Homeland Security Bug Bounty enthüllt eine große Anzahl von Fehlern

Eskere Guru

Das Ergebnis eines Bug-Bounty-Programms für das Department of Homeland Security (DHS) wurde bekannt gegeben, und es sind keine besonders ermutigenden Neuigkeiten für eine Regierungsbehörde, die gleichbedeutend mit Cybersicherheit ist.

Teilnehmer des ersten Bug-Bounty-Programms von DHS mit dem Namen „Hack DHS“ bestätigten, dass sie eine besorgniserregende Anzahl von Sicherheitslücken gefunden haben.

Ein großer Monitor, auf dem eine Warnung vor Sicherheitsverletzungen angezeigt wird.

Sie entdeckten laut The Register und Bleeping Computer insgesamt 122 Sicherheitslücken in externen DHS-Systemen. 27 Fehler wurden als Fehler mit „kritischem Schweregrad“ erkannt.

An der Hack DHS-Initiative nahmen mehr als 450 Sicherheitsforscher am Programm teil. Für ihre Bemühungen zahlte die Regierungsbehörde eine Gesamtprämie von 125.600 US-Dollar aus, die unter den ethischen Hackern verteilt wurde.

Wie von The Register treffend hervorgehoben wird, verblasst die oben genannte Auszahlungszahl im Vergleich zu dem, was andere Organisationen an Bug-Bounty-Jäger zahlen.

Beispielsweise hat Intel zuvor bis zu 100.000 US-Dollar für die erfolgreiche Aufdeckung bestimmter Schwachstellen angeboten.

Andere Technologiegiganten wie Microsoft bieten Zehntausende von Dollar für das Auffinden von Fehlern, während Apple einer einzelnen Person fast die gesamte Hack-DHS-Prämie zahlte,indem sie ihm 100.000 Dollar für das Hacken eines Mac gab .

Google hat unterdessen fast 30 Millionen US-Dollar an Personen vergeben, die sich für seine eigenen Bug-Bounty-Programme angemeldet haben. In einem bestimmten Fall gab das Unternehmen einem autodidaktischen jugendlichen Hacker 36.000 US-Dollar für die Meldung eines bestimmten Fehlers.

In Anbetracht der Tatsache, dass eine der Hauptaufgaben des Heimatschutzministeriums die Cybersicherheit ist, mögen viele verständlicherweise besorgt sein, dass eine so große Anzahl von Sicherheitslücken überhaupt gefunden wurde. Darüber hinaus könnten die mit Hack DHS verbundenen etwas glanzlosen Zahlungsstufen eine potenzielle Abschreckung für zukünftige Interessenten darstellen.

Alles in allem scheint das DHS nicht so sicher zu sein, wie viele Amerikaner es sich erhofft hatten.

Eine physische Sperre, die auf einer Tastatur platziert wird, um eine gesperrte Tastatur darzustellen.

Das Bestreben der Heimatschutzbehörde, sicherer zu werden

Hack DHS wurde ursprünglich im Dezember 2021 eingeführt. Jeder Hacker, der sich dem Programm anschließt, müsste eine umfassende Aufschlüsselung aller gefundenen Schwachstellen bereitstellen. Sie müssen auch detailliert darlegen, wie dieser Fehler von potenziellen Bedrohungsakteuren anvisiert und ausgenutzt werden kann, sowie erklären, wie er speziell für den Zugriff auf und die Extraktion von Daten aus DHS-Systemen genutzt werden kann.

Sobald diese Sicherheitsmängel einem Überprüfungsprozess durch „DHS-Sicherheitsexperten“ unterzogen wurden, dessen Analyse 48 Stunden dauert, nachdem ein Fehler erkannt und gemeldet wurde, werden sie im Allgemeinen innerhalb von etwa 15 Tagen gepatcht. In einigen Fällen dauert es länger als einen halben Monat, bis die Regierungsbehörde die komplizierteren Mängel behoben hat.

Das Bug-Bounty-Programm der Regierungsbehörde wird über einen abgestuften Rollout durchgeführt, der aus drei Phasen besteht. Die erste Phase, die Auszahlungen, ist abgeschlossen, während in der bevorstehenden zweiten Phase vom DHS handverlesene Sicherheitsforscher an einem Live-Hacking-Event teilnehmen werden.

Was die letzte Phase betrifft, berichtet The Register, dass das DHS Informationen weitergeben wird, von denen es hofft, dass sie zusätzliche Bug-Bounty-Programme beeinflussen werden.

Die Popularität von Bug-Bounty-Programmen wird in einer Zeit, in der Cyberkriminelle ihre Versuche, große Unternehmen zu infiltrieren, insbesondere im Technologiebereich, intensiviert haben , immer wichtiger.

Zum Beispiel stellte Intel Project Circuit Breaker vor, eine Erweiterung seines Bug-Bounty-Programms, das eingeführt wurde, um „Elite-Hacker“ zu rekrutieren. Google hat im vergangenen Jahr auch sein Vulnerability Reward Program aktualisiert, indem es eine neue Bug-Plattform eingeführt hat .

An anderer Stelle hat Google kürzlich bestätigt, dass im Jahr 2021 eine Rekordzahl gefährlicher Zero-Day-Exploits identifiziert wurde, während Cyberkriminalität so weit verbreitet ist wie nie zuvor .