HACKING DER ARMEE - TECHCRUNCH - EIGENSCHAFTEN - 2019

Anonim

EIN

Der Hacker, der Anfang des Jahres eine öffentliche Rekrutierungs-Website der Armee angriff, stolperte über eine Schwachstelle, dann eine weitere, bis er plötzlich mit einem internen Netzwerk des Verteidigungsministeriums verbunden war, das ihn zu speziellen Zugangsdaten hätte veranlassen sollen. Am Ende dieser Nacht tauschten die Pentagon-Mitarbeiter verzweifelte Telefonanrufe aus und überlegten, ob das kompromittierte Netzwerk vollständig heruntergefahren werden sollte. Die Einmischung war unerwartet, aber besorgniserregender war die Tatsache, dass der Hacker keine Alarmglocken ausgelöst hatte - das Verteidigungsministerium wusste nicht, dass er in das interne Netzwerk gelangt war, bis er ihnen davon erzählte.

Der Hacker, der die Sicherheitslücken gefunden hatte, beteiligte sich am ersten Bug-Bounty-Programm der Army, Hack The Army, einer Herausforderung, die Sicherheitsforscher dazu einlud, ihre Fähigkeiten auf die Probe zu stellen und sie für ihre Bemühungen zu bezahlen. Die Sicherheitsteams des Verteidigungsministeriums sind darauf trainiert, schnell auf unerklärlichen Verkehr in ihren Netzwerken zu reagieren, und nicht alle 3, 2 Millionen Mitglieder des Departments wussten, dass die Bugprämie im Gange war. Die Panik war daher verständlich. Aber die Armee sanktionierte und feierte sogar den Hack ihrer Rekrutierungswebsite - es bedeutete, dass das Bug Bounty Programm funktionierte.

"Ehrlich gesagt war meine Reaktion, großartig '", erklärt der Armeechef Eric Fanning. "Die erste Reaktion vieler Leute auf Hack The Army war:, Warum sollten Sie Leute einladen, Sie zu hacken? ' Nun, wir werden jeden Tag den ganzen Tag von Leuten gehackt, die uns Schaden zufügen wollen. Diese Idee, diesen Wettbewerb aufzustellen, die Teilnehmer zu überprüfen und dann in einer Situation zu sein, in der sie uns erzählen, was sie finden, ist großartig. Wenn sie keine Schwachstellen finden und in einigen Fällen Schwachstellen finden, die uns wirklich überraschen, dann ist die Konkurrenz nicht der Ansicht, dass sie alles tut, was wir wollen. "

Fang von Fehlern

Der Armeechef Eric Fanning zeigt die Münze, die erfolgreichen Armee-Hackern gegeben wurde. Foto: John Martinez, US-Armee

Sec. Die Reaktion von Fanning stellt eine Evolution in der Art und Weise dar, in der die Regierung - der Führung von Technologieunternehmen wie Google und Facebook folgend - die Sicherheitsforschung betrachtet. Regierungsbehörden und private Wirtschaftsgiganten waren nicht immer so gelassen, gehackt zu werden. Die Angst vor ausländischen Hackern hat Capitol Hill im Zuge des Datendiebstahls durch das Office of Personnel Management und das Democratic National Committee in Mitleidenschaft gezogen, und Unternehmen haben auf Bug-Reports mit rechtlichen Bedrohungen reagiert. Obwohl viele größere Firmen heute Programme eingerichtet haben, die eine sichere Offenlegung von Sicherheitslücken ermöglichen, haben Hacker immer noch berechtigte Angst vor Strafverfolgung und Gefängnisstrafen.

"Der Schatten davon bleibt bei den Sicherheitsforschern sehr stark", sagt Alex Rice, Chief Technology Officer von HackerOne. "Das Risiko ist signifikant, und das gilt für die Industrie und insbesondere für die Regierung."

HackerOne ist eines von mehreren Unternehmen, die Bug Bounty als Dienst anbieten, indem sie Twitter, Uber und Dropbox mit Hackern verbinden, die ihre Websites und Dienste auf Schwachstellen prüfen. Einer der letzten Kunden von HackerOne ist das Defense Department, das im letzten Frühjahr sein erstes Bug Bounty, Hack The Pentagon, startete und im November mit Hack The Army folgte.

Das Verteidigungsministerium akzeptierte das Konzept eines Bug Bounty relativ langsam und übernahm es erst nach Jahren der Implementierung in der Tech-Industrie.

EIN

Die Idee der Bug Bounty stammt angeblich aus der Mitte der 1990er Jahre bei Netscape. Rice verfolgte es noch weiter und grub eine Hunter & Ready-Werbung von 1983 aus, die Hackern, die Bugs in ihrem VRTX-Betriebssystem mit Volkswagen Beetles entdeckten, eine Belohnung gab. "Bekomme einen Fehler, wenn du einen Fehler findest", lautete der Slogan.

Bug-Bounty-Programme traten nicht in den Mainstream ein, bis Google 2010 das erste umfangreiche Bug Bounty einführte, gefolgt von Facebook, Yahoo und anderen Tech-Unternehmen. Apple kam zu spät zu dem Konzept und startete letztes Jahr ein reines Einladungs-Programm.

Der Defense Digital Service, der Pentagon-basierte Flügel des US Digital Service, hat das Verteidigungsministerium ermutigt, mit der Industrie Schritt zu halten. Geboren aus der katastrophalen Einführung von healthcare.gov, verbindet USDS Technologiearbeiter mit Regierungsbehörden, um die technische Kompetenz zu verbessern.

Chris Lynch leitet den Defense Digital Service und hat sich für Bug-Bounties im Pentagon und für skeptische Hacker eingesetzt, die nicht glaubten, dass er das Projekt auf die Beine stellen könnte.

"Wir wissen, dass das Senden einer Vielzahl von Hackern in eine breite Umgebung zu etwas Sinnvollem führt. Es ist eine Tatsache. Wir können nicht jeden erstaunlichen Hacker einstellen und sie für uns arbeiten lassen, aber wir können diese Crowd-Bounties machen ", sagt Lynch. "Ich bin fertig mit Angst zu wissen, was unsere Schwachstellen sind. Das ist nicht in Ordnung. "

Das Verteidigungsministerium testete die Gewässer mit Hack The Pentagon, das die Teilnehmer dazu einlud, öffentlich zugängliche Department of Defense-Websites anzugreifen. Hack Das Pentagon wurde als Proof-of-Concept-Projekt betrachtet - eine Möglichkeit für Befürworter von Bug Bounty wie Lynch, zu zeigen, dass das Programm die Sicherheit verbessern würde, ohne die Verletzung von klassifiziertem Material oder kritischen Systemen zu riskieren. Nach dem Erfolg des Programms begann die Sorge darüber, was passieren würde, wenn die Agentur Hacker willkommen hielte.

Ich bin fertig mit Angst zu wissen, was unsere Schwachstellen sind.

- Chris Lynch, digitaler Verteidigungsdienst

"Diese Skrupel sind heute geringer als vor sechs Monaten", sagt Generalleutnant Paul Nakasone, der das Armeecyberkommando leitet. "Mein erster Gedanke war:, Wow, sie brauchten nur 10 Minuten, um eine Schwachstelle zu identifizieren. Wie lange hätte es gedauert, bis wir es entdeckt hätten? "(Laut den offiziellen Statistiken von" Hack The Army "wurde die erste Sicherheitslücke in nur fünf Minuten gemeldet.)

Die Teams von Lt. Gen. Nakasone helfen dabei, die von Bug-Bounty-Teilnehmern aufgedeckten Probleme zu beheben. Hacker in einem vereinbarten Netzwerk mit etablierten Regeln zu enthalten, habe geholfen, Bedenken auszuräumen, erklärte er. Als ein Olivenzweig verlangte die Armee von teilnehmenden Hackern nicht, sich vor dem Eintritt in das Programm einer Hintergrundüberprüfung zu unterziehen, obwohl einige private Unternehmen Hintergrundüberprüfungen zwingend vorschreiben. Hack-the-Army-Teilnehmer müssen sich lediglich einem Hintergrund-Check unterziehen, wenn sie ihre finanzielle Belohnung einsammeln möchten.

Hack The Army gab Hackern auch aufregendere Ziele als die öffentlich zugänglichen Domains wie defense.gov, die während Hack the Pentagon angegriffen werden sollten. Die Army-Ausgabe des Programms umfasste Rekrutierungs-Websites mit Zugang zu persönlichen Daten und Rekrutierungsstationen in den USA

"Wir haben uns bewusst für diese Suite von Vermögenswerten entschieden, da wir wussten, dass sie die Kronjuwelen waren", sagt Lisa Wiswell, die digitale Sicherheitsleiterin von Defence Digital Service. "Hier haben wir Rekruten, die ihre persönlich identifizierbaren Informationen und alle möglichen Dinge eingeben. Wir tun viel, um es heute zu sichern. "

Selbst wenn diese Verteidigungsanlagen vorhanden waren, dauerte es immer noch einen Tag, bis einer der Hack-The-Army-Teilnehmer einen nicht mehr gepflegten Router bemerkte, der die Rekrutierungswebseiten der Armee mit dem internen Netzwerk verband. Durch das Zusammenführen einer Kette von geringfügigen Sicherheitslücken wurde der Hacker auf die interne Website weitergeleitet, die Zugangsdaten hätte benötigen sollen. "Sie waren offensichtlich schlau genug, uns das sofort zu sagen. Wir hatten nicht das Gefühl, dass es irgendwelche schändlichen Aktivitäten gab ", sagte Wiswell.

Der Schutz persönlicher Daten sei für viele in der Regierung ein wunder Punkt, erklärte Wiswell, der eine Wiederholung des Office of Personal Management Hack vermeiden wolle. Die Panik, die folgte, als der Hacker die Armee auf seine Entdeckung aufmerksam machte, war eine natürliche Reaktion, sagte sie.

"Es ist immer noch unangenehm für viele Leute, Leute auf der militärischen Seite besonders. Wenn Sie sich Tag für Tag auf das Netzwerk verlassen, fällt es Ihnen schwer, Kompromisse zwischen dem Abschalten oder dem Leben in einer Welt einzugehen, in der es kompromittiert sein könnte ", sagt Wiswell. "Aber wenn unsere Guten es schaffen, bedeutet das wahrscheinlich, dass die bösen Jungs bereits Informationen über Schwachstellen dort haben. Die Bug Bounties fangen an, das Spielfeld zu nivellieren. Die bösen Jungs werden uns weiter hacken, keine Frage. Sie werden uns über ihren Morgentee in China hacken. Wir erlauben den Guten, hereinzukommen und auch zu helfen. Wenn du das zulässt, musst du nicht mehr sitzen und es länger aushalten. "

P

In Erwartung des öffentlichen Aufschreiens, dass Steuergelder an Hacker gezahlt werden, hat das Verteidigungsministerium Hack das Pentagon als eine kostenreduzierende Maßnahme eingerahmt. Das Programm kostete 150.000 Dollar, aber DoD sagte, dass die Beauftragung eines ähnlichen Sicherheitsaudits von einem privaten Unternehmen mehr als 1 Million Dollar gekostet hätte. Die Kosten von Hack The Army sind unbestimmt, da die Army immer noch die während des Programms entdeckten Schwachstellen untersucht, aber Generalleutnant Nakasone sagt, Projektionen zeigen, dass das Programm bezahlbar bleiben wird.

Bug-Bounty-Befürworter argumentieren auch, dass die Programme einen Trickle-down-Effekt haben: Forscher werden wahrscheinlich Probleme in Code von Anbietern finden, und wenn diese Probleme behoben sind, erhält jedes Unternehmen, das Verträge mit dem Anbieter abgeschlossen hat, einen Sicherheitsschub. Die Programme dienen auch als stumpfe, effektive Form der Ausbildung für militärische Mitglieder, die als Angreifer und Verteidiger an der Bugprämie teilnehmen dürfen.

Wir erlauben den Guten, hereinzukommen und auch zu helfen. Wenn du das zulässt, musst du nicht mehr sitzen und es länger nehmen.

- Lisa Wiswell

Aber das Defense Digital Service-Team ist nicht nur darauf konzentriert, die Vorzüge des Bug Bounty-Programms zu verteidigen - sie wollen es erweitern.

Die zunehmende Akzeptanz von Hackern durch das Pentagon war nur der erste Schritt. Das Defense Digital Service Team hofft, dass Bug Boundies die Art und Weise, wie das Verteidigungsministerium über Cybersicherheit denkt, grundlegend verändern werden. Die Kette der Sicherheitslücken, die bei Hack The Army auffielen, wäre durch einen automatisierten Schwachstellen-Scanner gerutscht, argumentiert Wiswell, der die Notwendigkeit menschlichen Einfallsreichtums und Erfahrung in der Sicherheit beweist. Große Organisationen wie das Verteidigungsministerium geben Millionen von Dollars für automatisierte Schwachstellen-Scans aus, mit denen sich Probleme in einem großen Netzwerk schneller und effektiver entdecken lassen als mit einem Team von Ingenieuren.

"Automatisierung allein ist selten zu solchen logischen Sprüngen fähig", sagt Wiswell. "Wir haben uns lange Zeit auf diese bahnbrechenden Technologien wie automatisiertes Scannen und solche Dinge konzentriert, die keine vollständige Sicherheitsstrategie darstellten. Es gibt eine Menge Dinge, die wir tun, um die Blutung zu stoppen, aber es gibt nicht viel, was wir tun, um die Art und Weise, wie wir über Sicherheit denken, zu überdenken. "

Lynch hat in der Vergangenheit darauf hingewiesen, dass es immer Teil des Plans für das Bug-Bounty war, Hacker auf immer sensiblere Daten zu setzen, und er sagte, dass sich das nicht geändert habe. Er geht davon aus, dass er irgendwann ein Programm für Programmfehler in klassifizierten Netzwerken laufen lassen wird.

Es ist jedoch unklar, was aus Programmen wie Defense Digital Service unter der Trump-Administration werden wird. Sec. Fanning, ein von Obama ernannter Obama, wird das Pentagon verlassen, um Platz für Vincent Viola zu machen, den Milliardär eines Florida-Hockey-Teams, das Trump nominiert hat, um ihn zu ersetzen. Angesichts der Einschätzung der Geheimdienste, dass Russland an mehreren Hackerkampagnen teilgenommen hat, die darauf abzielten, die Wähler zu seinen Gunsten zu beeinflussen, könnte es sein, dass Trump gegen Hacker vorgehen und gegen die im Verteidigungsministerium laufenden Programme zur Bekämpfung von Raubkopien antreten würde.

"Ich habe keine bessere Idee als Sie, was mit der nächsten Regierung passieren wird, aber ich denke nicht, dass die Notwendigkeit und der Wert von Programmen wie diesem wirklich von irgendjemand bestritten wird. Cyber ​​ist eine niedrige Einstiegshürde für Gegner und jeder glaubt - "Fanning hielt inne und korrigierte sich dann. "Es gibt einen ziemlich breiten Konsens, dass je mehr Augen wir auf das Problem haben können, desto besser für uns."