PENTHACKER - IL PENTAGONO CHIEDE AGLI HACKER DI TENTARE DI FORZARE I SITI DELLA DIFESA PER INDIVIDUARE LE LACUNE NEL SISTEMA: L’IDEA E’ UN SUCCESSO. CON UNA SPESA DI SOLI 150MILA DOLLARI IN PREMI SONO STATE INDIVIDUATE 138 FALLE
Simone Valesini per “www.repubblica.it”
"Hackerate il Pentagono". Non è la minaccia, o lo slogan, di qualche gruppo terroristico, ma il singolare messaggio lanciato negli scorsi mesi dallo stesso dipartimento della difesa americano, per dare il via alla campagna Hack the Pentagon: la prima bug bounty pubblica nella storia del governo federale.
Un'autentica caccia al bug, in cui gli hacker sono stati invitati a tentare di forzare i siti della difesa per individuare debolezze e lacune del loro sistema informatico. Il programma si è concluso nelle scorse settimane ed è stato un successo, come annunciato dallo stesso segretario della difesa americano Ash Carter: ha attratto infatti oltre 1400 hacker ed esperti di sicurezza informatica da tutti gli Stati Uniti, e ha permesso di identificare 138 tra bug e vulnerabilità, a fronte di una spesa di soli 150 mila dollari.
Le bug bounty in effetti non sono una novità. In campo privato sono diffuse da decenni, perché consentono di testare limiti e debolezze di un sistema informatico, senza spendere le somme ingenti che chiederebbe una società di sicurezza informatica, che per un lavoro come quello realizzato dal Pentagono possono arrivare anche oltre il milione di dollari. Dov'è la novità dunque? Fino ad oggi, il governo americano non aveva mai ritenuto saggio esporre le proprie debolezze allo scrutinio del pubblico. Una strategia potenzialmente pericolosa, in particolare, per siti strategici come quelli del dipartimento della difesa.
HACKER RUBANO MILIONI DI DATI AL GOVERNO USA
Di recente però qualcosa è cambiato, probabilmente sulla spinta dei molteplici attacchi informatici subiti nell'ultimo anno (uno dei quali ha bloccato per diverse ore tutto il sistema email del Pentagono). Il governo americano evidentemente ha riconosciuto l'esistenza di una comunità di esperti e appassionati al di fuori dalle istituzioni e delle aziende specializzate, che può competere per capacità con le migliori società del settore. Iniziando ovviamente a piccoli passi, il Pentagono ha deciso di partire con un programma pilota, chiedendo agli hacker di "attaccare" solamente cinque siti pubblici del dipartimento della difesa, tra cui il sito ufficiale defense.gov.
La sfida è stata lanciata sul sito di Bug Bounty Hacker One, e si è rivelata da subito un successo, con il primo bug report arrivato a meno di 13 minuti dall'inizio della caccia. In totale, i partecipanti sono stati più di 1400, 250 dei quali hanno inviato segnalazioni.
armata elettronica siriana hacker siriani
Di queste, 138 sono state giudicate reali, uniche (in queste gare vince il primo che individua il problema), e quindi premiabili con la bounty, o taglia, che in media ha raggiunto i 588 dollari per ogni premiato. Tra le diverse vulnerabilità individuate, ammette il Pentagono, c'è anche una cosiddetta SQL injection, una tecnica utilizzata da hacker malevoli che può comportare problemi anche gravi e garantisce l'accesso a dati sensibili.
centcom hacker jihadisti pubblicano scenari strategici corea del nord
Sarà anche per questo che il Pentagono ha deciso di continuare a insistere sulle bug bounty. A partire da questo mese infatti non solo i siti, ma anche i network, i sistemi e le applicazioni della difesa sono ufficialmente attaccabili: e per gli hacker che individueranno, e segnaleranno, un problema non è prevista alcuna ripercussione, ma un premio in denaro. Il dipartimento della difesa ha deciso inoltre di offrire incentivi a tutti i contractor che seguiranno il suo esempio.
"Più occhi amichevoli sorveglieranno i nostri sistemi e siti internet, maggiore sarà il numero di vulnerabilità che riusciremo a individuare", ha commentato il segretario della difesa Ashton Carter. "In questo modo riusciremo a risolvere un maggior numero di problemi, e offriremo una maggiore protezione ai nostri soldati".
