Sondierungsbeschränkungen können das Programm des Pentagons zur Offenlegung von Schwachstellen für Auftragnehmer stören

Cyber Security News

Zwei Männer betreten den Stand von Lockheed Martin, dem größten Verteidigungsunternehmen der Welt, während der Singapore Airshow am 9. Februar 2020 in Singapur. Das Pentagon startete diese Woche das Defense Industrial Base Vulnerability Disclosure Pilotprogramm, das es Forschern ermöglicht, eine vorab genehmigte Liste von Informationssystemen, Netzwerken und Anwendungen von DoD-Auftragnehmern zu untersuchen. (Foto: Suhaimi Abdullah/Getty Images)

Das Verteidigungsministerium stellt die Systeme und Netzwerke von Auftragnehmern des Verteidigungsministeriums in einem neuen Pilotprogramm zur Offenlegung von Schwachstellen auf die Probe. Dies ist der jüngste Indikator für den Wunsch der Regierung, ihre früheren Projekte zum Crowdsourcing von Cybersicherheit zu erweitern.

Das Defense Industrial Base Vulnerability Disclosure-Pilotprogramm wird 12 Monate dauern und es Forschern ermöglichen, eine vorab genehmigte Liste von Informationssystemen, Netzwerken und Anwendungen von DoD-Vertragspartnern zu untersuchen. Das Pentagon sagte, dass alle Schwachstellen, die durch das Programm eingereicht werden, für defensive Zwecke verwendet werden, nicht um neue offensive Fähigkeiten zu entwickeln.

Nach Angaben des DoD haben Forscher von Drittanbietern bis April 2021 mehr als 30.000 potenzielle Schwachstellen für DoD-Systeme gefunden, und die Abteilung ist bestrebt, diese Bemühungen über ihre massive Basis von mehr als 300.000 Auftragnehmern und Lieferanten zu duplizieren. Gleichzeitig haben Hacker, die mit der chinesischen, nordkoreanischen, iranischen und russischen Regierung verbunden sind, unerbittlich US-Verteidigungsunternehmen ins Visier genommen, um sensible Informationen zu stehlen und militärische Technologien zu duplizieren.

Der Pilot setzt eine Reihe von Einschränkungen für Forscher, wenn sie die Netzwerke und Systeme von Verteidigungsunternehmen untersuchen. Ihre erlaubten Aktivitäten sind auf Ferntests bestimmter vorher genehmigter Systeme und den Austausch oder Empfang von Informationen von Verteidigungsbeamten beschränkt. Den Forschern ist es nicht erlaubt, Daten zu exfiltrieren, absichtlich auf den Inhalt von Kommunikation, Daten oder Informationen zuzugreifen oder entdeckte Schwachstellen auszunutzen, “über das Mindestmaß an Tests hinaus, das erforderlich ist, um zu beweisen, dass eine Schwachstelle existiert oder um einen Indikator für eine Schwachstelle zu identifizieren.”

Forscher dürfen auch keine Denial-of-Service-Angriffe simulieren, Spear-Phishing oder andere Formen des Social Engineering durchführen, die physische Sicherheit von Einrichtungen, in denen getestete Systeme untergebracht sind, testen oder Details einer entdeckten Schwachstelle ohne die ausdrückliche, schriftliche Genehmigung des Programms öffentlich bekannt geben. Das Programm “wird versuchen, Forschern, die sich öffentlich zu erkennen geben wollen, dies zu ermöglichen”, aber nur “wenn es praktikabel und genehmigt ist.”

Durch die Verletzung einer dieser Regeln könnte eine Person riskieren, ihren Status als gültiger Sicherheitsforscher im Rahmen des Programms durch das Pentagon zu verlieren.

Programme zur Offenlegung von Schwachstellen (und ihre Cousins, die Bug Bounty-Programme) gibt es schon seit Jahrzehnten, aber Experten diskutieren über ihre Effektivität, unter welchen Bedingungen. Während sie einer Organisation helfen können, spezifische Fehler oder Schwachstellen in ihren Systemen zu identifizieren, können viele der wesentlichen Vorteile von den spezifischen Bedingungen und der Beziehung zwischen Sicherheitsforschern und dem getesteten Unternehmen abhängen.

Tatyana Bolton, eine ehemalige Senior Policy Director für die Cyberspace Solarium Commission, sagte in einem Interview mit SC Media, dass ein Programm zur Offenlegung von Schwachstellen für Verteidigungsunternehmen in einem frühen Entwurf der Empfehlungen der Kommission an den Kongress zur Verbesserung der Cybersicherheit auf Bundesebene enthalten war, aber nicht in die endgültige Version aufgenommen wurde. Der Grund, sagte Bolton, war zum Teil aufgrund von Fragen über, wie die Bürokratie und Berichterstattung zu strukturieren, sowie Leitplanken um, was die Regierung mit den Informationen tun könnte.

“Das soll nicht heißen, dass wir es nicht für wichtig hielten; wir haben diese ganze Reihe von Bedenken absolut erkannt, einschließlich der Frage, wer der Regierung Bericht erstattet, wie sie Bericht erstatten, den Prozess für diese Berichterstattung, wer innerhalb der Regierung in Bezug auf die Kenntnis dieser Informationen eingeschlossen ist,” sagte Bolton. “Gehen sie an CISA, gehen sie an ODNI, gehen sie an FBI? All das ist etwas, worüber wir nachgedacht haben. Es ist ein extrem komplexes Thema.”

Forscher, die an dem Pilotprojekt teilnehmen, werden nicht mit einer finanziellen Belohnung entschädigt, wie es bei den meisten Bug Bounty Programmen der Fall ist. Bolton sagte, dass Bounty-Programme mit finanzieller Entschädigung ihren Platz haben (das DoD hat in den letzten Jahren mehrere “Hack the Pentagon”-Veranstaltungen abgehalten, bei denen Sicherheitsforscher bezahlt wurden), aber sie war ermutigt zu sehen, dass das DoD versucht, eine Beziehung mit der Sicherheitsforschungsgemeinschaft aufzubauen, die auf nationalem Interesse basiert. Dennoch zeigte sie sich besorgt, dass der unreformierte Computer Fraud and Abuse Act viele Forscher immer noch abschreckt.

“Jeder will, dass die DoD-Netzwerke sicher sind, niemand will, dass die Raketencodes von Russland gestohlen werden. Das ist der Grundanreiz”, sagte Bolton, der derzeit als Policy Director für das Cybersecurity and Emerging Threats Team bei R Street arbeitet. “Patriotismus sollte der Hauptgrund sein, warum man Verteidigungs- und Auftragnehmersysteme nach Schwachstellen durchsucht. Ich verstehe, dass das nicht jedermanns Priorität sein wird, aber das ist die Kultur, die wir zu fördern versuchen.”

Bug-Jäger und die Unternehmen, die sie untersuchen, sind sich oft uneinig über Fragen wie, ob und wann der Forscher mit seinen Erkenntnissen an die Öffentlichkeit gehen kann, nachdem er die betroffene Partei informiert hat – etwas, worauf viele Forscher bestehen, ist eine notwendige Kontrolle, die sinnvollen Druck auf Organisationen ausübt, den Fehler anzuerkennen und zu beheben. Während die Teilnehmer an diesem Pilotprojekt ihre Zustimmung geben müssen, bevor sie ihre Arbeit veröffentlichen können, gibt es noch viele andere Details zu klären.

“Was bei diesem formalen Prozess interessant sein wird, ist, wie schnell Industriepartner und die Regierung bereit sind, einen gemeldeten Fund zu beheben”, sagt Monti Knode, Director of Customer and Partners Success beim Penetrationstest-Unternehmen Horizon3.AI.

Bhavana Singh, Practice Head of Bug Bounty Services bei der NCC Group, sagte gegenüber SC Media, dass die Beschränkungen und Restriktionen des Pilotprogramms “detailliert und klar” seien und oft Standard für die meisten Programme zur Offenlegung von Sicherheitslücken. Dennoch sagte sie, dass der größere Kampf zwischen Industrie und Sicherheitsforschern – und die Notwendigkeit, die Privatsphäre und die Datenrechte der Zielorganisation mit dem Wunsch des Forschers, eine aussagekräftige Sicherheitsbewertung zu liefern, auszubalancieren – “eine fortwährende Herausforderung” ist, auf die es keine einfachen Antworten gibt.

“Zu viele Einschränkungen und Restriktionen zu haben, hilft weder dem Forscher noch den Organisationen”, sagte sie. “Die Antwort auf diese Frage ist leider nicht einfach, aber um es einfach zu halten: wenn ein Programm so viele Beschränkungen auferlegt, dass ein Forscher in jeder Richtung, in die er sich bewegt, gegen Mauern stößt, ist es an der Zeit, zurück ans Zeichenbrett zu gehen.”

Bolton sagte, das Hin und Her zwischen dem Militär und den Sicherheitsforschern sei ein Hinweis auf weit verbreitete Spannungen, ein Hindernis, das überwunden werden müsse, wenn das Militär seine Auftragsbasis sichern wolle.

“Wenn Sie zum Arzt gehen, müssen Sie einige Informationen preisgeben – und einige davon sind sehr sensible Informationen -, damit dieser Arzt Sie diagnostizieren und mit einem Heilmittel für das, was Sie haben, versorgen kann”, sagte Bolton.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com