Недавно была новость, что 11-летний школьник смог взломать копию сайта избирательной системы США за 10 минут (причем взломать ее смогли все школьники, участвовавшие в эксперименте). Пентагон тоже "тренируется на кошках" - тестирует свои сайты. Официально их тестируют на уязвимости "хакеры со всего мира", но не исключено, что опять эксплуатируют детский труд.
На днях около 100 хакеров "попробовали на зуб" общедоступные сайты Корпуса морской пехоты и обнаружили более 75 уязвимостей всего за несколько часов, сообщила Служба цифровой защиты Пентагона (DDS). Эта программа тестирования - детище директора DDS Криса Линча. Первая проба прошла в 2016 г. и позволила обнаружить 138 уязвимостей на сайтах самого Пентагона. Затем пришел черед армии (118), ВВС (за 2 раза 315 уязвимостей) и системы транспортного обеспечения (DTS) - более 100 уязвимостей.
"Усилия по взлому Пентагона помогают сделать сайты Министерства обороны надежнее. Это программа стала толчком, чтобы заставить Пентагон экспериментировать с подобной концепцией вообще", - сказал Линч на хакерской конференции DEFCON.
"Старый подход был прост: мы заключали договор с крупным поставщиком, они продавали нам какое-то ужасное программное обеспечение и заверяли: "Это на 100% будет выполнять работу по обеспечению безопасности ваших сетей, сертификатов и систем. Все будет прекрасно! Идеально!" ... На самом деле так не бывает".
Линч сказал, что они также узнали, как трудно посторонним лицам сообщать о подобных проблемах Министерству обороны, когда они их обнаруживают: "Кто-то из другой страны, я не помню откуда, отправил нам электронное письмо с описанием уязвимости, о которой он узнал и сказал "Я даже не знаю, как сообщить о найденной уязвимости [веб-сайта] в Минобороны". Это было до того, как DDS начала работать над этим вопросом. Теперь все проще, и есть определенный порядок для сообщений.
DDS - относительно новая служба в Пентагоне. Она представляет собой небольшую группу инженеров и экспертов в области обработки информации. Как заявил министр обороны Эштон Картер при открытии службы, новый отдел призван улучшить технологическую гибкость министерства и помочь решить самые сложные IT-задачи: "DDS пригласит на работу самых талантливых представителей американского технологического сообщества, которые смогут применить наиболее инновационные и гибкие подходы к решению проблем, связанных с информационными технологиями".
Кристофер Линч ранее занимал пост вице-президента компании Daptiv, а также работал как менеджер по развитию в Microsoft, где отвечал за архитектуру, инженерные решения и глобальное взаимодействие с клиентами.
Комментарии
Все эти школьники, взломавшие сайт, теперь всю жизнь под наблюдением у спецслужб будут.
На работу возьмут как вырастут.
Переходный возраст, затем взрослая жизнь, мышление и отношение к государству у кого-то может стать крайне негативным. Но выхода нет: либо работать на власть, либо быть под постоянным наблюдением и сдерживать свои способности. Так себе перспективы.
ты прямо новую тему для марвела нарисовал-)))
"..Эта программа стала толчком.." В умелых руках все становится толчком, даже самолет для тестирования конструкции небоскреба. Впрочем, саперы со своим толчком тоже помогают
А как с проверкой на взлом в МО РФ?
Может стоит попробовать?
Только приглашать не детей, а победителей олимпиад.
И регулярно, подобно танковому биатлону, проводить соревнования по защите и взлому
Эти же хакеры и пробуют по другим контрактам от Пентагона. Пока никак.
То, что нет информации (причем от двух сторон по разным причинам) еще ничегошеньки не значит
Ломать сайты это какой-то вычурный вид Специальной Олимпиады. В чем смысл? Разместить голую попу на главной? Вот даже в примере с сайтом пиндоизбиркома речь не идет о фальсификации выборов, а всего лишь о подмене страницы с результатами. Офигеть, какой удар! Кто, вообще, ходит на сайты ОИК и ТИК кроме маньяков?
В чем смысл крэш-теста авто или самолета?
В чем смысл крэш-теста самолета я не знаю. Наверное, понять, на сколько кусков он развалится, рухнув с эшелона. А крэш-трест авто направлен на минимизацию повреждений нежного содержимого. В отличие от сайтов, содержимое авто не восстанавливается из бэкапов.
Что-то больно узко вы смотрите на проблему защиты от взлома.
Кроме сайтов разве больше нечего ломать?
Дык и я о чем. Ломать надо сервера, а не "общедоступные сайты Корпуса морской пехоты". Хотя, что это я... У пиндосов совсекретные доки терабайтами на расшаренных облаках валяются.
Тут такое дело, что ни какими электронными средствами никак не взломать старый сейф с механическим замком. А уж скачать от-туда бумажные документы - вообще нереально, да и сети передачи достаточно хорошо защищены, меняют топологию передачи произвольно - посыльный или вестовой, он такой непредсказуемый!)))))
Так-то идея, конечно, крутая.
Было бы неплохо посмотреть на результаты
ага. бесплатно не покажут. :)
ну подобные мероприятия и у нас проходят, правда не в рамках "взломать сайт МО", а просто в рамках проекта "мы ищем таланты". а то что в статье - это show must go on.
ПРавильно.
1. Привлечь внимание к проблеме
2. Выбить деньги
3. И дать возможность "народу" поучаствовать. Типа "Алло мы ищем таланты" на ТВ СССР
Не совсем так. Это, скорее, оптимизация расходов на мероприятия по безопасности.
Ребята ищут уязвимости ради славы крутого хакера - "я взломал сам Пентагон!". Бесплатно. И это еще в том случае, если им разрешено об этом распространяться. При этом сама DDS наверняка прилагает к отчетам немалый финансовый счет.
Примерно так же работает и широко разрекламированная DARPA: она сама ничего не разрабатывает. "DARPA разработала" - это балобольство. Она объявляет конкурс по теме с призовым фондом (копеечным, если исходить из серьезности задач) и забирает все результаты себе. Причем даже те, которым не досталось призов. Максимальные плюшки выпадают победителям, если решено их решение воплощать - они станут "членами команды" в этом проекте, но уже не имея прав собственности на техническое решение.
Хм... В свете изложенного в СТ, может, и вопли про вмешательство российских хакеров в американские выборы имеют под собой основание...а? Вот взял какой-нибудь детсадовец из подготовительной группы детсада N 5 Ромашка и влез в выходные с папкиного ноута "куда не надо". И вотшто получилось.......
Не, если у них 11-летние могут, то почему у нас нет?
При прочтении таких новостей нужно ни на секунду не забывать, что разница между "взломал защищённый сервер" и "взломал сайт" примерно такая же как "спёр документы из прикроватного сейфа начальника" и "написал похабное слово на доске объявлений".
Нашли почти половину уязвимостей, оставленных на видном месте Русскими Хакерами. Неплохо постарались, молодцы.)
ловись хакер , большой и маленький ! :)