erid: 2SDnje9hinm erid: 2SDnje9hinm

Незыблемая крепость: взломы, сливы и багбаунти-программы Пентагона

erid: 2SDnje7M2nD
Незыблемая крепость: взломы, сливы и багбаунти-программы Пентагона
Незыблемая крепость: взломы, сливы и багбаунти-программы Пентагона
15.04.2024

Что общего у 15-летнего хакера, Джулиана Ассанжа, невнимательных администраторов и форума War Thunder? Все они были замешаны в утечках данных из Пентагона.

В этой статье мы рассмотрим несколько наиболее громких примеров утечек, связанных с одним из самых защищенных ведомств в мире, а также расскажем об опыте взаимодействия между Минобороны США и этичными хакерами.

Кейс Джонатана Джеймса

Впервые, по уверениям Министерства обороны США, взлом Пентагона произошел в 1999 году, и сделал это 15-летний юноша по имени Джонатан Джеймс. В среди хакеров его знали под ником C0mrade.

Однажды Джонатан нашел сервер, на котором был установлен бэкдор, позволяющий подключиться кому угодно. Хакер подключился к серверу, установил на него снифер и получил доступ ко всему трафику. Этот сервис принадлежал одному из подразделений Министерства обороны США. За месяц парень перехватил множество учетных данных, с помощью которых получил доступ к компьютерам Министерства обороны и скачал огромное количество писем из почтовых ящиков сотрудников Пентагона.

Все это Джонатан делал не из корыстных целей, а из простого любопытства. Естественно, проникновение заметили, провели расследование и нашли малолетнего преступника. Случай Джонатана уникален тем, что он стал первым несовершеннолетним в США, отправившимся за решетку именно по обвинению в хакерстве.

Кейс Гэри Маккиннона

Здание Пентагона ассоциируется в первую очередь с надежностью и защищенностью страны. Однако спустя всего два года после истории Джонатана Джеймса еще один молодой хакер сумел взломать эту крепость в одиночку. И снова не из корыстных целей.

В январе 2001 году Гэри Маккиннон, системный администратор из Лондона, впервые проник в американскую военную компьютерную систему. Хакер не задавался вопросом «как взломать Пентагон», а просто нашел недоработку в системе безопасности. Гэри создал perl-программу, которая находила компьютеры со статусом администратора, но без пароля. К стыду военного министерства США, таких машин оказалось очень много. И целых 13 месяцев Гэри безнаказанно изучал содержимое компьютеров Пентагона, а позже и НАСА. Парень искал доказательства существования внеземной жизни и, по его словам, нашел их. Через год после первого проникновения, Гэри разоблачили, но парень сумел уйти от ответственности, так как в обществе поднялась волна протеста и власти Великобритании не выдали его США.

Кейс Джулиана Ассанжа

Размышляя на тему, взламывали ли Пентагон, нельзя обойти стороной Джулиана Ассанжа — создателя WikiLeaks. Начиная с 2006 года на портале публиковались секретные материалы Пентагона и других силовых ведомств США.

Достоверно не известно, взламывал ли правительственные серверы сам Ассанж или он получал документы из третьих рук. Но как создателю и распространителю информации ему предъявлено множество обвинений, а совокупное уголовное наказание по ним составляет 175 лет тюремного заключения.

Кейс Эдварда Сноудена

Чтобы изъять и обнародовать секретные документы Пентагона США, не всегда нужен взлом. Иногда опасность кроется в самих сотрудниках, не согласных с методами работы военного министерства. Самый яркий пример — Эдвард Сноуден. В 2013 году он был сотрудником военной системы и имел доступ к секретной документации. Так он и узнал о масштабной слежке США за гражданами разных стран мира.

Решив обнародовать данные, Сноуден скачал почти 2 млн секретных документов на флешку и вынес ее из офиса АНБ в простом кубике Рубика. А дальше были публикации в мировых СМИ, крупные разоблачения, обвинения в шпионаже, бегство из страны и спокойная гавань в России. Стоит отметить, что в этом случае также не было корыстного мотива.

Кейс Джека Тейшейры

В 2023 году прогремел громкий скандал, связанный с утечкой секретных документов Пентагона. Их фотографии появились на платформе Discord, форуме 4Chan, в Twitter и некоторых Telegram-каналах. Первоначально думали, что это русские взломали Пентагон, но позже выяснилось, что очередная утечка снова связана с человеком, работающим в системе и имеющим доступ к секретной информации.

Чуть позже мир облетели кадры задержания Джека Тейшейры — летчика ВВС США в красных шортах ведут вооруженные до зубов американские спецназовцы. В информации, опубликованной Тейшейрой, были секретные документы, касающиеся конфликта на Украине и раскрывающие слежку США за странами-партнерами. Джека обвинили в шпионаже и теперь парня ждут долгие годы в американской тюрьме.

Курьезные случаи

В истории Пентагона и других схожих ведомств было множество курьезных случаев, которые привели к раскрытию служебной информации. Например, в прошлом году всплыла история с опечаткой, из-за которой письма из Минобороны США годами уходили на почтовые адреса Мали.

Конфиденциальная информация о военной технике США (а также Франции) всплывала на форумах игры War Thunder настолько часто, что модераторам пришлось публично рассказать, как они решают эту проблему и по какой причине их форум стал кладезью секретных чертежей.

Не обошли стороной американское военное ведомство и нерадивые администраторы. Можно найти данные о как минимум одном случае, когда в сети продолжительное время «светился» незащищенный сервер с чувствительной информацией Пентагона. Непубличных инцидентов подобного рода наверняка больше.

Также, в СМИ можно найти массу данных о тех или иных утечках из Пентагона, подлинность которых вызывает сомнения, либо не была подтверждена в дальнейшем. Это можно связать как с желанием отдельных изданий «создать инфоповод», так и с деятельностью самого ведомства, которое вполне может проводить контролируемые утечки.

Пентагон и этичные хакеры

Если проблема с человеческим фактором решается ужесточением внутренней политики по отношению к сотрудникам, то от взломов сайт Пентагона и всю инфраструктуру военного министерства США защищают этичные хакеры. Еще в далеком 2016 году на платформе HackerOne была запущена государственная программа по поиску уязвимостей под названием Hack the Pentagon. Тогда было обнаружено свыше 100 потенциальных брешей в защите министерства, а в проекте приняли участие более 1400 пентестеров. Такое количество участников легко объяснимо. Во-первых, взломать Пентагон онлайн — мечта любого хакера. А во-вторых, первая багбаунти-программа министерства обороны США осуществлялась на платной основе. Индивидуальные выплаты варьировались от 100 до 15 000 долларов, а общий бюджет составил 75000 долларов.

Следующая программа проводилась в 2018 году и была сосредоточена на общедоступных веб-сайтах Министерства обороны. К концу 2020 года ведомство взламывали более 12000 раз, но в рамках контролируемых тестов. За найденные уязвимости хакерам уже не платили, но начисляли баллы на платформе HackerOne.

Старт третьей багбаунти-программы Пентагона был объявлен в 2023 году. Но в этот раз хакерам предложили пытаться проникнуть в системы, которые контролируют механические операции, такие как отопление и кондиционирование воздуха в главном здании, отопительная и холодильная установка Пентагона, модульный офисный комплекс и автостоянка. Задача хакеров — выявить слабые места и уязвимости и предоставить рекомендации по улучшению и укреплению общего состояния безопасности.

Заключение

Наивно думать, что в современном мире остались объекты, которые невозможно взломать. И Пентагон не исключение. Сегодня мы рассказали лишь несколько историй, связанных со взломом и утечкой данных из военного ведомства США. Но инцидентов, которые не получили публичной огласки, намного больше.

При этом Пентагон не закрывается внутри себя и активно использует внешних специалистов для поиска уязвимостей и слабых мест системы. Это правильная тактика, которая помогает министерству повысить свою киберзащиту и грамотнее реагировать на попытки проникновения.

Важно отметить, что и российские государственные учреждения постепенно вливаются в багбаунти-программы. О силовых ведомствах речь, во всяком случае пока, не идет, но свои программы уже есть как у целых министерств, так и у отдельных регионов.

erid: 2SDnjc4Nt7b erid: 2SDnjc4Nt7b

Комментарии 0