El Departamento de Defensa de los Estados Unidos anuncia el programa de recompensas por errores del Cuerpo de Marines con HackerOne.

Setenta y cinco vulnerabilidades de seguridad descubiertas en el lanzamiento con ayuda de los hackers

El Departamento de Defensa de los Estados Unidos (DoD) y HackerOne, la principal plataforma de seguridad impulsada por hackers, han anunciado hoy el lanzamiento del sexto programa de recompensas por errores del Departamento, Hack the Marine Corps. El desafío de recompensas por errores se centrará en los sitios web y servicios públicos del Cuerpo de Marines con el fin de reforzar las defensas de la Red Empresarial del Cuerpo de Marines (MCEN). El programa de recompensas por errores concluirá el 26 de agosto de 2018.

El programa de recompensas por errores del Cuerpo de Marines arrancó con un evento de hacking en vivo en Las Vegas, Nev. el 12 de agosto de 2018, coincidiendo con las mayores conferencias de hackers y seguridad del mundo, Black Hat USA, DefCon y BSides Las Vegas. Casi 100 hackers éticos seleccionados a mano de la comunidad mundial de investigadores de seguridad participaron en nueve horas seguidas de hackeo de sitios web y servicios de cara al público del Cuerpo de Marines en busca de vulnerabilidades. Durante el evento de lanzamiento, los investigadores de seguridad expertos estuvieron codo con codo con los Marines del Mando del Ciberespacio del Cuerpo de Marines de los Estados Unidos (MARFORCYBER), representando a los equipos cibernéticos ofensivos y defensivos. Los hackers presentaron 75 informes únicos de vulnerabilidad de seguridad válidos durante el evento y fueron premiados con más de 80.000 dólares por ayudar a asegurar aún más el MCEN, la parte del Cuerpo de Marines de la Red de Información del Departamento de Defensa (DoDIN).

«Hackear el Cuerpo de Marines nos permite aprovechar el talento de la comunidad mundial de hackers éticos para echar un vistazo honesto y duro a nuestra postura actual de ciberseguridad. Nuestros marines necesitan operar contra los mejores. Lo que aprendamos de este programa ayudará al Cuerpo de Marines a mejorar nuestra plataforma de combate, la Red Empresarial del Cuerpo de Marines. Trabajar con la comunidad de hackers éticos nos proporciona un gran retorno de la inversión para identificar y mitigar las vulnerabilidades críticas actuales, reducir las superficies de ataque y minimizar las vulnerabilidades futuras. Nos permitirá estar más preparados para el combate», dijo el General de División Matthew Glavy, Comandante del Mando Cibernético de las Fuerzas de los Marines de los Estados Unidos.

Cuerpo de Marines de EE.UU.

El programa Hack the Marine Corps bug bounty apoya el compromiso continuo del Cuerpo de Marines de reforzar su postura defensiva y su ciberseguridad general. En marzo, el Cuerpo de Marines anunció la creación de una carrera en el ciberespacio que proporciona una fuerza de trabajo profesionalizada y altamente cualificada que puede emplear eficazmente las capacidades y efectos del ciberespacio. Estos esfuerzos forman parte del compromiso del Cuerpo de combatir y ganar, en todos los ámbitos.

Hackear el Pentágono

Hack the Marine Corps forma parte de la iniciativa de seguridad crowdsourcing Hack the Pentagon con el Defense Digital Service (DDS) del DoD y HackerOne. Reconociendo que muchas de las empresas más grandes del país utilizan recompensas por errores para mejorar la seguridad y la prestación de servicios digitales, el DDS lanzó el primer desafío de recompensas por errores del gobierno federal en colaboración con HackerOne en 2016.

«La seguridad de la información es un reto como ningún otro para nuestros militares. Nuestros adversarios están trabajando para explotar las redes y paralizar nuestras operaciones sin disparar un arma», dijo el director del DDS, Chris Lynch. «A veces, la mejor línea de defensa es un hábil hacker que trabaja junto a nuestros hombres y mujeres de uniforme para asegurar mejor nuestros sistemas. Estamos entusiasmados de ver cómo Hack the Pentagon sigue cobrando impulso y reuniendo a nerds que quieren marcar la diferencia y ayudar a proteger nuestra nación.»

Desde el lanzamiento de Hack the Pentagon, se han notificado más de 5.000 vulnerabilidades válidas en los sistemas gubernamentales. Estos retos de recompensa de errores incluyen:

– Hack the Pentagon se lanzó en mayo de 2016 y dio como resultado 138 vulnerabilidades válidas resueltas y decenas de miles de dólares pagados a los hackers éticos por sus esfuerzos.
– Hack the Army se lanzó en diciembre de 2016 y sacó a la luz 118 vulnerabilidades válidas resueltas y pagó 100.000 dólares a los hackers éticos.
– Hack the Air Force se lanzó en abril de 2017 y dio como resultado 207 vulnerabilidades válidas resueltas y más de 130.000 dólares pagados a los hackers éticos.
– Hack the Air Force 2.0 se lanzó en diciembre de 2017 y dio como resultado 106 vulnerabilidades válidas resueltas y 103.883 dólares pagados a los hackers.
– Hack the Defense Travel System se lanzó en abril de 2018 y se centró en probar un sistema empresarial del DoD y dio como resultado 100 vulnerabilidades de seguridad reportadas y 80.000 dólares pagados a los hackers.

Después del cierre de los desafíos de recompensas de errores, los hackers que se dan cuenta de las vulnerabilidades pueden revelarlas al DoD a través de su programa de divulgación de vulnerabilidades en curso con HackerOne. El Departamento de Defensa lanzó su Política de Divulgación de Vulnerabilidades en 2016 como parte de Hack the Pentagon para proporcionar una vía legal para que los investigadores de seguridad encuentren y divulguen vulnerabilidades en cualquier sistema de cara al público del DoD.

«El éxito en la ciberseguridad consiste en aprovechar el ingenio humano», dijo Marten Mickos, director general de HackerOne. «No hay ninguna herramienta, escáner o software que detecte las vulnerabilidades críticas de seguridad más rápido o de forma más completa que los hackers». El Cuerpo de Marines, una de las organizaciones más seguras del mundo, es la última agencia gubernamental que se beneficia de las diversas perspectivas de los hackers para proteger a los estadounidenses dentro y fuera del campo de batalla.»

El Pentágono recurre a un hacker ético para apoyar las iniciativas de recompensas por errores

Después de ganar el desafío Hack the Air Force, el renombrado hacker ético Jack Cable se unió a DDS, la agencia del DoD que lidera el programa Hack the Pentagon, para una gira de trabajo. Cable, de 18 años de edad, ayudó a apoyar e implementar el desafío Hack the Marine Corps, prestando sus habilidades únicas de seguridad de hacker y su perspectiva hacia la planificación de recompensas de errores para el gobierno. Los hackers éticos, los investigadores de seguridad, los ingenieros y otras personas interesadas en unirse al DDS pueden obtener más información aquí.

Servicio Digital de Defensa

El Servicio Digital de Defensa es un equipo de los mejores talentos tecnológicos que están de servicio en el Pentágono para mejorar la tecnología en todo el Departamento. El DDS aplica las mejores prácticas de la industria a las misiones de seguridad nacional de alto impacto y aborda algunos de los retos informáticos más complejos del Departamento de Defensa. Los proyectos incluyen la reforma de los servicios digitales que proporcionan a las familias de los militares acceso a beneficios críticos, el desarrollo de tecnologías de detección de drones, la caza de adversarios en las redes del DoD y el rediseño de la formación de los soldados cibernéticos. El DDS es un equipo de la agencia del Servicio Digital de los Estados Unidos. El Director del DDS depende directamente del Secretario de Defensa.

[tpr-boilerplate company=’734′]