Mercado fechado
  • BOVESPA

    108.941,68
    -160,31 (-0,15%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.599,38
    -908,97 (-1,73%)
     
  • PETROLEO CRU

    84,83
    -0,72 (-0,84%)
     
  • OURO

    1.836,10
    -6,50 (-0,35%)
     
  • BTC-USD

    35.053,31
    -2.872,20 (-7,57%)
     
  • CMC Crypto 200

    870,86
    +628,18 (+258,85%)
     
  • S&P500

    4.397,94
    -84,79 (-1,89%)
     
  • DOW JONES

    34.265,37
    -450,02 (-1,30%)
     
  • FTSE

    7.494,13
    -90,88 (-1,20%)
     
  • HANG SENG

    24.965,55
    +13,20 (+0,05%)
     
  • NIKKEI

    27.522,26
    -250,67 (-0,90%)
     
  • NASDAQ

    14.411,00
    -430,00 (-2,90%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1900
    +0,0599 (+0,98%)
     

EUA incluem Log4J em lista oficial de caçadores de recompensas

·2 min de leitura

O governo dos Estados Unidos incluiu a vulnerabilidade Log4J em seu programa oficial de bug bounty, o Hack DHS, que recompensa especialistas com dinheiro pela descoberta de brechas e falhas de segurança nos sistemas federais. A adição é uma resposta à ameaça descoberta há pouco mais de uma semana e que vem sendo taxada como a mais grave da última década, simplesmente por não exigir interação das vítimas para que os criminosos lancem suas explorações.

Justamente por conta disso, sistemas governamentais e corporativos se tornam um alvo mais lucrativo e interessante do que nunca. E é justamente por isso que, agora, o Departamento de Segurança Nacional (DHS, na sigla em inglês) planeja entregar incentivos extras para os responsáveis pela divulgação responsável de vulnerabilidades envolvendo o Log4J em sistemas da própria pasta.

Na visão de Jen Easterly, diretor da Agência de Cibersegurança e Infraestrutura (CISA, na sigla em inglês), a vulnerabilidade representa uma ameaça global e, como sempre, é importante ter especialistas de renome trabalhando ao lado das forças oficiais. A adição também é a primeira feita desde o lançamento do programa, que começou a aceitar submissões na última terça-feira (14), a partir de especialistas cadastrados e liberados pelo próprio governo.

Ao contrário dos programas comuns de bug bounty, a opção do DHS é composta por três fases, que devem acontecer ao longo de 2022. Inicialmente, os hackers terão acesso virtual a sistemas externos, com aqueles que descobrirem portas de entrada sendo convidados para um evento presencial de demonstração e exploração. Por fim, o governo americano trabalhará ao lado dele tanto na mitigação das vulnerabilidades quanto em novas iniciativas, que também poderão abranger as demais pastas da administração federal.

Como sempre, as recompensas são maiores, de acordo com a severidade de cada falha descoberta, mas os valores a serem pagos pelo governo não foram divulgados. A iniciativa também se une a outros projetos-pilotos realizados, por exemplo, pelo Pentágono, com o departamento de defesa dos EUA também realizando hackatons focadas na melhoria da segurança de seus sistemas e mitigação de eventuais portas de entrada.

A adição do Log4J no foco de atenção do governo dos EUA é mais uma demonstração da severidade da falha, que não exige e-mails de phishing ou outras interações para ser acionada, bastando o envio de comandos a servidores e sistemas comprometidos. São centenas de aplicações vulneráveis sendo atualizadas desde o dia 10 de dezembro, quando a brecha veio a público, e quase cinco milhões de ataques já registrados em todo o mundo, principalmente, contra redes corporativas.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos