El Pentágono contrata hackers para probar sistemas internos
Bloomberg | Martes 14 febrero, 2017
En un proyecto piloto del último mes, el Servicio Digital de Defensa del Pentágono permitió a unos 80 investigadores en seguridad acceder a un simulacro de “mecanismo de transferencia de archivos” del cual el departamento depende para enviar correos electrónicos delicados, documentos e imágenes entre redes, incluidas las confidenciales.
Lisa Wiswell, cuyo título en el SDD es el de “hacker de burocracia”, dijo a los ciberanalistas del Pentágono que estuvieran atentos una vez iniciado el programa el 11 de enero, pero agregó que lo más probable sería que nada pasara durante una semana. En cuestión de horas, sin embargo, llegó el primer informe de un hacker que destacaba un riesgo.
“Fue sorprendente”, dijo Wiswell. “Me pregunté qué más podría pasar si lo que teníamos era vulnerable con tal rapidez”.
En momentos en que crecen los temores respecto de las vulnerabilidades en el Gobierno estadounidense, la firma cibernética Synakc Inc. recibió en setiembre un contrato de $4 millones para instrumentar un programa de detección de virus en el Pentágono.
La compañía reclutó a investigadores en seguridad de Estados Unidos, Canadá, Australia y el Reino Unido, según Mark Kuhr, el máximo responsable de tecnología de la agencia y exanalista de la Agencia de Seguridad Nacional.
Por cuestiones de seguridad, no se brindó a los hackers acceso directo a redes operativas. En lugar de ello, el servicio digital replicó los sistemas de transferencia de archivos en una especie de laboratorio digital similar al medio original. La compañía también agregó medidas adicionales de seguridad a efectos de asegurarse de que posibles adversarios no comprometieran las computadoras de los hackers ni ingresaran al ámbito del laboratorio.
“Tuvimos que asumir que todas las laptops están comprometidas. Los rusos apuntan a las laptops, lo que nos hizo pensar en cómo evitar que tuvieran acceso al experimento”, dijo Kuhr. ¿Cómo evitar que accedieran a cualquier vulnerabilidad que pudiera obtenerse de la prueba?
El servicio digital instó a los hackers a tratar de burlar las protecciones para la transferencia de archivos, a robar datos de una red a la que no se suponía que tuvieran acceso y a tomar el control del sistema. Los funcionarios no especificaron qué puntos vulnerables se descubrieron, pero dijeron que los especialistas del departamento cibernético ya trabajan en la solución de los problemas.