguridad de los Estados Unidos, Canadá, Australia y el Reino Unido, según Mark Kuhr, Director técnico de Synack y un ex analista de la Agencia de seguridad nacional. El ejercicio funcionó hasta el 7 de febrero, con más esperado.

por razones de seguridad, los piratas no consiguieron acceso directo a redes operacionales. En cambio, el servicio digital reproduce sistemas de transferencia de archivos en una “playa de cyber”, una especie de laboratorio digital que se asemeja al entorno original. La compañía también ha añadido capas adicionales de seguridad para asegurarse de que los opositores no comprometer los hackers de computadoras o en la playa.

“” debe presumirse que su laptop todo se ve – los rusos se sientan para laptops – cómo nos niegan acceso al desafío, “Kuhr dice”. ‘ ” ¿Cómo prevenir los acceso a las vulnerabilidades que se podrían tomar del desafío? ¿”

relacionados: son los centros de datos del Pentágono DC primero en el bloque?

convencer a altos funcionarios en el Pentágono que es un esfuerzo seguro lleva tiempo y esfuerzo, dijo el servicio de digital. Chris Lynch, Director de los CD, dijo que había informado el personal del Secretaria de la defensa Mattis su primer día en la oficina en el programa. La herramienta de transferencia de archivos es importante porque se mueve fuertemente algunos de la información más importante para las misiones del Departamento de defensa en el Pentágono, tanto en el campo.

“tenemos una absoluta necesidad para ser capaces de transmitir una orden, confía en que lleguen a un destino e interpretar esto y luego hacer lo que él dice”, dijo Lynch en una entrevista. “Si hay cualquier elemento cuando no tenga ninguna confianza en una cañería, que socava mucho de cómo funciona el Departamento”.

digital servicio instó a los piratas para intentar eludir las protecciones de transferencia de archivos; extraer datos de una red que no debían haber consultado; y “la caja”, o tomar el control del sistema. Funcionarios no especifican las diferencias que se han descubierto, pero los expertos dicen que ciber Departamento ahora son resolver los problemas.

Vea también: detención de contratista NSA renueva enfocan el riesgo planteado por los iniciados

, el programa viene de los proyectos previamente por el servicio digital, que es parte del servicio Digital de los Estados Unidos de la casa blanca, iniciado por la administración de Obama y conservado hasta ahora bajo el Presidente Donald Trump. El año pasado, el servicio se lleva a cabo ‘Hackear el Pentágono’ donde los extranjeros buscan errores en los sitios Web públicos del Ministerio de defensa. Ejercicio de transferencia de archivo marcó el primer intento de la reserva de talento para las redes internas de la piratería.

hackear el Pentágono, programadores se animó a presumir sus conclusiones públicamente y a compartir sus identidades. Pero en la última iniciativa, el selecto grupo de hacking está prohibido legalmente revelar su investigación. Sólo Synack sabe sus nombres que los piratas eran anónimos funcionarios del Pentágono también.

Synack, hacían programas hacking personalizados similares en los bancos y compañías de tarjetas de crédito, también ha hecho los piratas, dependiendo de la severidad del problema han descubierto. La mayor recompensa ascendió a $30.000 en el reciente concurso.

la experiencia es en el Ministerio de defensa de los retos en el tratamiento de la seguridad cibernética. El Departamento admite gastar en capacidad y experiencia para construir mejores defensas de cyber, pero durante la prueba, misiones comando combatiente crítica aún están amenazadas por los actores del Estado-nación avanzado, según el informe anual de la prueba de Pentágono del Director, publicado en enero.

“ciberataques son claramente una parte de la guerra moderna, y redes de DOD están constantemente bajo ataque,” dice el informe. “Sin embargo, el personal de DOD a menudo trata red de defensa en función de la administración, no una capacidad de combate,” y hasta el enfoque de cambios, el Departamento “seguirá luchando defender adecuadamente sus sistemas y redes del arte de ataques cibernéticos.

Además, la necesidad de “equipos rojos” — expertos cibernéticos que comprobar si los sistemas y redes de Departamento pueden resistir intrusiones – es más del doble en los últimos años. Pero un número significativo han dejado al sector privado, encontrar mejores salarios y más relajados entornos de trabajo. Como resultado, resto rojo equipos “son incapaces de satisfacer la demanda actual de DOD”, dijo el Director de la prueba.

digital servicio dijo que otras partes del Pentágono han expresado su interés para hacer hacking proyectos personalizados, incluyendo alrededor de la seguridad de los sistemas de mando y control sobre el terreno y portales de recursos humanos internos similares. A veces es más simple grietas encontradas los expertos de cyber más desestabilizadores de las redes.

“un oponente no tenía que gastar millones de dólares, con un enfoque en defectos más graves y complicadas”, dijo el Wiswell. “Cuando hacemos estúpidas cosas a la base le están apostando que el oponente prefiere utilizar este vector en nuestras redes porque es más barato, hemos bajado la barrera de entrada.”