O Ministério da Defesa (MoD) pela primeira vez pagou recompensas a hackers por encontrar vulnerabilidades em suas redes de computadores antes que pudessem ser exploradas pelos adversários do Reino Unido.
Pouco mais de duas dúzias de hackers civis foram autorizados a participar do programa de 30 dias após passar por verificações de antecedentes na HackerOne, uma empresa especializada em competições de recompensa por bug.
Em um anúncio na terça-feira, a chefe de segurança da informação do ministério, Christine Maxwell, disse que o teste de segurança foi "o mais recente exemplo da disposição do Ministério da Saúde em buscar abordagens inovadoras e não tradicionais" para proteger suas redes.
Segredos de defesa expostos por pessoas que enviam arquivos para contas de e-mail pessoais
Os programas de recompensa de bugs oferecem aos hackers uma recompensa financeira pela descoberta e divulgação de vulnerabilidades de software para que possam ser corrigidas em vez de exploradas por estados hostis.
Muitas das maiores empresas de tecnologia oferecem recompensas monetárias a pesquisadores de segurança, ou hackers, por revelar problemas para que possam ser corrigidos - e o MoD é a mais recente organização governamental a realizar uma competição específica para esses fins.
Propaganda
Trevor Shingles, um dos participantes, concentrou-se na identificação de desvios de autenticação que permitiriam às pessoas já nos sistemas do MoD acessar materiais que não deveriam ser capazes.
"Recebi acesso ao sistema, mas vi mais recursos no sistema do que deveria", disse ele à Sky News.
Mais sobre o Ministério da Defesa
Babcock e Rolls-Royce planejam venda de participações no empreiteiro RAF Voyager AirTanker
Funcionário público removido do Ministério da Defesa após perder o estoque de documentos ultrassecretos
'Perigos' permanecem no Afeganistão, avisa Johnson, com o fim da campanha militar de 20 anos do Reino Unido
Funcionário sênior do MoD no centro da investigação sobre como documentos militares confidenciais foram encontrados no ponto de ônibus
Documentos delicados discutindo a passagem do HMS Defender pelo Mar Negro 'encontrados no ponto de ônibus em Kent'
A cúpula Johnson-Putin é possível se a Rússia acabar com a 'atividade maligna', disse o secretário de defesa
Um porta-voz do Hacker One explicou que os participantes tinham acesso privilegiado a alguns dos aplicativos da web internos do MoD em escopo e não estavam testando ativos voltados ao público, embora a empresa e o ministério tenham concordado em dezembro passado com uma política de divulgação de vulnerabilidade para pessoas que descobriram problemas com aqueles.
O Sr. Shingles, que é britânico, mas não tinha nenhuma afiliação com o governo do Reino Unido antes de participar do programa de recompensa de insetos, conectado aos sistemas do MoD por meio de uma VPN (Rede Privada Virtual) de uma cadeira confortável em seu escritório em casa.
A Sra. Maxwell disse: "Trabalhar com a comunidade de hackers éticos nos permite construir nosso banco de talentos em tecnologia e trazer perspectivas mais diversas para proteger e defender nossos ativos.
"Entender onde estão nossas vulnerabilidades e trabalhar com a comunidade de hackers étic
os mais ampla para identificá-las e corrigi-las é uma etapa essencial para reduzir o risco cibernético e melhorar a resiliência."O Sr. Shingles disse que não queria entrar nos "pontos mais delicados" sobre as recompensas que recebeu, mas acrescentou que era "bom ver o MoD tomando a mesma direção com sua segurança que o Departamento de Defesa dos Estados Unidos (DoD)" , que executou programas de recompensa de bug anteriormente dos quais ele participou.
Imagem:
Trevor Shingles estava entre os hackers que receberam uma recompensa do MoD
Katie Moussouris, pesquisadora de segurança e executiva-chefe da Luta Security, trabalhou com o DoD dos EUA para lançar o primeiro programa de recompensa por bug do Pentágono em 2016, após ser pioneira em alguns dos fundamentos no campo de divulgação de vulnerabilidade.
Antes de trabalhar com o DoD, ela iniciou o programa de recompensa por bug da Microsoft em 2013, elaborando a teoria do jogo e a economia que tornaria a recompensa por bug viável para uma empresa que recebia até 250.000 relatórios de vulnerabilidade gratuitos por ano da comunidade de pesquisadores de segurança.
"De lá, fui convidado a informar o Pentágono sobre como pegar um problema tão complexo e escalá-lo para que pudesse funcionar em organizações grandes e complexas como o Departamento de Defesa dos Estados Unidos", disse a Sra. Moussouris à Sky News.
Em seguida, a Luta Security foi contatada pelo National Cyber Security Center (NCSC) do Reino Unido para ajudar a moldar os mecanismos do governo britânico para coordenar relatórios de vulnerabilidade e bug.
“Eu trabalhei com o MoD naquele programa piloto, então é bom ver que eles levaram alguns anos para colocar seus processos em ordem - o que é exatamente o que recomendamos”, acrescentou ela.
“Os programas de recompensa de bugs são uma ferramenta útil, mas apenas se você investiu nos preparativos para consertar esses bugs. Ainda mais importante, você investiu seus próprios recursos para tentar descobrir as frutas mais fáceis de se encontrar primeiro.
"Estou feliz por meus amigos no MoD, por saber que eles estavam ansiosos para iniciar um programa de recompensa por insetos, quando eu trabalhava com eles há alguns anos.
"Portanto, é bom ver que eles conseguiram amadurecer seus processos e se preparar para uma abundância de bugs naquele tempo", acrescentou ela.
Imagem:
A recompensa significa que as vulnerabilidades podem ser corrigidas em vez de exploradas
Martin Mickos, presidente-executivo da HackerOne, disse: "Os governos em todo o mundo estão acordando para o fato de que não podem mais proteger seus imensos ambientes digitais com ferramentas de segurança tradicionais.
“Ter um processo formalizado para aceitar vulnerabilidades de terceiros é amplamente considerado a melhor prática globalmente, com o governo dos EUA tornando-o obrigatório para suas agências civis federais este ano.
"O MoD do Reino Unido está liderando o caminho do governo do Reino Unido com soluções inovadoras e colaborativas para proteger seus ativos digitais e prevejo que veremos mais agências governamentais seguirem seu exemplo."