image

Hackers vinden 207 lekken in systemen luchtmacht VS

vrijdag 11 augustus 2017, 09:59 door Redactie, 12 reacties

Bijna 300 hackers en beveiligingsonderzoekers hebben in iets meer dan drie weken tijd 207 beveiligingslekken in de systemen van de Amerikaanse luchtmacht gevonden. De hackers namen deel aan het beloningsprogramma Hack the Air Force, dat in juni plaatsvond.

Het was voor het eerst dat hackers werden gevraagd om het netwerk van de luchtmacht onder de loep te nemen. Om aan het beloningsprogramma deel te nemen moesten de hackers wel eerst een screening ondergaan. Naast Amerikaanse burgers maakten ook white hat hackers uit Canada, Groot-Brittannië, Australië en Nieuw-Zeeland aanspraak op een beloning. Iets minder dan 300 hackers hebben zich voor het programma aangemeld. Eén van de deelnemers was 17 jaar.

In totaal werden er 207 kwetsbaarheden in de systemen van de luchtmacht gerapporteerd, waarvoor een bedrag van meer dan 130.000 dollar werd uitgekeerd. Dat komt neer op een gemiddelde beloning van zo'n 630 dollar per kwetsbaarheid. Van de ongeveer 300 deelnemende hackers ontvingen er meer dan 50 een beloning voor hun bugmelding. Het Amerikaanse ministerie van Defensie organiseerde vorig jaar ook al een dergelijk bug bounty-programma genaamd Hack the Pentagon.

Reacties (12)
11-08-2017, 10:04 door Anoniem
Valt me nog mee.
Aangezien dit soort embedded systemen vaak jarenlang in ontwikkeling zijn, en vaak nooit updates krijgen.

Geeft wel aan waarom de nieuwe oorlog eerder op het internet plaats zal vinden ipv op land/zee/lucht.
11-08-2017, 10:45 door PietdeVries
In totaal werden er 207 kwetsbaarheden in de systemen van de luchtmacht gerapporteerd, waarvoor een bedrag van meer dan 130.000 dollar werd uitgekeerd.

Koopje!! Echt bijna voor niks - als de overheid dit had moeten aanbesteden en aan een commerciële partij had moeten gunnen waren ze veel langer bezig geweest, had 't meer gekost en waren de resultaten minder geweest.

Ik vraag me af wanneer de white hats er achter komen dat ze zich met dit soort bug bounty programma's eigenlijk met een schijntje laten afschepen...
11-08-2017, 11:22 door Anoniem
Door PietdeVries:
Ik vraag me af wanneer de white hats er achter komen dat ze zich met dit soort bug bounty programma's eigenlijk met een schijntje laten afschepen...
Je moet dit geval toch echt anders zien dan het bedrijfsleven, of vraag jij ook de hoofdprijs voor het beveiligen van Nederland?
11-08-2017, 12:14 door Anoniem
Door Anoniem: Valt me nog mee.
Aangezien dit soort embedded systemen vaak jarenlang in ontwikkeling zijn, en vaak nooit updates krijgen.

Heb je een bron die aangeeft dat het alleen om "dit soort embedded systemen" gaat, en niet om zeg de servers, desktops, laptops, printers en publieke webinfra van de Air Force?
11-08-2017, 12:46 door Planeten Paultje
Windows voor luchtkastelen ;-)
11-08-2017, 18:12 door karma4
Door Planeten Paultje: Windows voor luchtkastelen ;-)
Losse flodders uit de heup. Lees even de links. Gevraagd werd om openbare websites van deze organisatie af te lopen.
Websites webservers dikke kans op Linux en OSS als tools Wat je met die systemen maakt hoeft niet veilig te zijn.
Genoeg OSS luchtkastelen gezien wat gewoon rommel bleek. (denk aan iot).
Zou wel leuk zijn om de interne on premise systemen van ze nat te gaan.
12-08-2017, 09:46 door Anoniem
Door karma4:
Door Planeten Paultje: Windows voor luchtkastelen ;-)
Losse flodders uit de heup. Lees even de links. Gevraagd werd om openbare websites van deze organisatie af te lopen.
Websites webservers dikke kans op Linux en OSS als tools Wat je met die systemen maakt hoeft niet veilig te zijn.
Genoeg OSS luchtkastelen gezien wat gewoon rommel bleek. (denk aan iot).
Zou wel leuk zijn om de interne on premise systemen van ze nat te gaan.

als je iemand aanspreekt niet te speculeren, dan moet je dat zelf ook niet doen. kinderlijk.
12-08-2017, 19:13 door karma4
Door Anoniem:
als je iemand aanspreekt niet te speculeren, dan moet je dat zelf ook niet doen. kinderlijk.
Ik speculeer niet, controleer de feiten en achergronden. Iets wat de kinderlijke zielige bashers niet doen.
Het is het zelfde nare gedrag als de optimisten die elk issue negeren "als het maar werkt". gdpr infromatieveiligheid wat zoe het als je er aan kan verdienen. Daar ben ik dus op tegen snap je...
14-08-2017, 11:37 door [Account Verwijderd]
[Verwijderd]
14-08-2017, 16:55 door Anoniem
Door karma4:
Door Anoniem:
als je iemand aanspreekt niet te speculeren, dan moet je dat zelf ook niet doen. kinderlijk.
Ik speculeer niet, controleer de feiten en achergronden. Iets wat de kinderlijke zielige bashers niet doen.
Het is het zelfde nare gedrag als de optimisten die elk issue negeren "als het maar werkt". gdpr infromatieveiligheid wat zoe het als je er aan kan verdienen. Daar ben ik dus op tegen snap je...

deel die linkjes met achtergronden en feiten aangaande dit topic dan eens?
14-08-2017, 20:29 door karma4
Door Neb Poorten:
Gecontroleerd feit is dat Windows en onveiligheid hand in hand gaan! Met heel veel virusscanners van Microsoft en derden kan je proberen de ellende nog bij elkaar te houden. Veel sterkte ermee!
Gecontroleerd feit EN praktijkervaring (servers) dat je met linux geen goede informatieveiligheid krijgt. Dan hen ik het niet eens over linux in iot waar men van veiligheid nauwelijks iets opgevangen heeft.
En wat helpt het dd overkant te bashen terwijl je zelf faalt. Niets.
De eerste stap zou moeten zijn de zwaktes te erkennen en daaraan te gaan werken. Ik heb niets met Windows gewoon last van de faals met linux Unix etc. Störend zij de geloofsfanaten die lopen te schreeuwen dat hezals je hun os zou gebruiken er geen issues zijn.
15-08-2017, 14:22 door Anoniem
"Gecontroleerd feit EN praktijkervaring (servers) dat je met linux geen goede informatieveiligheid krijgt."

deel die informatie dan eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.