El Secretario de Defensa Ash Carter instigó la recompensa del Hack the Pentagon. El éxito de ese programa llevó al DoD a lanzar la iniciativa Hack the Army y una Política de Divulgación de Vulnerabilidad.
Ash Carter, el actual Secretario de Defensa, no le importa salir de la caja cuando se trata de innovación.
El año pasado, el Secretario Carter creó el Servicio Digital de Defensa (DDS), que recluta talento del sector público. El secretario Carter explica que los interesados se embarcarán en una gira de servicio en el Departamento de Defensa (DoD) para ayudar a resolver algunos de los problemas más complejos del DoD. Un proyecto completado por el personal del DDS mejoró el intercambio de datos entre el Departamento de Defensa y la Administración de Veteranos, permitiendo que los veteranos sean atendidos más rápida y eficientemente.
Desde el sitio de DDS: «Nuestra misión es dar un gran paso adelante en la forma en que el Departamento de Defensa construye y despliega la tecnología y los servicios digitales. Trabajamos junto con nuestros funcionarios públicos y miembros de los servicios, empoderándolos para que incorporen las mejores prácticas y el talento del sector privado para construir un futuro mejor ahora».
VER: Descripción del puesto: Arquitecto de seguridad (Tech Pro Research)
Hackear el Pentágono
Más información sobre ciberseguridad
Las recompensas por errores son populares en el sector privado, pero no tan fáciles de implementar en los círculos gubernamentales, especialmente en el Departamento de Defensa. Sin embargo, el Secretario Carter y la gente de DDS armaron un paquete y lanzaron exitosamente Hack the Pentagon, un programa piloto diseñado para identificar y resolver vulnerabilidades de seguridad dentro de los sitios web del Departamento de Defensa a través del crowdsourcing.
Hackear el Pentágono apuntó a cinco sitios web públicos: defense.gov, dodlive.mil, dvidshub.net, myafn.net y dimoc.mil, según un vocero del Departamento de Defensa. Los pagos variaron desde unos $100, hasta $15,000 para un participante que tenía múltiples presentaciones, según Lisa Wiswell, con el DDS.
«En total, más de 1.400 hackers fueron invitados a participar en Hack the Pentagon y más de 250 presentaron al menos un informe de vulnerabilidad», escribe la secretaria Carter en este post de Medium. «De todas las propuestas que recibimos, 138 fueron declaradas legítimas, únicas y elegibles para una recompensa.»
VER: Cómo desarrollar un programa de recompensas de errores (ConsejoTecnologico.com)
Nuevas iniciativas
Cuando se trata de recompensas de insectos, una cosa que preocupa a los investigadores que participan en programas de recompensas de insectos son los límites. Los hackers de sombrero blanco quieren saber hasta dónde pueden llegar sin meterse en problemas. Para eliminar esa angustia, el Secretario Carter proporcionó a los investigadores suficientes directrices en noviembre de 2019, cuando firmó la Política de Divulgación de Vulnerabilidad del Departamento de Defensa.
«Esta política es la primera de su tipo para el Departamento», escribe la secretaria Carter. «Proporciona parámetros a izquierda y derecha a los investigadores de seguridad para probar y revelar vulnerabilidades en los sitios web del DoD, y compromete al Departamento a trabajar abiertamente y de buena fe con los investigadores.»
La Política de Divulgación de Vulnerabilidad proporciona información sobre qué sitios web pueden ser investigados, cómo presentar un informe, pautas (por ejemplo, no se permiten las pruebas de Denegación de Servicio), lo que los investigadores pueden esperar de las personas en DDS, y finalmente una sección legal.
Además de aclarar las reglas para los investigadores, la Política de Divulgación de la Vulnerabilidad proporciona una garantía del DoD, comprometiendo a la agencia a:
- Acusar recibo de un informe de vulnerabilidad en un plazo de tres días hábiles. El equipo de seguridad del DoD investigará el informe y puede ponerse en contacto con el investigador para obtener más información.
- Confirmar la existencia de la vulnerabilidad al investigador y mantenerlo informado, según corresponda, a medida que se remedia la vulnerabilidad.
- Reconocer públicamente a los investigadores por sus contribuciones, si el investigador así lo desea. Sin embargo, la divulgación pública de las vulnerabilidades sólo se autorizará con el consentimiento expreso por escrito del Departamento de Defensa.
Debido al éxito de Hack the Pentagon, el Secretario Carter y el Secretario del Ejército Eric Fanning anunciaron el 11 de noviembre de 2019 el lanzamiento de Hack the Army. Esta recompensa por errores se centra en los sitios web del Ejército y, en particular, en aquellos que apoyan la misión de reclutamiento.
Lo que hace que Hack the Army sea único es que los investigadores pueden dirigirse a sitios web dinámicos, que por naturaleza son más complicados y, por lo tanto, más vulnerables. «Estos sitios son críticos para la misión de reclutamiento del Ejército y, como resultado, deben endurecerse», explica el secretario Carter.
VER: DoD, HackerOne arrancan Hack the Army bug bounty challenge (ZDNet)
HackerOne
En lugar de reinventar la rueda, la gente de DDS decidió utilizar HackerOne para gestionar los programas de bug-bounty del DoD. La compañía ya cuenta con una plataforma probada de coordinación de vulnerabilidades y recuperación de errores utilizada por muchas organizaciones del sector privado.
HackerOne es una empresa de capital riesgo con sede en San Francisco. Del sitio de HackerOne: «Creado por líderes de seguridad de Facebook, Microsoft y Google, HackerOne permite a las empresas proteger los datos, la confianza y la lealtad de los consumidores trabajando con la comunidad de investigación global para sacar a la luz problemas de seguridad relevantes».
VER: Video: 5 cosas que hay que saber sobre el hacking ético (ConsejoTecnologico.com)
Reflexiones finales
Es cierto que los sitios web de hacking -estáticos o dinámicos- para las vulnerabilidades pueden no ser tan significativos como las pruebas con bolígrafo de una red, pero más que unas pocas brechas devastadoras de datos comenzaron aprovechando una debilidad en un servidor web que se enfrenta a Internet.
Será interesante ver si la nueva administración continuará con los programas de bug-bounty del DDS y del Secretario Carter.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves