Varios servidores mal configurados administrados por el Departamento de Defensa de Estados Unidos podría permitir a los piratas informáticos acceder fácilmente a los sistemas internos del gobierno, un investigador de seguridad ha advertido.
Dan Tentler, fundador de la firma de seguridad cibernética Fobos Grupo, que descubrió los anfitriones vulnerables, advirtió que los defectos son tan fáciles de encontrar que él cree que probablemente no fue la primera persona en encontrarlos. "Es muy probable que estos servidores están siendo explotados en la red".
Mientras que el Pentágono dice que es consciente de los servidores vulnerables, que aún tiene que aplicar las correcciones más de ocho meses después de que el departamento fue alertado.
Es un caso único que pone en duda la eficacia de la orden ejecutiva anticipado de la administración del triunfo en la seguridad cibernética, cuyo objetivo es revisar todos los sistemas federales de los problemas de seguridad y vulnerabilidades en un período de 60 días.
El proyecto de orden se filtró la ultima semana de enero, pero se retiró abruptamente minutos antes de que se espera que se firme el martes.
Tentler, un crítico de los planes, argumentó que los proyectos de planes son "simplemente no es factible."
"Es ridículo que una orden como ésta se redactó en el primer lugar, ya que demuestra una completa falta de comprensión de cuáles son los problemas existentes son", dijo.
"El orden va a exigir de manera efectiva una evaluación de vulnerabilidad en todo el gobierno, y quieren que en 60 días Sólo esa constatación de vulnerabilidad de mí ... Ya han pasado meses - y todavía no ha sido resuelta", dijo.
En el último año, el Pentágono se convirtió en el primer departamento gubernamental para aliviar hasta en las leyes de piratería informática , permitiendo a los investigadores a encontrar y reportar errores y fallas en los sistemas de cambio de recompensas financieras.
Pero los investigadores de seguridad como Tentler todavía están limitados en la cantidad que pueden hurgar sistemas de cara al público de los militares.
La generosidad oficial de fallos de departamento regula el alcance de lo que los investigadores pueden acceder a redes. Los investigadores deben limitar sus pruebas a dos dominios "defense.gov" y sus subdominios, y cualquier subdominio ".mil".
En un esfuerzo por vincular la lista de anfitriones de "todo público Departamento de Defensa de los ejércitos" a "sólo los que están en el alcance," Tentler fue capaz de identificar varias máquinas que respondían a los nombres de dominio en el perímetro.
"No fueron los anfitriones que se descubrieron que tenían graves problemas de mala configuración técnica que podrían ser utilizadas indebidamente fácilmente por un atacante dentro o fuera del país, que podrían querer implicar a los EE.UU. como culpables de ataques de piratería, si así lo desean," me dijo.
"El error podría permitir ataques de motivación política que podría implicar a los EE.UU.", agregó.
En otras palabras, un hacker o nación extranjera podría lanzar un ataque cibernético y hacer que parezca como si viniera de los sistemas del Pentágono.
Los servidores vulnerables fueron inmediatamente reportados a HackerOne , lo que facilita la abundancia de bugs, pero el informe fue rechazado por los servidores estaban "fuera de alcance".
Tentler argumentó que los anfitriones estaban cubiertas por el alcance de los dominios comodín. Pero mientras que los anfitriones se decía que eran "mal configurado," demostrando efectivamente su punto, el informe de error fue despedido de las manos.
El Pentágono, consciente de la falta de seguridad, no se ha confirmado la errata. Sin embargo, los anfitriones vulnerables siguen activos como de hace tres semanas, dijo.
Con cuidado de no pasar por encima de la línea en la ilegalidad al violar la piratería informática leyes, Tentler dijo que su presunto nivel de acceso, si se obtiene por un actor malicioso, podría haber dado lugar a una fuga de datos similar en una escala con la Oficina de Administración de Personal (OPM ) infringir el año pasado, lo que llevó al robo de más de 22 millones de registros de personal.
Tentler no especula sobre lo que podría haber tenido acceso a otros sistemas o datos en la red, pero poner las vulnerabilidades de forma proporcional. "Es malo, pero no es como si pudiera controlar los sistemas de armas", dijo.
"Las redes del Pentágono pueden tener los archivos personales o de personal, pero no es algo tan clasifica como otras redes", dijo, haciendo referencia a SIPRnet, una red de información gubernamental clasificada altamente .
Tentler dijo que el enfoque del gobierno para la seguridad cibernética era anticuado y provocaría inevitablemente problemas en la línea.
Argumentó que la obsesión del gobierno con el cumplimiento de apaciguar a los legisladores y los auditores por igual es perezosa, y no fundamentalmente a hacer sus sistemas más seguros. Su empresa de seguridad, que tiene un interés comercial en las pruebas de penetración y rojo-trabajo en equipo, predica que las mejores prácticas y el cumplimiento de seguridad tienden a ser mínimos esfuerzos desnudo, y no debe dictar cómo opera la seguridad.
"La razón [el ataque] OPM ocurrido es porque la gente no se preocupan por la seguridad. La gente hacía el mínimo posible. E incluso cuando la gente no está cualificado, que se niegan a permitir que las personas cualificadas en, y ellos no quieren admitir que tienen problemas ", dijo.
"El Pentágono ha creado una situación en la que los buenos no pueden encontrar los problemas, porque no se nos permite escanear, o salir del ámbito de aplicación, o encontrar cosas por nuestra cuenta", dijo. "Pero los malos pueden escanear lo que quieran, durante el tiempo que quieran, y explotar lo que les da."
