Domainsicherheitscheck: das Pentagon ist angreifbar!

25. Juni 2016 | Von | Kategorie: Domain News, Domain Sicherheit

US-Programm “Hack the Pentagon“ deckt Sicherheitslücken auf

„Hack the Pentagon“ – so lautete der Projektname mit dem die amerikanische Regierung alle Hacker weltweit aufgerufen hatte, insgesamt in fünf Domains des Pentagons einzudringen. Das Bug-Bounty Programm war der erste “Contest“ seiner Art und lief vom 18. April bis zum 12. Mai 2016. Dem Aufruf zum Hacken der Domains folgten 1410 „Hacker“, darunter auch viele Highschool Absolventen.

Teilnehmer durchliefen Sicherheitschecks
Das Programm „Hack the Pentagon“ wurde im März diesen Jahres der amerikanischen Öffentlichkeit vorgestellt. Hacker konnten sich in eine Teilnehmerliste eintragen und wurden daraufhin von den Sicherheitsbehörden überprüft. Nach erfolgreich durchlaufenem Check waren sie als Teilnehmer akkreditiert und konnten auf den Beginn des Programms warten. Am 18.April erfolgte dann die Bekanntgabe der Zielseiten defense.gov, dodlive.mil, dvidshub.net, myafn.net und dimoc.mil.

Erfolgreiche Hacker finden viele Sicherheitslücken
Die teilnehmenden „Hacker“ reichten insgesamt 1189 Reports ein. Bei den Versuchen, in die Webseiten einzudringen wurden auch 138 relevante Sicherheitslücken entdeckt und beschrieben. Zu den häufigsten Fehler gehörten Cross-Site Scripting (XSS), Information Disclosure und Cross-Site-Request-Forgery. Die Programmteilnehmer erhielten für ihre erfolgreichen Hacks vom Pentagon Prämien im Wert von insgesamt 71.200 US Dollar. Die Kosten des gesamten Programms wurden von der Behörde mit rund 143.000 US Dollar beziffert.

US Regierung will Programm weiterführen
Der Start des Bug-Bounty Programms ist so gut gelungen, dass es weiterführt wird. Zudem kann die amerikanische Regierung auf diese Weise viel Geld sparen. Statt teure Sicherheitsfirmen zu engagieren, die Rechnungen in Millionenhöhe stellen, finden Amateure die Sicherheitslücken in sensiblen Regierungswebseiten und erhalten dafür eine kleine Entschädigung. In diesem Fall erhielt jeder Teilnehmer 588 Dollar.

Nach dem Ende des Tests hat sich das Pentagon entschlossen, mit „HackerOne“, einer bekannten Bug-Bounty-Domain zusammenzuarbeiten. So sollen die Sicherheitslücken geschlossen und neue Fehler gefunden werden. Verteidigungsminister Ashton Carter äußerte sich auf der Programmfeier zufrieden über die Erfolge der Amateurhacker und will weitere Webseiten aus anderen Bereichen der Regierung „hacken“ lassen, um Systemfehler schneller zu finden und Lücken wirksam zu schließen.

Schreibe einen Kommentar