Pentagon’un gizlice anlaştığı uzmanlar, 4 saatte kritik sistemleri avladılar

“Hack the Pentagon” ile ödül avcılığı (bug bounty) yarışmasını düzenleyen ABD Savunma Bakanlığı’nın kamuoyuna yeni yansıyan ilginç bir yarışma da düzenlediği ortaya çıktı.

Bakanlık, bu yarışma ile kritik bilgileri barındıran sistemlere dışarıdan bazı ismi saklı korsanların saldırı düzenlemesini ancak herhangi bir bilginin de ortaya çıkmamasını ve bu korsanların da güvenliklerinin riske atılmamasını hedefliyordu. Bu çerçevede, bakanlık, kritik bilgiler taşıyor gibi duran iki sistem oluşturarak anlaşmaya vardığı iki şirketin işe aldığı kişilerin saldırı düzenlemesinin önünü açtı.

İlgili haber >> ABD’den hackerlara açık davet: Pentagon’u hackle!

Cyberscoop’un haberine göre, uzmanlar 4 saat içerisinde kritik sistemlerde açıklar bulmayı başardı. Bu açıklar, 30 Kasım ile 21 Aralık tarihleri arasında HackerOne’in bulduğu 138 açığın yamalanması ardından bulunması da dikkat çekti. Yarışma ocak ayında düzenlenirken saldırıları düzenleyenleri Synack şirketinin kendisi güvenlik taramasından geçirdi. Bu şekilde bulunan açıklıkların, Pentagon’a karşı kullanılmasının da önüne geçilmeye çalışıldı.

İlgili haber >> HackerOne Pentagon’u hackledi 40 milyon dolarlık yatırım kaptı

Synack Başteknoloji ve kurucu ortağı Mark Kuhr, tahmin ettiklerinden daha çok açıklık bulduklarını söyledi. Ancak Kuhr, yarışmanın kuralları gereği, bulunan açıklıklar ve kaç tane olduğuna ilişkin basına bilgi vermedi. Kuhr, “Aslında biraz da şaşırdık. Bu sistemi, bazı işlemlerin yapılamayacağı şekilde tasarlandığını ve bizden bu engellenen işlemlerin yapılamayacağından emin olmamazı istediler. Ama bu işlemlerin, aslında çok kısa bir sürede yapılabileceğini gösterdik” dedi.

Pentagon’un ilk defa kritik sistemleri için kitlesel bir çözüm kullandığını belirten Kuhr, Amerikalı yetkililerin çok endişe duyduğunu söyledi. Hatta, Savunma Bakanlığı Dijital Hizmetler Direktörü Chris Lynch’in yeni bakanın üst düzey iki yetkilisinden bu yarışma için onay aldığı da belirtildi. FedScoop’a konuşan Lynch, “Bazen çok korkutucu şeyler oluyor o yüzden bundan haberdar olmalarını ve gerektiğinde yardım edeceklerinden emin olmak istedim” dedi.

Dijital Hizmetler için güvenlik soruşturması yapmadan uzmanları işe almanın bir yolunu bulmanın kolay olmadığını belirten Lynch, asıl ortamların birer kopyalarının oluşturulması ile bu sorunun aşıldığını kaydetti.

İlgili TED konuşması >> Hackerları işsiz bırakmayın

Lynch, “Herhangi bir sızma tehdidi olmayacaktı veya insanların istemediğimiz yerlere girmesi gibi bir riskte olmayacaktı. Ama muhtemel açıklıkları bulmamıza yardım edecekleri yerelere de göndermek istiyorduk” dedi.

Kopya bir ortam yaratmanın çok ciddi bir planlama ve çok çalışmayı gerektirdiğini belirten Savunma Bakanlığı yetkilisi Lynch, bazı haftalar bu işi gerçekleştirmeyecekleri yönünde korkular yaşadığını belirtti.

Lynch, uzmanların birşeyler bulacaklarının bildiklerini belirterek, “Ancak soru, bunun ne kadar ciddi olacağına yönelikti” dedi. Yetkili, Pentagon’un çalışanlar için aradığı güvenlik izinlerini özellikle yazılımlar için de yapması gerektiğini belirterek ancak bunların daha sık aralıklarla olması gerektiğini vurguladı.

Synack, bu yarışma için Amerika’nın yanı sıra Kanada, Yeni Zelanda, İngiltere ve Avustralya’dan 80 kadar uzmanı bir araya getirdi. Synack, bu kişilerin güvenliğini korumak için hükümete bu kişiler hakkında bilgi vermezken uzmanlar da Pentagon’un sistemine Synack’ın VPN’si üzerinden ulaştı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz


Verdiğiniz bilgiler 3. parti firma veya kişilerle paylaşılmayacaktır, sadece verdiğiniz talimat istikametinde kullanılacaktır.

 

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.