האקרים שתוקפים את חיל האוויר האמריקני (תודה)!

(של סירו מטגיאטה)
28/04/20

השירות ההגנה הדיגיטלי הוא א צוות חנונים SWAT פועל לשיפור הטכנולוגיה בכל משרד ההגנה". ביטוי זה בולט ב- דף הבית דל שירות ההגנה הדיגיטלי DDS, סוכנות של מחלקת ההגנה של ארצות הברית של אמריקה שתפקידה לחדשנות ולהפיכה במובן הטכנולוגי של המחלקה הנ"ל, ובמיוחד "השתמש בתכנון וטכנולוגיה כדי לשפר את שירותי הממשלה, לחזק את ההגנה הלאומית, ולדאוג לחברים צבאיים ולבני משפחותיהם". לשם כך, הסוכנות סופרת בין שורותיה, בנוסף לדמויות מקצועיות מאוד מעניינות כמו זו של "האקרים ביורוקרטיה", גם האמור"חנונים", אותו מגדיר אתר גרזנטי לינגוויסטיקה כ-"בשימוש נעורים, צעיר מסורבל וחסר חשיבות שמעלה את מצבו במיומנות רבה ותשוקה רבה למחשבים וסרטוני וידיאו | סטודנט שמשיג תוצאות טובות בזכות האפליקציה העיקשת, אך אינו מאיר למען הבינה; SWOT".

אבל איזו תרומה יכולה צוות עז של "חנונים" לתרום למחלקת ההגנה של המעצמה הצבאית המצויינת? בהחלט יש להם רעיונות מאוד מוצלחים של הצלחה שברור שאחרים לא עולים בראשם. דוגמה מובהקת היא התוכנית "האק את הפנטגון", שהולידו יוזמות מעניינות אחרות בתחום ציד באגיםכולל סדר כרונולוגי, "האק את חיל האוויר 4.0 ", שראה" גדוד "של האקרים לפתוח בתקיפה בתשתית הטכנולוגית של חיל האוויר האמריקני.

בואו נראה ממה מורכבת פעילות מסוג זה ואילו תוצאות היא מאפשרת להשיג

לא פעם, בדפים אלה, ניסינו לשפר את דמותו שלהאקר אתי (או האקרים כובעים לבנים) שהוא למעשה חובב IT שמוקדש לחקר פגיעות האבטחה של מערכות IT (שגיאות תכנות ו / או תצורה), ומדווח עליהן למפתח הרלוונטי ולא למשתמש או לרשויות.

נולד כדמות במובנים מסוימים "רומנטית", לעומת זו שלהאקר לא אתי (או האקר כובע שחור), המנצל פגיעויות אבטחה למערכות התקפה, זו שלהאקר "טוב" הפך עם הזמן גם לדמות מקצועית מוכרת. יתר על כן, על מנת לגשת למקצוע זה יש צורך לקבל אישורים תובעניים על בסיסם תֶקֶן מוכר בינלאומי, עד כדי כך שדמותו של האקר מוסרי הוא ביקוש רב מצד חברות פרטיות וארגונים ממלכתיים כאחד.

בדיוק הדמות היקרה הזו, שמעולם לא ניצלה מספיק בארצנו, במיוחד בגרסת "החובבנית" שלה, נמצאת במרכז ה ציד באגים (או של באג באונטי) כמו האק את חיל האוויר 4.0, אשר הציבו לעצמם את המטרה לחפש דליפות מערכת אבטחת מידע בתחרויות בין האקרים. בפרט, התחרות ביחס למערכות חיל האוויר האמריקני היא חלק מהיוזמה הרחבה יותר "האק את הפנטגון", תוכנית של באג באונטי הושק בשנת 2016, תוכנן ומנוהל על ידי DDS הנ"ל באמצעות חברת השירותים האקר, המשמש כממשק עם קהילה ברחבי העולם שמונה יותר מ- 500.000 האקר אתי.

באופן ספציפי, תכנית זו מכוונת לארגן ולהוציא לפועל אירועים של ציד באגים התמקד במערכות משרד ההגנה, במטרה לאתר ולפתור כל חורי אבטחה שלא היו ידועים אפילו ליצרנים שלהם. אם כי רוב ה האקר אירועים אלה כוללים פרסים במזומן עבור הזוכים, מוסריים ומונעים על ידי סיפוקים אישיים. בהקשר זה, האמור התרחש בחודשים האחרונים של אוקטובר ונובמבר האק את חיל האוויר 4.0, תחרות שכללה 60 האקרים בתיאום האקר, ב"מבחן המתח "מנקודת המבט של מרכז נתונים וירטואלי של חיל האוויר האמריקני, כלומר ענן המספקת את שירותי ה- IT של הכוח המזוין. המהדורה הרביעית של תחרות חיל האוויר חשפה 460 פגיעויות אבטחה והעניקה פרסים של 290.000 דולר.

בסך הכל, האק את הפנטגון מותר לגלות 12.000 נקודות תורפה שלא היו ידועות בעבר שהיו יכולות להתגלות ולנצל על ידי איזה תוקף. בקיצור, המהדורה האחרונה, לטענת מנהלי התוכניות, אישרה כי מדובר בתוכנית מצליחה מבחינות רבות. בואו נדמיין מה יכולות להיות חוזקות התוכנות ציד באגים של ה- DDS ובכלל יוזמות דומות.

הראשון, המיידי יותרהיא לאפשר למחלקת ההגנה להפוך את מערכותיו ללא ספק לבטוחות יותר, שכן ברור כי חורי האבטחה מוסרים מייד לפני שהם מתפרסמים, ולכן האקר אנשים לא מוסריים יצטרכו לעשות הרבה יותר כדי למצוא פגיעויות נוספות. גם ההיבט הכספי של התוכנית מועיל באופן ברור, לאור העובדה שהיא נמשכת כבר 4 שנים. ככל הנראה, הפרסים במזומן, המתגמלים עבור הזוכים, הם השקעות יתרון במיוחד גם עבור המחלקה, מודע ל"חבילות "הרבה יותר גבוהות מאשר האקר תעודות והחברות בהן הן פועלות. חוץ מזה וזה ההיבט השלישי של ההצלחה, תוך שימוש בתוכניות של ציד באגים אין להסתמך על חברה מסוימת, אלא על קהילה הטרוגנית של האקר, כל אחד עם כישורים והתנסויות שונות ומעל הכל אינו קשור ליצרן ספציפי כלשהו של חומרה o תוֹכנָה. זה מאפשר להשיג תוצאות עצמאיות באמת, שאינן תוצאה של הערכה אספטית "במעבדה".

כדי להבין טוב יותר את הפוטנציאל של ציד באגים, חושבים שעם אותה מתודולוגיה, בשנה שעברה, באמצעות תחרות בין האקר שפותח בשני שלבים והוקדש ל סילון F-15 של חיל האוויר האמריקני, כמה פגיעויות אבטחה של מערכת קריטית עבור כל פלטפורמת הנשק, כלומר תחנת הורדת מידע על מטוסים מהימנים, שמונה לאסוף את הנתונים שנרכשו על ידי חיישני ומצלמות המטוס במהלך הטיסה. עד כדי כך, שבתוכניות ה- DDS ישנה הכוונה בעתיד לבחון אפילו את מובילי האוויר, כמו גם את פלטפורמות הלוויין. נקודה חיובית נוספת בתחרויות של ציד באגים ככל הנראה זה מורכב ב"נאמנות "של האקר עם הכוחות המזוינים ומעורבות העולם התעשייתי. בקיצור, הקמתו של אותו מעגל וירטואוזי שבמיקומים רבים, כולל דפים אלה, הודגשה כאחד המרכיבים שצריכים להיות בסיס לאסטרטגיה של אבטחת סייבר לאומי. בדרך זו, למעשה, הצבא מתוודע לצורך הבלתי נמנע להיות מסוגל לעשות שימוש במערכות שתוכננו ופיתחו כדי להיות בטוחות, מבלי להזניח שום היבט ולצורך לבחון אותן ברציפות לאורך כל מחזור החיים, החל מרכישתן ועד לרשותן . מצד שני, ה- האקר אתיקה, בנוסף לעסוק באתגרים מעוררים, דעו שהם מועילים למדינתם, ותורמים באופן פעיל לביטחונה. חוץ מזה כוחות הצבא יכולים לעשות את זה צופיות ו האקרים הם יכולים להעריך אם להמשיך בקריירה צבאית. לבסוף, ההיבט האחרון, חברות מונעות להתפתח תוֹכנָה חומרה יותר ויותר בטוחים, אולי מקבלים את אותו הדבר בדיוק האקר שמגלים את פגמי המערכות שלהם. כמובן שלדברי ה- DDS ישנם כמה צדדים שליליים שיש לשפר, בעיקר בהתייחס להיבטים המשפטיים של החוזים המשמשים את משרד ההגנה לאספקה ​​וניהול שירותי IT. עם זאת, מאזן התחרויות כמו האק את חיל האוויר זה בהחלט חיובי בהרבה לכל הצדדים המעורבים.

בסוף הסקירה הקצרה הזו של התוכניות ציד באגים של ה- DDS, כדאי להדגיש שוב עד כמה העולם המגוון של האקר אתיקה יכולה לייצג, גם עבור איטליה, משאב תקף מאוד. בתקופה זו המאופיינת באלפי דרמות משפחתיות הנגרמות כתוצאה מהשלכות COVID-19, הצורך הבלתי ניתן להימנעות למערכות, רשתות ושירותי מידע המסוגלים להבטיח רמת ביטחון נאותה עולה עוד יותר. יתרה מזאת, לא רק חיינו תלויים בהם, אלא גם כלכלת המדינה, שהפכה שברירית עוד יותר כתוצאה מהשלכות המגיפה שעדיין נמשכת. זאת, למרות טכנולוגיות מיושנות, הטרוגניות ומורכבות לעיתים קרובות, שלא פותחו כדי לעמוד בדרישות האבטחה, אפילו מינימליות ולמרות איומים סוערים, מתוחכמים פחות או יותר, אך תמיד ניתן לייחסם לשחקנים חסרי רחמים, חסרי מצפון, מסרימים ומספריים. ולעתים קרובות עם משאבים עצומים זמינים. כדי להתמודד עם תרחיש מפחיד זה אתה זקוק לעזרת כולם, אנשי מקצוע או לא וכל מיטב כישוריהם ואנרגיותיהם. לכן יש צורך אפילו יותר מתמיד האקר אתי, משאב שעדיין לא ידוע ברובו או שאינו נחשב כראוי ולכן אינו מנוצל מספיק.

לכן יחי את החנונים!
 
נ.ב: בעוד שבמדינות רבות אנשים ממשיכים לדבר עליהם אבטחת סייבר שלטונות אוסטרליות, ללא שלמות, הכריזו הרשויות באוסטרליה לפני מספר שבועות על מלחמה סייבר פושעים המנצלים את מצב החירום שנגרם על ידי COVID-19 במטרה לאזרחים אוסטרלים, בתי חולים, מוסדות וחברות אוסטרלים. שימו לב, זו לא מלחמה העשויה מגזירות, מסמכים חתומים, חקירות ארוכות, תלונות ומשפטים. זו מלחמה שהופקדה עליהמודיעין צבא אוסטרלי (מנהלת איתותים אוסטרלית) ונערך גם באמצעות סייבר התקפות ממוקדות מכוונות סייבר עבריינים, מי שיהיה ומי שיהיה בחסותם. בוא נראה מה קורה.
 
להעמיק: