El servicio digital de defensa es un SWAT equipo de nerds trabajando para mejorar la tecnología en todo el Departamento de Defensa". Esta frase se destaca en el página principal de los Servicio digital de defensa DDS, una agencia del Departamento de Defensa de los Estados Unidos de América cuya misión es la innovación y transformación en un sentido tecnológico del Departamento mencionado y, en particular, "Utilizar el diseño y la tecnología para mejorar los servicios gubernamentales, fortalecer la defensa nacional y cuidar a los militares y sus familias.". Para ello, la agencia cuenta entre sus filas, además de figuras profesionales muy interesantes como la de "hackers de burocracia", También lo mencionado"empollones", Que el sitio web de Garzanti Linguistica define como"en uso juvenil, un joven torpe e insignificante que sublima su condición con gran habilidad y pasión por las computadoras y los videojuegos | estudiante que logra buenos resultados gracias a la aplicación terca, pero no brilla por su inteligencia; empollón.
Pero, ¿qué contribución puede hacer un equipo feroz de "nerds" al Departamento de Defensa de la superpotencia militar por excelencia? Ciertamente tienen ideas muy válidas de éxito que otros obviamente no vienen a la mente. Un claro ejemplo es el programa "Hackear el pentágono", Lo que dio lugar a otras iniciativas muy interesantes en el campo de caza de insectos, incluyendo, en orden cronológico, "Hackear la Fuerza Aérea 4.0 ", que vio un" batallón "de los piratas informáticos lanzar el asalto a la infraestructura tecnológica de la Fuerza Aérea de los Estados Unidos.
Veamos en qué consiste este tipo de actividad y qué resultados permite obtener.
Más de una vez, en estas páginas, hemos tratado de mejorar la figura delpirata informático ético (o hackers de sombrero blanco) que, en esencia, es un entusiasta de las TI que se dedica a investigar las vulnerabilidades de seguridad de los sistemas de TI (errores de programación y / o configuración), informando al desarrollador relevante en lugar de al usuario o las autoridades.
Precisamente esta preciosa figura, nunca suficientemente explotada en nuestro país, especialmente en su versión "amateur", está en el centro de la caza de insectos (o de recompensa de errores) cómo Hackear la Fuerza Aérea 4.0, que se propuso el objetivo de buscar filtraciones del sistema de seguridad de la información a través de competencias entre los piratas informáticos. En particular, la competencia con respecto a los sistemas de la Fuerza Aérea de los Estados Unidos es parte de una iniciativa más amplia "Hackear el pentágono", Programa de recompensa de errores lanzado en 2016, concebido y gestionado por el citado DDS utilizando la empresa de servicios HackerOne, que actúa como una interfaz con un vibrante e inclusiva a nivel mundial que cuenta con más de 500.000 pirata informático ética.
Específicamente, este programa tiene como objetivo organizar y ejecutar eventos de caza de insectos enfocado en los sistemas del Departamento de Defensa, para detectar y resolver cualquier agujero de seguridad desconocido incluso para sus respectivos fabricantes. Aunque la mayoría de los pirata informático Éticos y motivados por la gratificación personal, estos eventos incluyen premios en efectivo para los ganadores. En este contexto, lo anterior tuvo lugar en los últimos meses de octubre y noviembre. Hackear la Fuerza Aérea 4.0, una competencia que ha involucrado a 60 los piratas informáticos coordinado por HackerOne, en la "prueba de esfuerzo" desde el punto de vista de Centro de datos virtual de la Fuerza Aérea de EE. UU., es decir cloud que proporciona los servicios de TI de la Fuerza Armada. La cuarta edición de la competencia de la Fuerza Aérea reveló 460 vulnerabilidades de seguridad y otorgó premios de $ 290.000.
En el complejo, Hackear el pentágono permitió descubrir 12.000 vulnerabilidades previamente desconocidas que podrían haber sido descubiertas y explotadas por algún atacante. En resumen, la última edición, según los administradores del programa, confirmó que es un programa exitoso en muchos aspectos. Imaginemos cuáles son los puntos fuertes de los programas. caza de insectos del DDS y, en general, de iniciativas similares.
El primero, más inmediato., es permitir que el Departamento de Defensa haga que sus sistemas sean ciertamente más seguros, ya que las violaciones de seguridad obviamente se eliminan rápidamente antes de hacerse públicas, en consecuencia pirata informático las personas poco éticas tendrán que hacer mucho más para encontrar otras vulnerabilidades. El aspecto financiero del programa también es claramente beneficioso, dado que ha estado funcionando durante 4 años. Probablemente, los premios en efectivo, que premian a los ganadores, son inversiones particularmente ventajosas también para el Departamento, consciente de las "parcelas" mucho más altas que las pirata informático certificados y las empresas en las que operan. Además y este es el tercer aspecto del éxito, recurrir a los programas de caza de insectos no se depende de una empresa en particular, sino de una comunidad heterogénea de pirata informático, cada uno con diferentes habilidades y experiencias y, sobre todo, no vinculado a ningún fabricante específico de hardware o software. Esto permite obtener resultados verdaderamente independientes, que no son el resultado de una evaluación aséptica "en el laboratorio".
Para comprender mejor el potencial de caza de insectos, piensan que con la misma metodología, el año pasado, a través de una competencia entre pirata informático desarrollado en dos fases y dedicado a chorro F-15 de la Fuerza Aérea de EE. UU., Algunas vulnerabilidades de seguridad de un sistema crítico para toda la plataforma de armas, es decir, el Estación de descarga de información de aeronaves de confianza, designado para recopilar los datos adquiridos por los sensores y cámaras del avión durante el vuelo. Tanto es así, que en los planes del DDS existe la intención en el futuro de probar incluso las compañías aéreas reales, así como las plataformas satelitales. Otro punto positivo de las competiciones de caza de insectos con toda probabilidad consiste en la "retención" de pirata informático con las Fuerzas Armadas y la participación del mundo industrial. En resumen, el establecimiento de ese círculo virtuoso que en muchos lugares, incluidas estas páginas, se ha destacado como uno de los elementos que deberían ser la base de una estrategia de seguridad cibernética Nacional. De esta manera, de hecho, los militares se dan cuenta de la necesidad ineludible de poder utilizar sistemas diseñados y desarrollados para ser seguros, sin descuidar ningún aspecto y de la necesidad de probarlos continuamente durante todo el ciclo de vida, desde su adquisición hasta su eliminación. . Por otro lado, el pirata informático La ética, además de participar en desafíos estimulantes, sabe que son útiles para su país, contribuyendo activamente a su seguridad. Además, las Fuerzas Armadas pueden hacerlo. exploración y los piratas informáticos pueden evaluar si seguir una carrera militar. Finalmente, el último aspecto, las empresas se ven obligadas a desarrollar software e hardware cada vez más seguro, tal vez tomando exactamente lo mismo pirata informático quienes descubren los defectos de sus sistemas. Por supuesto, según el DDS también hay algunos aspectos negativos que se deben mejorar, principalmente en lo que respecta a los aspectos legales de los contratos utilizados por el Departamento de Defensa para el suministro y la gestión de los servicios de TI. Sin embargo, el saldo de competiciones como Hackear la Fuerza Aérea ciertamente es muy positivo para todas las partes involucradas.
Al final de esta breve revisión de los programas. caza de insectos del DDS, es útil resaltar una vez más cuánto el variado mundo de pirata informático La ética puede representar, también para Italia, un recurso muy válido. En este período caracterizado por miles de dramas familiares causados por las consecuencias de COVID-19, la necesidad ineludible de contar con sistemas, redes y servicios de información que sean capaces de garantizar un nivel adecuado de seguridad emerge aún más fuertemente. Además, nuestras vidas no solo dependen de ellos, sino también de la economía del país, que se vuelve aún más frágil debido a las consecuencias de la pandemia que aún continúa. Esto, a pesar de tecnologías a menudo anticuadas, heterogéneas y complejas, no desarrolladas para cumplir con los requisitos de seguridad, incluso mínimas y a pesar de amenazas sutiles, más o menos sofisticadas, pero siempre atribuibles a actores despiadados, inescrupulosos, numéricamente abrumadores y bien organizados. y a menudo con enormes recursos disponibles. Para hacer frente a este escenario aterrador, necesita la ayuda de todos, profesionales o no, y todas sus mejores habilidades y energías. Por lo tanto, hay una necesidad aún más que nunca pirata informático ético, un recurso aún desconocido o no considerado adecuadamente y, por lo tanto, no se explota lo suficiente.
