ฟัง Jared Serbu บน Federal Drive กับ Tom Teminเครื่องเล่นเสียง

ฟัง Jared Serbu บน Federal Drive กับ Tom Teminเครื่องเล่นเสียง

ในเดือนพฤศจิกายน เมื่อเจ้าหน้าที่กองทัพบกตัดสินใจเปิดตัวบริการดักจับแมลงเป็นครั้งแรก หนึ่งในคำถามสำคัญที่พวกเขาต้องการคำตอบคือบันทึกของบุคลากรที่มีความละเอียดอ่อนมีความเสี่ยงที่จะถูกแฮ็กเกอร์ขโมยผ่านทางเว็บไซต์สาธารณะของกองทัพบกหรือไม่ ปรากฎว่าคำตอบคือใช่The Army และ HackerOne ผู้รับเหมาสำหรับรางวัลบั๊ก ประกาศผลขั้นสุดท้ายจากความท้าทาย Hack the Army เมื่อปลายสัปดาห์ที่แล้ว โดยทั้งหมด 371 แฮ็กเกอร์ “หมวกขาว” เข้าร่วมในการฝึกหนึ่งเดือนและค้นพบการรักษาความปลอดภัยแยกต่างหากทั้งหมด 118 รายการ ช่องโหว่ในเว็บไซต์ที่ดำเนินการโดยกอง

ทรัพยากรบุคคลกองทัพบก

แต่หนึ่งในปัญหาที่ร้ายแรงที่สุดคือปัญหาหนึ่งที่นักวิจัยด้านความปลอดภัยค้นพบปัญหาด้านความปลอดภัยที่ทำให้เขากระโดดโดยตรงจากเว็บไซต์จัดหางานหลักของกองทัพบก GoArmy.com ไปยังเครือข่ายภายในของกระทรวงกลาโหมที่ไม่ควรเข้าถึงโดยสาธารณะโดยไม่เรียกใช้ คำเตือนใด ๆ ต่อผู้ปกป้องทางไซเบอร์ของกองทัพบก

จากข้อมูลของ HackerOne ปัญหาด้านความปลอดภัยที่ร้ายแรงคือการรวมกันของพร็อกซีเซิร์ฟเวอร์ที่กำหนดค่าไม่ถูกต้องในพอร์ทัลเว็บสาธารณะและข้อบกพร่องแยกต่างหากในระบบที่ควบคุมการเข้าถึงเครือข่ายภายในของกองทัพบก

        ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคม

เพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้

“มันอนุญาตให้นักวิจัยเชื่อมโยงช่องโหว่สองสามข้อเข้าด้วยกันเพื่อเข้าถึงระบบภายในที่ไม่ควรเปิดเผยต่ออินเทอร์เน็ตสาธารณะ” อเล็กซ์ ไรซ์ ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีและผู้ร่วมก่อตั้งของบริษัทกล่าวในการให้สัมภาษณ์ “นั่นคือประเภทของการค้นพบที่แสดงคุณค่าของการใช้สติปัญญาของมนุษย์กับปัญหานี้ เมื่อคุณมีช่องโหว่หลายจุดที่จะต้องนำมารวมกันในลักษณะที่สร้างสรรค์เพื่อให้ใครบางคนสามารถใช้ประโยชน์จากช่องโหว่ได้ นั่นเป็นสิ่งที่เครื่องมืออัตโนมัติและเทคโนโลยีการสแกนแบบเดิมพลาดไปโดยสิ้นเชิง ต้องใช้ความเฉลียวฉลาดของมนุษย์ในการก้าวกระโดดของตรรกะเหล่านี้”

กองทัพบกกล่าวว่ากองบัญชาการทางไซเบอร์ดำเนินการอย่างรวดเร็วเพื่อแก้ไขปัญหาด้านความปลอดภัยทันทีที่ผู้เข้าร่วมการแข่งขันค้นพบและรายงาน มันเป็นหนึ่งในข้อบกพร่องทั้งหมด 416 รายการที่ส่งมาในช่วงรางวัลข้อบกพร่อง (รายการแรกถูกส่งไปห้านาทีหลังจากเริ่มการท้าทาย) HackerOne กล่าวว่ามีการจ่ายเงินรางวัลมากกว่า 100,000 ดอลลาร์สำหรับรายงานบั๊กที่ได้รับการยืนยันจนถึงตอนนี้ แต่รางวัลบางอย่างยังอยู่ระหว่างการดำเนินการ

Hack the Army เป็นเพียงบั๊กตัวที่สองที่กระทรวงกลาโหมดำเนินการมาจนถึงตอนนี้ และเป็นรายแรกที่ใช้กระบวนการนี้โดยเฉพาะเพื่อค้นหาเส้นทางที่ยังไม่ถูกค้นพบ ซึ่งแฮ็กเกอร์ที่ประสงค์ร้ายอาจค้นหาข้อมูลที่ละเอียดอ่อน ความท้าทายแรกที่เรียกว่าHack the Pentagonกำหนดเป้าหมายเว็บไซต์ข่าวและข้อมูลที่ไม่ละเอียดอ่อนที่ดำเนินการโดยกิจกรรมข้อมูลกลาโหม

ในอีกประการหนึ่ง กองทัพบกได้รับอนุญาตตามกฎหมายให้พนักงานของตนเข้าร่วมการท้าทาย (แม้ว่าพวกเขาจะไม่มีสิทธิ์ได้รับรางวัลเป็นตัวเงินก็ตาม) โดยรวมแล้ว พนักงานของรัฐบาลกลาง 25 คนลงทะเบียนเพื่อค้นหาจุดบกพร่อง รวมถึงเจ้าหน้าที่ทหารในเครื่องแบบ 17 คน

การแข่งขันของกองทัพบกได้รับการสนับสนุนเป็นคำสั่งงานแรกในสัญญาส่งมอบไม่กำหนดปริมาณ 3 ล้านดอลลาร์ DoD ออก HackerOne เมื่อเดือนตุลาคมปีที่แล้ว เพื่อให้หน่วยบริการทางทหารและหน่วยงานกลาโหมสามารถตั้งค่ารางวัลบั๊กของตนเองได้ และเจ้าหน้าที่ของบริษัทกล่าวว่าเงินที่เหลือภายใต้สัญญาสามารถ ยังคงจ่ายค่าหัวบั๊กอีก 19 รายการทั่วทั้ง DoD

แต่จนถึงขณะนี้ยังไม่มีการออกคำสั่งงานอื่น ๆ และมีความไม่แน่นอนในระดับหนึ่งว่าฝ่ายบริหารที่เข้ามาจะมีความกระตือรือร้นเหมือนครั้งล่าสุดหรือไม่ เกี่ยวกับข้อบกพร่องและโครงการเทคโนโลยีอื่น ๆ ที่เปิดตัวโดย US Digital Service และ DoD ด่านหน้า Defence Digital Service

สล็อตยูฟ่าเว็บตรง