image

Pentagon verhelpt 3.000 kwetsbaarheden dankzij hackers

maandag 13 november 2017, 11:16 door Redactie, 9 reacties

Het Amerikaanse ministerie van Defensie heeft het afgelopen jaar dankzij hackers meer dan 3.000 kwetsbaarheden in de eigen systemen verholpen. Vorig jaar werd "Hack the Pentagon" gelanceerd, een programma dat geaccrediteerde hackers beloont voor het melden van beveiligingslekken.

Sinds de lancering hebben bijna 650 hackers uit meer dan 50 landen zich geregistreerd. De hackers wisten in bijna 40 systemen allerlei soorten kwetsbaarheden te vinden. Meer dan 100 kwetsbaarheden werden als ernstig aangemerkt en maakten het mogelijk om SQL-injection of willekeurige code uit te voeren of de authenticatie te omzeilen. Voor het inzenden van de bugmeldingen keerde het Pentagon meer dan 300.000 dollar uit, zo meldt Hacker One, het platform dat het beloningsprogramma coördineert.

Reacties (9)
13-11-2017, 11:43 door Anoniem
Ongeveer 100 euro per "lek",.
Op de zwarte markt levert een goede hack veel meer op lijkt me,..
13-11-2017, 12:23 door Anoniem
2 vliegen in een klap.
13-11-2017, 12:33 door Anoniem
100 dollar zelfs, dat is nog minder. Misschien hebben ze een soort online wall of fame, zodat je er in ieder geval nog waardering voor krijgt?
13-11-2017, 13:52 door Anoniem
3.000 kwetsbaarheden, dan is hun infrastructuur nogal geborkt.

Oude code, kwetsbare code, verlaten code, af te danken encryptie (cyphers) en generatoren, proliferatie van te gebruiken "features",certificeringsellende, protocol zwakheden, info proliferatie, sql en xss gaten, kwetsbaar met nonces, sri-hashes niet gegenereerd, same orginin regel niet goed toegepast, naamserver ellende, zone transfers, http only cookies, clickjacking, lucky 13, Poodle, SHA1, en errors, errors, errors, dreun de hele mikmak maar weer eens op.

Die hele infrastructuur lijkt toch steeds meer op die bekende zeem met een V uit de reclame,
maand na maand na maand komen er meer gaten in en dan die man met die lang groeiende baard nog erbij.
Duidelijk beeld.

Het lijkt wel het spelletje zoek de tien verschillen uit de krant van vroeger.
En het meest ergerlijke is, dat het het grote publiek geen ene moer meer schijnt te interesseren.

En zo bleef alles bij het oude, de goeden niet te na gesproken. Mark your bytes, folks!
13-11-2017, 17:52 door karma4
Door Anoniem:
...
Die hele infrastructuur lijkt toch steeds meer op die bekende zeem met een V uit de reclame,
maand na maand na maand komen er meer gaten in en dan die man met die lang groeiende baard nog erbij.
Duidelijk beeld.
....
Je hebt je kennelijk blind gestaard op die man met de baard.
De clou van die rsclame met die zeem was dat die zeem al die tijd gewoon zijn werk bleef doen. Het is denk ik al 20 jaar of langer geleden. Toch maar een ander slogan zoeken. Loesje.
13-11-2017, 23:43 door Anoniem
Ja Windows blijft altijd als nieuw en de infrastructuur ook....

Loesje
14-11-2017, 14:21 door Anoniem
Door karma4: Het is denk ik al 20 jaar of langer geleden. Toch maar een ander slogan zoeken. Loesje.

Actuelere clue : Windows blijft gratis duurkoop omdat ze hun eigen prijzen niet eens weten (en zo expres massaal klanten in een prijsfuik luizen)

Microsoft meldt europrijzen Windows 10 S-upgrades niet
https://tweakers.net/nieuws/131101/microsoft-meldt-europrijzen-windows-10-s-upgrades-niet.html

MSlouche
15-11-2017, 08:03 door karma4
Door Anoniem:
.....
Actuelere clue : Windows blijft gratis duurkoop omdat ze hun eigen prijzen niet eens weten (en zo expres massaal klanten in een prijsfuik luizen
....
MSlouche
Altijd nog bleter dat je weet dat je over de prijs moet onderhandelen dan de pure oplichting via OSS.
De gangbare slogan daar is Gratis en voor niets en je hoeft niets zelf te doen want alles is zo maar veilig.

In het bedrijfsleven is het zeer gangbaar zonder vaste prijzen te werken. List prijzen gelden als houvast en als onderhandelaar heb je al gefaald als je daar niet zeer ver onder zit. Doosjes schuiven is niwt de winstmaker. Veel waarde gaat dan ook in de bijkomende opdrachten zoals de dienstverlening ofwel de werkelijke uitrol en operatie.

Kijk nu naar artikel 3000 lekken bij het Pentagon veel onder de noemer van code injection sql injection. Dat heeft niets met een os te maken maar met de kwaliteit van de uitrol.
Als jij zo nodig Microsoft wl bashen, ok. Dat hele gedoe van insecurity bij het petagon is de schuld van linux. Gegarandeerd dat dat het is met de meest waargenomen issues in de applicaties.
15-11-2017, 08:31 door Anoniem
Normaal moet je die reeks IP's dus niet scannen want dan krijg je de NSA op je dak. En voordat die doorhebben dat je enkel goede bedoelingen hebt ben je 10 jaar verder. Ondertussen is ook de CIA ingelicht en de AIVD en heb je andere problemen.

De bonus is laag. Ik zou er niet mijn bed voor uitkomen. Het is vast een soort wervingsactie. De vraag is ook wie sites als Defensie volgt in de hackercommunity. Je kunt er haast vanuit gaan dat het grootste deel gewoon buitenlandse spionnen zijn die proberen contact te leggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.