Sicherheit

US-Armee veröffentlicht Ergebnisse von Hack the Army 3.0

Zusammen mit Hackerone, der führenden Sicherheitsplattform für ethisch motivierte Hacker – den so genannten White Hat Hackern –, hat der U.S. Defense Digital Service (DDS) heute die Ergebnisse seines aktuellen Bug-Bounty-Programms Hack the Army 3.0 veröffentlicht. Das Programm des DDS wurde zum elften Mal gemeinsam mit Hackerone durchgeführt. Bereits zum dritten Mal beteiligte sich daran auch das U.S. Department of the Army. Hack the Army 3.0 ist ein zeitlich begrenzter, von Hackern durchgeführter Sicherheitstest, der darauf abzielt, Schwachstellen zu identifizieren, um diese zu beheben, bevor sie illegal ausgenutzt werden können. Das Bug-Bounty-Programm stand sowohl militärischen als auch zivilen Teilnehmer offen und wurde ab Januar 2021 sechs Wochen lang durchgeführt. 

Der Geltungsbereich des diesjährigen Programms erstreckte sich auf 11 Assets in zwei Applikationen der Armee. 40 individuell tätige, hochkarätige Sicherheitsforscher mit militärischem und zivilem Hintergrund konzentrierten sich in der Folge auf die Identifizierung von Schwachstellen innerhalb dieses weitreichenden Geltungsbereichs. Am Ende des Programms hatten die Sicherheitsforscher insgesamt 238 Schwachstellen identifiziert, von denen 102 als kritisch eingestuft und mit einem Vermerk zur sofortigen Behebung versehen wurden. Im Zuge von Hack the Army 3.0 wurden Bug Bounties in einer Höhe von mehr als 150.000 US-Dollar an qualifizierte zivile Hacker vergeben.

„Mit der Einladung erfahrener Hacker zum Test der digitalen Assets des US-Militärs, liefern der DDS und die US-Armee einen Beleg dafür, dass Hacker-gestützte Sicherheit als Best Practice für Organisationen, die kontinuierliche Sicherheitstests benötigen, im Mainstream angekommen ist“, sagt Alex Rice, Mitbegründer und CTO von Hackerone. „Es war spannend, die Erfolge der drei Hack-the Army-Programme zu begleiten und zu beobachten, wie die Hacker-Community dazu beiträgt, die Cyber-Verteidigung der USA zu stärken.“

„Wir wollen unsere staatlichen Einrichtungen auf die nächste Stufe der Systemsicherheit heben, indem wir uns kontinuierlich für die Fortsetzung und Weiterentwicklung dieser Herausforderungen einsetzen“, sagt Maya Kuang, Army Product Manager, Defense Digital Service. „Wir können uns keine Mentalität nach dem Motto, ‚das nächste Mal machen wir es besser‘, leisten. Ich glaube fest daran, dass ein proaktiver Ansatz entscheidend dafür ist. Das bedeutet, das potenzielle Probleme gefunden und angegangen werden müssen, bevor diese ausgenutzt werden."

„Es ist immer interessant zu beobachten, welche Anfälligkeiten und Schwachstellen sich im Verborgenen finden“, sagt Johann R. Wallace, Compliance Division Chief, Army Network Enterprise Technology Command. „Hack the Army leistet hervorragende Arbeit bei der Aufdeckung von Schwachstellen und Fehlern im Code, die unser gängiges Compliance-basiertes Scanning übersehen hatte. Nur weil ein System gepatcht ist, heißt das noch lange nicht, dass es auch sicher ist. Ein Programm wie Hack the Army ermöglicht es uns, zusätzliche Fachkompetenz zu nutzen, um mehr Assets noch schneller zu überprüfen, als wir es mit unseren internen Teams zur Schwachstellenbewertung alleine könnten. Genau wie wir es unseren Nutzern immer wieder sagen: ‚Irgendjemand wird die Server einem Pentest unterziehen – besser, wenn es jemand ist, den wir bezahlen.‘“

„Ich engagiere mich gerne bei Programmen des Verteidigungsministeriums, wenn ich neue Tools oder Methoden testen möchte“, sagt Corben Leo (@cdl), der Top-Hacker von Hack the Army 3.0, zur Frage, warum es wichtig ist, sich bei Programmen des Militärs einzubringen. „Derlei Programme eignen sich perfekt für diese Zwecke, da sie einen großen Umfang besitzen und viele verschiedene Technologien zum Einsatz kommen. Das Hacken von Programmen des Militärs erlaubt es Sicherheitsexperten, die ihre Fähigkeiten verbessern wollen, großartige Erfahrungen zu sammeln. Ferner helfen sie ihnen dabei, sicherer zu werden.“

Weitere Informationen zu Hack the Army 3.0 finden Sie hier im Interview mit Maya Kuang, Johann R. Wallace und Corben Leo.

Über Hackerone

Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.

Firmenkontakt und Herausgeber der Meldung:

Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com

Ansprechpartner:
Matthias Uhl
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel