Zusammen mit Hackerone, eines Sicherheitsplattform für ethisch motivierte Hacker – den so genannten White Hat Hackern –, hat der U.S. Defense Digital Service (DDS) die Ergebnisse seines aktuellen Bug-Bounty-Programms Hack the Army 3.0 veröffentlicht.
Das Programm des DDS wurde zum elften Mal gemeinsam mit Hackerone durchgeführt. Bereits zum dritten Mal beteiligte sich daran auch das U.S. Department of the Army. Hack the Army 3.0 ist ein zeitlich begrenzter, von Hackern durchgeführter Sicherheitstest, der darauf abzielt, Schwachstellen zu identifizieren, um diese zu beheben, bevor sie illegal ausgenutzt werden können. Das Bug-Bounty-Programm stand sowohl militärischen als auch zivilen Teilnehmer offen und wurde ab Januar 2021 sechs Wochen lang durchgeführt.
Der Geltungsbereich des diesjährigen Programms erstreckte sich auf 11 Assets in zwei Applikationen der Armee. 40 individuell tätige, hochkarätige Sicherheitsforscher mit militärischem und zivilem Hintergrund konzentrierten sich in der Folge auf die Identifizierung von Schwachstellen innerhalb dieses weitreichenden Geltungsbereichs. Am Ende des Programms hatten die Sicherheitsforscher insgesamt 238 Schwachstellen identifiziert, von denen 102 als kritisch eingestuft und mit einem Vermerk zur sofortigen Behebung versehen wurden. Im Zuge von Hack the Army 3.0 wurden Bug Bounties in einer Höhe von mehr als 150.000 US-Dollar an qualifizierte zivile Hacker vergeben.
„Mit der Einladung erfahrener Hacker zum Test der digitalen Assets des US-Militärs, liefern der DDS und die US-Armee einen Beleg dafür, dass Hacker-gestützte Sicherheit als Best Practice für Organisationen, die kontinuierliche Sicherheitstests benötigen, im Mainstream angekommen ist“, sagt Alex Rice, Mitbegründer und CTO von Hackerone. „Es war spannend, die Erfolge der drei Hack-the Army-Programme zu begleiten und zu beobachten, wie die Hacker-Community dazu beiträgt, die Cyber-Verteidigung der USA zu stärken.“
„Wir wollen unsere staatlichen Einrichtungen auf die nächste Stufe der Systemsicherheit heben, indem wir uns kontinuierlich für die Fortsetzung und Weiterentwicklung dieser Herausforderungen einsetzen“, sagt Maya Kuang, Army Product Manager, Defense Digital Service. „Wir können uns keine Mentalität nach dem Motto, ‚das nächste Mal machen wir es besser‘, leisten. Ich glaube fest daran, dass ein proaktiver Ansatz entscheidend dafür ist. Das bedeutet, das potenzielle Probleme gefunden und angegangen werden müssen, bevor diese ausgenutzt werden.“
„Es ist immer interessant zu beobachten, welche Anfälligkeiten und Schwachstellen sich im Verborgenen finden“, sagt Johann R. Wallace, Compliance Division Chief, Army Network Enterprise Technology Command. „Hack the Army leistet hervorragende Arbeit bei der Aufdeckung von Schwachstellen und Fehlern im Code, die unser gängiges Compliance-basiertes Scanning übersehen hatte. Nur weil ein System gepatcht ist, heißt das noch lange nicht, dass es auch sicher ist. Ein Programm wie Hack the Army ermöglicht es uns, zusätzliche Fachkompetenz zu nutzen, um mehr Assets noch schneller zu überprüfen, als wir es mit unseren internen Teams zur Schwachstellenbewertung alleine könnten. Genau wie wir es unseren Nutzern immer wieder sagen: ‚Irgendjemand wird die Server einem Pentest unterziehen – besser, wenn es jemand ist, den wir bezahlen.‘“
„Ich engagiere mich gerne bei Programmen des Verteidigungsministeriums, wenn ich neue Tools oder Methoden testen möchte“, sagt Corben Leo (@cdl), der Top-Hacker von Hack the Army 3.0, zur Frage, warum es wichtig ist, sich bei Programmen des Militärs einzubringen. „Derlei Programme eignen sich perfekt für diese Zwecke, da sie einen großen Umfang besitzen und viele verschiedene Technologien zum Einsatz kommen. Das Hacken von Programmen des Militärs erlaubt es Sicherheitsexperten, die ihre Fähigkeiten verbessern wollen, großartige Erfahrungen zu sammeln. Ferner helfen sie ihnen dabei, sicherer zu werden.“
www.hackerone.com