Etiket arşivi: Pentagon siber politikası

ABD, Uluslararası İlişkiler

Pentagon’u hacklemenin maliyeti 70 bin dolar

Yorum yapın

Mathew Broderick’in 1983 yapımlı Savaş Oyunları (War Games) filminde ABD Savunma Bakanlığı’nın sistemine sızıldığından beri, Pentagon’u hacklemek bir hackerın rüyası haline geldi.

Lakin bu yıl, Pentagon’u hackleme rüyası sadece gerçekleşmekle kalmadı, hackerlara bu hayallerini gerçekleştirmeleri için para dahi ödendi!

ABD Savunma Bakanlığı’nın 18 Nisan ila 12 Mayıs tarihleri arasında “Pentagon’u Heckle” (Hack the Pentagon) adlı düzenlediği pilot program kapsamında seçilmiş olan bir grup hacker bakanlığın sistemine girmeye çalıştı. Başarılı olanlar ise Pentagon bilgisayarlarında önceden bilinmeyen “güvenlik açıklarını” bulmakla ödüllendirildi.  

İLGİLİ HABER >> 18 YAŞINDAKİ HACKER PENTAGON’U HACKLEDİ

Ve tabi bir çoğu başarılı oldu. 

Eldeki son verilere göre, toplam bin 410 hacker, program esnasında Pentagon’u hacklemeye çalıştı ve her katılımcı ortalama bir açık buldu.

Program sırasında toplam bin 189 güvenlik açığı rapor edildi ve bunlardan 138’i “geçerli” ve “eşsiz” olarak sınıflandırıldı. HackerOne’a göre, bulunan en yaygın üç güvenlik açığı: Cross-site scripting (XSS), Cross-site request forgery (CSRF) ve SQL Injection. 

Cross-site scripting (XSS), HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanırken, Cross-site request forgery (CSRF) açığı ise herhangi bir son kullanıcının, kullandığı uygulamada isteği dışında işlemler yaptırtılmasıyla gerçekleştiriliyor. 

İLGİLİ HABER >> ABD’DEN HACKERLARA AÇIK DAVET: PENTAGON’U HACKLE!

Web uygulamalarında ki en ciddi açıkların başında gelen SQL Injection ise, Sql sorgularının arasına dışarıdan müdahale de bulunarak, veri ekleme işlemine verilen genel isimdir.

Sadece 71 bin 200 dolar harcandı

Pentagon’un bu benzersiz bilgi değişimi, kuruma sadece 71 bin 200 dolara patladı. Oldukça makul bir rakam, öyle değil mi?

Şöyle düşünecek olursak, programın toplam maliyeti, Pantagon’un güvenlik açıklarını saptamak için harcayacağı yaklaşık 7 milyon dolarlık gibi bir maliyetten 100 kat daha az. Ve bu da “Hack the Pentagon” programını tarihin gelmiş geçmiş en etkili hükümet programlarından biri yapıyor.  

HackerOne’a göre işin diğer bir güzelliği ise bu programın artık siber güvenliği aracı kullanarak değil direk olarak hackerdan sağlamanın yolunu daha çok açacak olması gibi gözüküyor. 

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

ABD, Uluslararası İlişkiler

18 yaşındaki hacker, Pentagon’u hackledi

1 Yorum

Pentagon’un ‘Hack the Pentagon’ programında yarışarak başarı elde eden 18 yaşındaki lise öğrencisi David Dworken, Savunma Bakanı Ash Carter tarafından onurlandırıldı.

Dworken, ABD Savunma Bakanlığı’nın başlattığı, hacker’lara teknik zafiyet bulmaları için para ödülü konulan ve 1400’ün üzerinde hacker’ın katıldığı yarışmaya bireysel katılan iki kişiden biriydi.

Hacker’ların toplamda 138 açık tespit ettiği program ilk açıklandığında öğrenimi devam eden Dworken, son sınıfta yoğun bir dönem geçirirken okuldan kalan boş zamanlarında bu iş üzerine yoğunlaşmış.

İLGİLİ HABER >> “PENTAGON’U HACKLE”MEYE 500 KİŞİ TALİP OLDU

Bütün bu yarışın sonunda para ödülünün beklediğini müjdeleyen Pentagon, kazanan bireysel hacker’lar için 75 bin doları gözden çıkardı. Dworken ise 6 açık yakalamasına rağmen önceden rapor edildiği için ödül alamasa da Pentagon’u tekrar hack’lemek için geri döneceğini söyledi.

‘Hack the Pentagon’, ABD şirketleri tarafından ağ güvenlik açıklarını bulmak için yapılan ‘bug bounty’ yarışması model alınarak tasarlanmıştı. Pilot proje, şu an için kamu web siteleriyle sınırlı ve hacker’ların kritik alanlara erişimine izin verilmedi. Bu açıkları bulmak için bir şirket tutulmuş olsaydı çok daha pahalıya mal olacağını söyleyen Carter, programı daha da genişleteceklerini ifade etti: “Sistemlerimiz ve web sitelerimizde ne kadar dostça göze sahip olursak o kadar açık yakalarız” diye ekledi.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Küresel, Sektörel

Leidos’tan Pentagon’a ‘anti-IŞİD’ desteği

Yorum yapın

Amerika merkezli ulusal güvenlik sağlık ve mühendislik şirketi Leidos, kurumun Amerikan federal güvenlik birimi için “offensive cyber” diye adlandırılan saldırgan siber çalışmaları yürüttüklerini açıkladı.

Güvenlik kuruluşlarının Pentagon’un siber savaş operasyonlarında yer aldıklarını ifşa etmeye pek de istekli olmadıkları bir zamanda Leidos şirket CEO’su Roger Krone’un böyle bir itirafta bulunması şaşkınlık yarattı.

İLGİLİ HABER >> PENTAGON’UN GÖZÜ SİLİKON VADİSİNDE

Geçtiğimiz hafta ABD’de düzenlenen bir konferansta konuşan Krone, konuyla ilgili detaylı bilgi vermekten kaçınsa da, piyasa değeri 5 milyar doları aşan şirketin siber pazarının 700 milyon dolar değerinde olduğunu söyledi.

Kurumun pazar portföyü içinde tipik defansif siber güvenlik ve ağ koruma çalışmalarının yanı sıra bazı sinyal analizlerinin de olduğunu söyleyen Krone, laf arasında hızlıca şirketin “saldırgan siber çalışmaları” da yaptığını söyledi.

Kamuoyunun, ABD ulusal güvenlik teşkilatı ve polis birimlerinin saldırgan siber projeler üzerinde çalıştığını öğrenmesi bir kaç ay öncesine kadar hayaldi.

İLGİLİ HABER >> ABD IŞİD’E KARŞI SİBER SAVAŞ İLAN ETTİ

Geçtiğimiz Şubat ayında basın açıklaması yapan ABD Savunma Bakanı Ashton Carter, hükümetin IŞİD’in elektronik ağlarına karşı siber saldırı dalgası başlattığını duyurmuştu.

Carter, örgüte karşı siber saldırılarla amaçlarının IŞİD’in haberleşme ve komuta-kontrol kabiliyetini önlemek olduğunu aktarmıştı.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

Siber Güvenlik

“Pentagon’u Hackle”meye 500 kişi talip oldu

Yorum yapın

Pentagon’un websitesindeki bugları bulmak için başlattığı crowdsourcing girişimine yaklaşık 500 araştırmacı başvurdu. HackerOne’ın yaptığı açıklamaya göre, güvenlik araştırmacıları ve hackerlar güvenlik açıklarını bulmaya başladı ve program başarıyla ilerliyor. Mart ayında devlet sistemlerindeki güvenlik açıklarını bulmayı hedefleyen “Pentagon’u Hacklemek” adlı pilot program, özel sektörden crowdsourcing desteği alan ilk program olmuştu.

150 bin dolar değerindeki devlet destekli ilk bug ödülü programı ise iki hafta önce başladı ve iki hafta daha devam edecek. Pentagon veya HackerOne henüz bir sonuç açıklamadı, fakat HackerOne CTO’su Alex Rice kimsenin büyük bir açık bulmaması durumunda sonucun istatiksel bir outlier olacağını açıkladı.

İLGİLİ HABER >> ABD’DEN HACKERLARA AÇIK DAVET: PENTAGON’U HACKLE!

BugCrowd CEO’su ve kurucusu Casey Ellis’e göre, yazılımlardaki ve sistemlerdeki açıkları bulmak için çok sayıda güvenlik uzmanı çalışırken, sadece bir hacker tek bir açık bulabiliyor. Rice, en iyi güvenlik uzmanlarıyla çalışılsa bile, olası her açıdan yaklaşılmadığı sürece güvenliğin etkin biçimde sağlanamayacağını açıkladı.

HackerOne’ın açıklaması, Savunma Bakanlığı programının çoğu ticari girişimden daha büyük ölçekli olduğunu gösteriyor. Diğer girişimler daha az sayıda güvenlik uzmanı kullanırken, Pentagon’a göre hackerların sayısıyla orantılı olarak daha çok açık tespit edileceği için program başarıyla sonuçlanacak.

Savunma Bakanlığı, Dijital Servis’in yürüttüğü bu girişimi Ulusal Siber Hareket Planı’nın bir parçası olarak değerlendiriyor. Devleti, ulusal ağların savunmasına öncelik vermeye davet eden ABD Savunma Bakanı Ash Carter, çalışmaları teşkilatın networklerini hedefleyen saldırıları durdurma yolunda bir adım olarak nitelendirdi. Çalışanlarını daima Pentagon’un duvarları dışında düşünmeye teşvik ettiğini belirtirken, hackerları siber güvenliklerini sınamaya davet etti.

İLGİLİ HABER >> PENTAGON KENDİ AĞLARINI HACKLEYECEK ŞİRKET ARIYOR

Devlet sistemlerine sızmak bazı hackerlerı heyecanlandırıp bazılarında endişe yaratırken, program şirketlerin sponsor olduğu kapalı bug avlarından daha farklı ilerliyor. Güvenlik araştırmacıları ve hackerlar normalde böyle programlara katılmadan önce incelenirken, Pentagon teşkilatın sistemlerine erişim sağlayacak bu kişiler için daha kapsamlı bir özgeçmiş taraması yapıyor.

Veri analiz şirketi Splunk Siber Araştırma Direktörü olan Monzy Merza’ya göre, güvenlik açıklarının bulunması ve onarılması önem arz ettiği kadar, insanlara yeteneklerini test etme şansı veren bu program sayesinde potansiyel güvelik uzmanlarının keşfedilebilecek olması da bir avantaj sağlıyor.

Rice, aslında güvenlik alanında plansızca yapılan çok fazla yatırım olduğunu, program sonunda şirketlerin güvenliğe daha planlı bir şekilde daha fazla yatırım yapacaklarını açıkladı.

18 Nisan tarihinde başlatılan bug ödül programı 12 Mayıs’ta sona erecek. HackerOne, Savunma Bakanlığı’nın tahsis ettiği toplam 150 bin dolar değerindeki ödüllerini 10 Haziran tarihine kazananlara teslim edecek.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Siber Güvenlik

ABD’den hackerlara açık davet: Pentagon’u hackle!

Yorum yapın

Bazı Amerika Savunma Bakanlığı websitelerinin ağ güvenliğinin test edilmesi amacıyla Pentagon kurum dışı hackerları “Pentagon’u hackle” (Hack the Pentagon) projesi için Pentagon sistemlerine davet ediyor.

Amerika merkezli özel sektörde faaliyet gösteren bir çok büyük şirketin sistemlerindeki güvenlik açıklarının tespiti amacıyla yürüttüğü “bug bounty” adı verilen benzer yarışmalardan esinlenerek yürütülen proje için Pentagon Nisan ayında hackerları tesislerinde ağırlayacak. Pentagon Dijital Savunma Servisi tarafından yürütülen proje Amerika’daki devlet kurumları arasında bir ilk olma niteliğini taşıyor.

İLGİLİ HABER >> PENTAGON KENDİ AĞLARINI HACKLEYECEK ŞİRKET ARIYOR

Bu gibi projelerin amacı siber uzmanların ağ güvenliğini tehdit edecek açıkları kötü niyetli siber saldırganlardan önce tespit etmesi. Bu şekilde daha gerçekleşmeden büyük bir güvenlik ihlalinin önüne geçilmesini sağlıyor. Oluşabilecek herhangi bir saldırıya karşı güvenlik ağı güçlendirilerek kurumların para ve zaman açısından da tasarruf etmesi sağlanıyor.

Savunma Bakanı Ash Carter konuyla ilgili yaptığı bir açıklamada “Bu yenilikçi girişimin dijital alanda savunmamızı ve neticede ulusal güvenliğimizi sağlamlaştırabileceğine inancım tam” dedi. Aynı zamanda bu sektördeki uygulamalardan öğrenecek çok şeyleri olduğunu söyleyen Carter, günümüz dünyasının ve rakiplerinin çok hızlı geliştiğini, bu sürekli yenilenen ortamda aynı şeyleri yapmanın bir zaman sonra ise yaramayacağını düşündüğünü ekledi.

İLGİLİ HABER >> ABD’NİN 6 MİLYON DOLARLIK GÜVENLİK DUVARI HACKERLARI DURDURAMADI

LinkedIN ve Ebay eski yöneticilerinden, Beyaz Saray’daki Baş Veri Uzmanı DJ Patil yazılımların giderek karmaşıklaştığı ve test edilmesinin zorlaştığı günümüzde bug bounty adı verilen bu yarışmaların güvenlik açıklarını tespitte etkili bir yöntem haline geldiğini belirtti. Diğer kurumların Pentagon’un projesini takip ettiğini, bu kervana onların da katılabileceğinin de altını çizdi.

Pentagon yarışma ile ilgili yaptığı açıklamada kritik ağların ve silah sistemlerinin ilk etapta yarışma kapsamına dahil olmayacağını belirtti. Tabii, yarışma için katılımcılardan istenen bazı şartlar da bulunuyor. Proje katılımcıları Amerika vatandaşı olmak ve detaylı bir sicil taramasından geçmek zorundalar.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]