lunes, 21 de mayo de 2018

El Pentágono a prueba

Hoy hablamos de El Pentágono, la sede del Departamento de Defensa de los Estados Unidos. En este edificio trabajan aproximadamente 23.000 militares y civiles, junto con 3.000 miembros de apoyo. Situado en el condado de Arlington, Virginia. Hoy por hoy es el edificio de oficinas más grande del mundo. Lo interesante es que el Pentágono es uno de los edificios más protegidos del mundo. El Pentágono es nada más y nada menos el Departamento de Defensa de los Estados Unidos, lo que hace que tenga mayor fuerza en la seguridad y que el gobierno de los Estados Unidos también haga grandes inversiones sin importar la cantidad para cubrir proyectos innovadores y tecnológicos. Pero, ¿qué te parece si ellos mismos te ofrecieran hackear su sistema?



En la entrevista de hoy, Lisa Wiswell de Grimm & HackerOne, líder en el área de seguridad y con más de 10 años de experiencia programática y guerra cibernética, hablamos sobre los inicios del programa "Hack the Pentagon".

Como explica en la entrevista:"Sí. Hemos pirateado el Pentágono. Pasé muchos años de mi vida en el conjunto de problemas ofensivos, y seguí pensando, también puedes usar el mismo conjunto de personas para fines defensivos. Pensé esto durante muchos años. Microsoft había presentado su programa Bug Bounty y nos hicimos muchas preguntas al respecto. Un amigo que es un pirata informático para el gobierno me llamó y me dijo: "Liz, me han robado información. ¿Puedes encontrar alguna forma legal de incluirme en algunos de estos otros sistemas gubernamentales?".

Este fue el punto de partida del programa "Hackear El Pentágono". Tal y como explica Lisa: "Hackear el Pentágono fue inicialmente una recompensa de errores de tres semanas en la que permitimos que 1,187 personas no afiliadas con el gobierno de EEUU. nos piratearan. Se registraron con un nombre de usuario, por lo que el gobierno ni siquiera sabía quiénes eran, pero se inscribieron y nos dijeron que se comprometieron con nosotros a seguir nuestras instrucciones a la perfección, y lo hicieron." Lo primero que se le vino a la cabeza fue la posibilidad de que este grupo de personas llevara a cabo prácticas ilegales, pero ninguna de ellas lo hizo y confiaron 100% en el programa.

El fin de Lisa y tras hacer un montón de análisis forenses, era divulgar la información y los resultados obtenidos para así tener una transparencia total con el gobierno:  "Creo que es una de las cosas que hice muy bien en términos de hacer de éste, un programa exitoso. Escribiría un informe final y divulgaría la información de la manera más amplia posible para hacer que todos en el gobierno se sintieran muy cómodos al respecto, y así lo hicieron. Ahora es algo habitual."

En cuanto a los ámbitos que han atacado en el programa "Hackear El Pentágono", han sido varios: Hemos pirateado el ejército. Hemos pirateado la Fuerza Aérea dos veces. Es genial, porque tenemos un buen grupo de investigadores en todo el mundo que buscan debilidades en los sistemas del Departamento de Defensa, diciéndonos cuáles son y proporcionándonos recomendaciones sobre cómo solucionarlos. Entonces cuando haces eso, cuando contratas básicamente dos tercios del problema; descubrimiento, divulgación y corrección son las tres partes del ciclo de vida de la vulnerabilidad. Cuando externaliza dos de esas partes y deja que su fuerza de trabajo se concentre en la fase de solución de errores, de repente pasa de tener vulnerabilidades durante meses o años. En algunos casos, años desde el momento en que supo sobre la vulnerabilidad."

El programa "Hackear El Pentágono es un claro ejemplo de la efectividad de la detección de vulnerabilidades desde el propio interior de las organizaciones. Debes conocer tus fortalezas, pero mucho más importante es conocer tus puntos débiles para solucionarlos y no ponerle el camino fácil a los ciberdelincuentes. 




0 comentarios:

Publicar un comentario