Homeland Security lädt Sicherheitsforscher ein, DHS zu hacken

Das Department of Homeland Security (DHS) hat diese Woche angekündigt, dass es ein Bug-Bounty-Programm „Hack DHS“ durchführen wird.

Wie bei solchen Programmen üblich, Das DHS lädt Sicherheitsforscher ein um seine Systeme zu testen und Cybersicherheitslücken zu identifizieren. Im Gegenzug wird das DHS Bug-Bounty-Zahlungen auszahlen, wenn bestätigt wird, dass eine realisierbare Schwachstelle vorliegt. Im Gegensatz zu anderen Programmen beabsichtigt das DHS jedoch, nur geprüften Cybersicherheitsforschern Zugriff auf „ausgewählte externe DHS-Systeme“ zu gewähren.

Heimatschutzminister Alejandro Mayorkas erklärte: „Das Hack DHS-Programm bietet hochqualifizierten Hackern einen Anreiz, Cybersicherheitsschwächen in unseren Systemen zu identifizieren, bevor sie von böswilligen Akteuren ausgenutzt werden können.“

Das DHS möchte eindeutig die strenge Kontrolle über das Hack-DHS-Programm behalten und führt es in drei Phasen ein. In der ersten Phase führen (überprüfte) Hacker virtuelle Bewertungen auf bestimmten externen DHS-Systemen durch. Phase zwei ist eine Live-Hacking-Veranstaltung vor Ort und Phase drei ist eine Bewertungsphase für das DHS, in der zukünftige Bug-Bounties geplant werden. Was die Belohnungen betrifft, so Die RecordFür jede Schwachstelle werden zwischen 500 und 5,000 US-Dollar vergeben.

Warum verfolgt das DHS diesen Ansatz? Dies liegt wahrscheinlich daran, dass es ein längerfristiges Ziel gibt, „ein Modell zu entwickeln, das von anderen Organisationen auf allen Regierungsebenen genutzt werden kann, um ihre eigene Cybersicherheitsresistenz zu erhöhen“. Es ist auch nicht das erste Mal, dass ein solches Programm durchgeführt wird, da das Verteidigungsministerium bereits 2016 ein „Hack the Pentagon“-Programm startete, bei dem über 250 Hacker 138 Schwachstellen entdeckten.