lunes, 20 de junio de 2016

Gobierno de EE.UU. recompensa con 70.000 dólares a hackers por mejorar su seguridad


 
Esta gran capacidad tecnológica la que la hace atractiva para que los distintos hackers del mundo se vean interesados en intentar romper la seguridad de sus sistemas. Para evitar estos ataques, los pasados meses de abril y mayo, el Gobierno Federal hizo una conferencia llamada “Hack the Pentagon”, que tuvo 1.400 asistentes.

En este programa piloto, los asistentes pudieron poner a prueba la seguridad de la red del Departamento de Defensa americano. Hasta el momento, sabían que hay muchos hackers “malos” (conocidos como black-hat hackers) que habían intentado acceder a sus sistemas. Lo que les sorprendió fue ver que también hay una gran cantidad de hackers de “los buenos” (conocidos como white-hat hackers) que están interesados en mejorar la seguridad de su país.

Hack the Pentagon


Esta conferencia fue organizada por el Servicio de Defensa Digital, la parte del Departamento de Defensa dedicada a la seguridad informática. En ella, participó la empresa HackerOne, que se dedica a encontrar fallos en los sistemas de seguridad de organismos americanos de defensa.


Para encontrar los fallos, los asistentes pudieron atacar cinco webs del gobierno, incluida la propia web del Departamento de Defensa. Se hicieron 1.189 informes, de los cuales 138 fueron fallos reales del sistema. A los hackers que descubrieron esos fallos se les entregó 71.200 dólares, con una media de 588 dólares por fallo. Entre la conferencia y los premios, se gastaron unos 150.000 dólares, que quedan muy alejados del millón de dólares que habría cobrado una empresa profesional externa, además de la ventaja mediática de organizar un evento como este.

¿Qué fallos encontraron?

El fallo más común fue uno conocido como Cross-site scripting, que permitía a los hackers insertar código malicioso que alterara el contenido mostrado en la web para los usuarios. El más grave fue uno que permitía realizar una inyección SQL, que hacía que se pudiera inyectar código en aplicaciones web y ser utilizadas para tener acceso a información en bases de datos.

@adslzone