DOD разширява програмата си за търсене на грешки до мрежи, IoT и други

 

Министерството на отбраната на САЩ значително разшири своята програма за награди за грешки до всички обществено достъпни информационни системи, включително не само уебсайтове, но и мрежи, честотна комуникация, Интернет на нещата и индустриални системи за контрол.

Наградата за грешки в DoD, която се наблюдава от Центъра за киберпрестъпност на DoD (DC3), сега е много по-широка от пилотната програма „Hack the Pentagon“, стартирана през 2016 г. с партньора HackerOne. Хакерите бяха ограничени до проучване на публичните уебсайтове и приложения на DoD.

Брет Голдщайн, директор на Цифровата служба за отбрана, каза наградата за грешки в DoD „дава възможност за проучване и докладване на уязвимости, свързани с всички публично достъпни мрежи на DoD, базирана на честота комуникация, Интернет на нещата, индустриални системи за контрол и други“, според съобщение за пресата на DoD.

„Това разширяване е свидетелство за трансформиране на правителствения подход към сигурността и прескачане на текущото състояние на технологиите в DoD“, каза Голдщайн.

Министерството на отбраната казва, че след стартирането на грешката е получило повече от 29 000 доклада за уязвимост от хакери. Повече от 70 процента от тях са решили да бъдат валидни след триаж.

Миналият месец DC3 стартира поредния пилотен албум, наречен Defence Industrial Base Vulnerability Disclosure Program (DIB-VDP), който има за цел да подобри сигурността на доставчиците на отбрана. То е също се изпълнява на HackerOne.

Институтът за софтуерно инженерство на университета Карнеги Мелън проведе проучване за осъществимост през 2020 г. и препоръча пилотната програма да продължи.

„Отделът винаги е поддържал перспективата, че уеб сайтовете на DOD са само началото, тъй като те представляват част от цялостната ни повърхност на атака“, каза директорът на DC3 Кристофър Джонсън.

Джонсън заяви, че очаква броят на съобщенията за грешки, които получава, да се “увеличи драстично” поради по-широкия обхват на програмата, която сега позволява на изследователите по сигурността да докладват за грешки, които не биха имали право в миналото.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com