No debería sorprendernos el hecho de que algunas personas estén tratando de comprometer las redes y sistemas de la Fuerza Aérea de los Estados Unidos. Como todos saben, al hacerlo sin permiso estás quebrantando la ley y, si te atrapan, podrías enfrentar una pena de prisión severa.
Pero ahora hay una forma de hacerlo sin represalias, que hasta te permitirá ganar una modesta suma de dinero: hackear los sistemas de la Fuerza Aérea de los Estados Unidos con su permiso explícito.
Ayer, la fuerza usó una transmisión en vivo de Facebook para anunciar la nueva iniciativa que lanza junto a HackerOne, llamada "Hack the Air Force", en la que invita a hackers de sombrero blanco a encontrar vulnerabilidades en sus servidores y sitios web orientados al público. Quienes descubran y reporten fallas serán recompensados con dinero.
El CISO Peter Kim describió la necesidad de escrutinio externo en la seguridad de la entidad, que tiene decenas de miles de servidores orientados al público:
"Francamente tenemos millones de intentos al día, a la semana, en nuestros sistemas del Departamento de Defensa. Vienen probablemente de gente de por ahí, en todo el mundo, que no es particularmente amistosa con el Departamento. Y generalmente no nos dicen qué hay de malo en nuestros sistemas hasta que descubrimos que algo ha sido hackeado, así que quiero dar vuelta esa cuestión. Quiero saber de antemano dónde están nuestras vulnerabilidades. Sé que tenemos vulnerabilidades y quiero saber dónde están en la Fuerza Aérea de los Estados Unidos".
Es importante señalar que la fuerza no está ofreciendo el hacking abierto y gratuito para todos; está buscando hackers amigables que estén dispuestos a ayudarla, para estar un paso adelante respecto al problema. Todos los investigadores que deseen participar del programa deberán registrarse en el sitio de HackerOne, y serán investigados por la plataforma antes de recibir consignas y parámetros de trabajo.
Las inscripciones para el programa "Hack the Air Force" comenzarán el 15 de mayo en el sitio de HackerOne y estarán abiertas a ciudadanos de los Estados Unidos, Reino Unido, Australia, Nueva Zelanda y Canadá. Correrán desde el 30 de mayo hasta el 23 de junio.
Es de esperar que, si todo sale bien, la fuerza implemente iniciativas similares en el futuro. Los miembros militares y civiles del gobierno no son elegibles para recibir compensación, pero pueden participar con la aprobación de un supervisor.
No se publicaron detalles de las recompensas que se otorgarán a los investigadores, pero programas similares ejecutados por el Departamento de Defensa en el pasado ofrecieron pagos de hasta 150.000 dólares.
Hack the Air Force se suma a Hack the Army y Hack the Pentagon, todos con el objetivo de mejorar la seguridad de los sistemas de estas oficinas gubernamentales.
Sostengo firmemente que es mejor atacarte a ti mismo (o contratar pentesters) para descubrir vulnerabilidades que esperar a que un atacante acceda a tu red.
Y, por supuesto, la seguridad debería ser una consideración importante a lo largo de todo un proyecto, no solo después de que se hizo público.
Sin embargo, tenemos que ser realistas. Los humanos cometen errores y las vulnerabilidades pueden colarse en los proyectos sin que nadie lo note. Cuantos más ojos estén revisando un servicio (con la aprobación de su dueño, claro) mejor le irá a su seguridad.