Anzeige

Army Hack

Zusammen mit Hackerone, eines Sicherheitsplattform für ethisch motivierte Hacker – den so genannten White Hat Hackern –, hat der U.S. Defense Digital Service (DDS) die Ergebnisse seines aktuellen Bug-Bounty-Programms Hack the Army 3.0 veröffentlicht.

Das Programm des DDS wurde zum elften Mal gemeinsam mit Hackerone durchgeführt. Bereits zum dritten Mal beteiligte sich daran auch das U.S. Department of the Army. Hack the Army 3.0 ist ein zeitlich begrenzter, von Hackern durchgeführter Sicherheitstest, der darauf abzielt, Schwachstellen zu identifizieren, um diese zu beheben, bevor sie illegal ausgenutzt werden können. Das Bug-Bounty-Programm stand sowohl militärischen als auch zivilen Teilnehmer offen und wurde ab Januar 2021 sechs Wochen lang durchgeführt. 

Der Geltungsbereich des diesjährigen Programms erstreckte sich auf 11 Assets in zwei Applikationen der Armee. 40 individuell tätige, hochkarätige Sicherheitsforscher mit militärischem und zivilem Hintergrund konzentrierten sich in der Folge auf die Identifizierung von Schwachstellen innerhalb dieses weitreichenden Geltungsbereichs. Am Ende des Programms hatten die Sicherheitsforscher insgesamt 238 Schwachstellen identifiziert, von denen 102 als kritisch eingestuft und mit einem Vermerk zur sofortigen Behebung versehen wurden. Im Zuge von Hack the Army 3.0 wurden Bug Bounties in einer Höhe von mehr als 150.000 US-Dollar an qualifizierte zivile Hacker vergeben.

„Mit der Einladung erfahrener Hacker zum Test der digitalen Assets des US-Militärs, liefern der DDS und die US-Armee einen Beleg dafür, dass Hacker-gestützte Sicherheit als Best Practice für Organisationen, die kontinuierliche Sicherheitstests benötigen, im Mainstream angekommen ist“, sagt Alex Rice, Mitbegründer und CTO von Hackerone. „Es war spannend, die Erfolge der drei Hack-the Army-Programme zu begleiten und zu beobachten, wie die Hacker-Community dazu beiträgt, die Cyber-Verteidigung der USA zu stärken.“

„Wir wollen unsere staatlichen Einrichtungen auf die nächste Stufe der Systemsicherheit heben, indem wir uns kontinuierlich für die Fortsetzung und Weiterentwicklung dieser Herausforderungen einsetzen“, sagt Maya Kuang, Army Product Manager, Defense Digital Service. „Wir können uns keine Mentalität nach dem Motto, 'das nächste Mal machen wir es besser', leisten. Ich glaube fest daran, dass ein proaktiver Ansatz entscheidend dafür ist. Das bedeutet, das potenzielle Probleme gefunden und angegangen werden müssen, bevor diese ausgenutzt werden."

„Es ist immer interessant zu beobachten, welche Anfälligkeiten und Schwachstellen sich im Verborgenen finden“, sagt Johann R. Wallace, Compliance Division Chief, Army Network Enterprise Technology Command. „Hack the Army leistet hervorragende Arbeit bei der Aufdeckung von Schwachstellen und Fehlern im Code, die unser gängiges Compliance-basiertes Scanning übersehen hatte. Nur weil ein System gepatcht ist, heißt das noch lange nicht, dass es auch sicher ist. Ein Programm wie Hack the Army ermöglicht es uns, zusätzliche Fachkompetenz zu nutzen, um mehr Assets noch schneller zu überprüfen, als wir es mit unseren internen Teams zur Schwachstellenbewertung alleine könnten. Genau wie wir es unseren Nutzern immer wieder sagen: ‚Irgendjemand wird die Server einem Pentest unterziehen – besser, wenn es jemand ist, den wir bezahlen.‘“

„Ich engagiere mich gerne bei Programmen des Verteidigungsministeriums, wenn ich neue Tools oder Methoden testen möchte“, sagt Corben Leo (@cdl), der Top-Hacker von Hack the Army 3.0, zur Frage, warum es wichtig ist, sich bei Programmen des Militärs einzubringen. „Derlei Programme eignen sich perfekt für diese Zwecke, da sie einen großen Umfang besitzen und viele verschiedene Technologien zum Einsatz kommen. Das Hacken von Programmen des Militärs erlaubt es Sicherheitsexperten, die ihre Fähigkeiten verbessern wollen, großartige Erfahrungen zu sammeln. Ferner helfen sie ihnen dabei, sicherer zu werden.“

www.hackerone.com
 


Weitere Artikel

Nachhaltigkeit

Nachhaltigkeit durch Digitalisierung – aber ohne Budget

Der Klimawandel hat das Thema Nachhaltigkeit auch in vielen Unternehmen ganz oben auf die Agenda gesetzt – und eine breite Mehrheit hofft auf digitale Technologien, um die gesteckten Ziele zu erreichen. So geben 7 von 10 Unternehmen (71 Prozent) mit 100 oder…
Smartwatch

Smartwatch: Die wichtigsten Vor- und Nachteile des beliebten Gadgets

In Zeiten von smarten Mobiltelefonen, handlichen Tablets und einer sprachgesteuerten künstlichen Intelligenz im eigenen Wohnzimmer verwundert es eigentlich nur wenig, dass sich auch die sogenannten Smartwatches nicht nur hierzulande stetig wachsender…
itsa 2021

Großes Wiedersehen der IT-Security-Experten auf der it-sa 2021

Der Restart ist gelungen: 274 Aussteller aus 18 Ländern und rund 5.200 Fachbesucher aus 28 Ländern machten die it-sa 2021 vom 12. bis 14. Oktober zum Treffpunkt für IT-Sicherheitsexperten und -entscheider.

Stormshield: Neu native Chiffrierungslösung für Google Workplace

Stormshield stellt die mit Google entwickelte Lösung Stormshield Data Security (SDS) für Google Workspace vor. Sie ermöglicht Unternehmen, die Google Workspace einsetzen, alle Arten von Informationen (Inhalte, Kommunikation etc.) völlig unabhängig und unter…
PrintNightmare

Cyberangriffe über PrintNightmare bleiben gefährlich

Am Patch Tuesday dieser Woche gab es einmal mehr neue Security Patches von Microsoft, die helfen teilweise akute Sicherheitslücken zu schließen. Ein Kommentar von Satnam Narang, Staff Research Engineer bei Tenable, zum aktuellen Patch Tuesday.
MysterySnail

MysterySnail: Zero-Day-Exploit für Windows OS entdeckt

Kaspersky-Experten haben einen neuen Zero-Day-Exploit entdeckt. ,MysterySnail' wurde im Rahmen der Analyse einer Reihe von Angriffen zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern identifiziert; zuvor hatten die automatisierten…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.