Картер объявляет о результатах программы «Взломайте Пентагон» > Министерство обороны США > Новости министерства обороны для Пентагона, по словам министра обороны Эша Картера.
Министр обороны Эш Картер объявляет результаты пилотной программы «Взломать Пентагон» в Пентагоне, 17 июня 2016 г. Фотография Министерства обороны США, сделанная старшиной ВМС 1-го класса Тимом Д. Годби.
Дворкен был среди более чем 1400 хакеров, приглашенных принять участие в первой программе вознаграждения за обнаружение ошибок для федерального правительства, сказал сегодня Картер на мероприятии, в котором к нему присоединились Дворкен и другие участники пилотной программы «Взломать Пентагон». .
Более 250 участников представили как минимум один отчет об уязвимостях, причем 138 из этих уязвимостей были признаны «законными, уникальными и заслуживающими вознаграждения», сказал Картер.
Пилотная программа, которая проходила с 18 апреля по 12 мая, стоила 150 000 долларов, сказал Картер.
«Это не маленькая сумма, но если бы мы прошли обычный процесс найма сторонней фирмы для аудита безопасности и оценки уязвимостей, что мы обычно и делаем, это стоило бы нам более 1 миллиона долларов», — сказал Картер.
Программа, по словам Картера, представляет собой экономически эффективный способ дополнить и поддержать людей, которые защищают компьютерные сети правительства. По словам Картера, министерство обороны работало с компанией HackerOne из Силиконовой долины, чтобы устранить все уязвимости.
02:04
ВИДЕО | 02:04 | Картер описывает инициативу «Взломать Пентагон»
Развитие программы Bug Bounty
Министерство обороны активно инвестирует в инновации, в том числе в людей, практики и технологии, сказал Картер. По его словам, программа «Взломать Пентагон» объединила все эти элементы и добилась «значительного успеха».
В дополнение к исправлениям безопасности, департамент «навел прочные мосты для новаторских граждан, которые хотят внести свой вклад в нашу оборонную миссию», сказал он.
Картер сказал, что этичные хакеры и исследователи безопасности должны иметь возможность сообщать об уязвимостях в сетях и системах Министерства обороны США. По его словам, в результате департамент создает центральную точку контакта для исследователей и технологов, чтобы указывать на пробелы.
Кроме того, сказал Картер, программа поощрения ошибок будет распространена на другие подразделения отдела. Он поручает всем компонентам Министерства обороны проанализировать, где можно использовать такие программы. 9По его словам, 0003
Министерство обороны также будет включать стимулы в свои руководства и политику приобретения, чтобы подрядчики, работающие над системами Министерства обороны, могли воспользоваться инновационными подходами к тестированию кибербезопасности.
«Когда дело доходит до информации и технологий, оборонное ведомство обычно полагается на закрытые системы, — сказал он.
«Но чем более дружелюбно мы будем смотреть на некоторые из наших систем и веб-сайтов, тем больше брешей мы сможем найти, тем больше уязвимостей мы сможем исправить и тем большую безопасность мы сможем обеспечить нашим бойцам».
Извлеченные уроки
Пилотная программа была проведена против общедоступных веб-сайтов, по словам Криса Линча, директора Цифровой службы обороны, агентства Министерства обороны, которое руководило программой. Он отметил, что критически важные системы не были задействованы.
Он сказал, что они ищут уязвимости, которые позволят кому-то получить доступ к системе через текущего пользователя или позволят хакеру злонамеренно получить доступ к другим сетям или другим системам.
00:38
ВИДЕО | 00:38 | Картер обсуждает проблемы кибербезопасности
«Несмотря на то, что это был общедоступный набор веб-сайтов, мы можем многому научиться даже на тех, которые казались довольно простыми общедоступными сайтами», — сказал Линч.
Программа нацелена на пять общедоступных веб-сайтов: Defense.gov, dodlive.mil, dvidshub.net, myafn.net и dimoc.mil, по словам представителя Министерства обороны.
Выплаты варьировались от примерно 100 долларов до 15 000 долларов участнику, который, по словам Лизы Уисвелл, подал несколько заявок в Цифровую службу обороны.
Дворкен, только что окончивший местную среднюю школу 13 июня, сказал, что обнаружил шесть уязвимостей, связанных со стандартной веб-безопасностью.
«Обычно я работал над этим в любое свободное время, которое у меня было, в свободные периоды», — сказал Дворкен, который сказал, что будет изучать компьютерные науки в колледже с надеждой на карьеру в области кибербезопасности.
Хотя об обнаруженных им уязвимостях уже сообщили другие хакеры, и он не получил никаких выплат, он сказал, что все еще счастлив быть частью программы.
«Даже без награды, лично для меня эти вещи невероятно полезны», — сказал он.
«Есть в этом аспект большего блага, особенно когда я работаю с федеральным правительством над чем-то, что меня глубоко волнует».
(Подпишитесь на Лизу Фердинандо в Твиттере: @FerdinandoDoD)
Разработчик игры STALKER 2 взломан российскими хактивистами, данные украдены
Компания GSC Game World, разработчик долгожданной игры STALKER 2: Сердце Чернобыля, предупредила, что их системы были взломаны, что позволило злоумышленникам украсть игру имущества во время атаки.
Украинский издатель игры заявляет, что за атакой стоит «сообщество из российской социальной сети», которое шантажирует компанию, угрожая обнародовать данные для Stalker 2, выход которой ожидается в конце этого года.
«Недавно был взломан аккаунт нашего сотрудника в приложении коллективной работы с изображениями. Ответственность за это взяло на себя сообщество из российской социальной сети», — говорится в сообщении, опубликованном в Twitter.
«Грозятся использовать полученные данные для шантажа и запугивания. Это не первая попытка взлома и утечки наших данных, включая личную информацию. Уже больше года мы подвергаемся постоянным кибератакам».
GSC Game World заявляет, что это всего лишь один из многих взломов, шантажа и киберагрессии, которые компания пережила за последний год с целью создания препятствий в процессе разработки игр и нанесения ущерба ее репутации.
Компания подчеркивает, что эти попытки тщетны, так как ее сотрудники регулярно сталкиваются с гораздо более тяжелыми ситуациями из-за царящих в стране военных условий.
Компания просит сообщество не отслеживать и не распространять какие-либо утечки данных, которые могут появиться в сети, и утверждает, что данные, украденные российскими хакерами, в основном касаются устаревших и незавершенных материалов, которые не отражают качество конечного продукта.
«Мы призываем вас проявить терпение и дождаться официального релиза, чтобы получить наилучшие впечатления», — говорится в уведомлении компании.
Хакеры разместили сообщение в российской социальной сети ВКонтакте, в котором утверждалось, что они украли «огромное количество материалов STALKER 2», включая всю сюжетную линию, описания роликов, концепт-арт, глобальные карты и многое другое.
Образцы из них уже были выпущены в качестве доказательства заявлений об утечке данных, но большинство из них было скрыто для использования для вымогательства у издателя игры.
Скриншот ранней разработки (ВК)В частности, хакеры требуют от GSC Game World следующих трех вещей:
- Пересмотреть свое отношение к игрокам из Беларуси и России.
- Снять блокировку пользователя NF Star на официальном канале игры в Discord.
- Внедрить русскую локализацию будущей игры, если не к её релизу, то хотя бы в виде дополнения.
«Мы не хотим отмены или переноса игры, особенно в свете некоторых успехов Atomic Heart, которые не пользуются уважением в нашей группе», — говорится в сообщении хакеров компании.
