تلاش هکرها برای یافتن آسیب‌ پذیری در سیستم‌ های دولتی سنگاپور

در ابتدا، سال آینده وزارت دفاع سنگاپور (mindef)، برای دولت از 300 هکر محلی و بین‌المللی به‌منظور جست‌وجوی آسیب‌پذیری‌های سیستم‌های متصل به اینترنت دعوت خواهد شد تا بتوان از آن‌ها در مقابل تهدیدهای رو به تکامل سایبری محافظت کرد.

از 15 ژانویه تا 4 فوریه، این متخصصان انتخاب‌شده و برای نفوذ به 8 سیستم وزارت دفاع که در ارتباط با اینترنت، مانند وب‌سایت وزارت دفاع، درگاه NS، درگاه LearNet 2 و درگاه منابع آموزشی دانش‌پذیران تلاش خواهند کرد.

این هکرها بسته به میزان بحرانی بودن عیوب امنیتی مکشوفه جوایز نقدی یا کمک‌های غیر نقدی دولتی بین 150 تا 20000 دلار دریافت خواهند کرد. این جایزه به mindef bug bounty programme معروف است و اولین برنامه دولتی هک کردن به شیوه جمع سپاری (برون‌سپاری) خواهد بود.

این برنامه زمانی شروع شد که اوایل سال جاری وزارت دفاع متوجه شد که هکرها شماره‌های NRIC، شماره تلفن‌ها و تاریخ تولد 854 نفر از کارکنان را با نفوذ در سیستم I-NET دزدیده بودند.

یکی از سیستم‌هایی که مورد آزمایش قرار گرفت، Defence Mail بود که در آن کارکنان وزارت دفاع و نیروهای مسلح سنگاپور (SAF) با استفاده از سیستم I-NET به اینترنت متصل می‌شدند.

 این برنامه جدید دیروز توسط دیوید کوه (David Koh) رییس دفاع سایبری بعد از بازدید از مرکز ارزیابی و آزمایش دفاع سایبری – یک «live-firing range» سایبری که نظامیان در مقابل حمله‌های سایبری شبیه‌سازی‌شده آموزش می‌بینند - در کمپ Stagmont در چوا چو کانگ معرفی شد.

همچنین وی در اهمیت ابتکار «هک وزارت دفاع» گفت: نیروی مسلح سنگاپور SAF، یک نیروی به‌شدت شبکه‌ای است. اینکه چگونه عملیات نظامی خود را هدایت کنیم به شبکه‌ای کردن ارتش، نیروی دریایی، نیروی هوایی و کارکنان مشترک بستگی دارد.

ما هرروز شاهد حملات سایبری جدیدی هستیم که توسط خرابکارهایی که به طور مداوم در جست‌وجوی راه‌های جدید به نفوذ در سیستم‌های ما هستند راه‌اندازی می‌شوند...واضح است که این محیط به سرعت متحول شده و به‌طور فزاینده‌ای می‌بینید که این‌یکی از مواردی است که در ارتباط با حوزه امنیت و دفاع است.

آقای کوه که معاون دبیر پروژه‌های خاص وزارت دفاع نیز هست، همچنین افزود: تصویر بزرگ‌تر آن است که میدان‌های جنگ آینده در ظهور فضاهای سایبری خواهند کرد.

تهدیدهای رو به تکامل

رییس دفاع سایبری دیوید کوه اضافه کرد: «در بعضی از کشورها فضای سایبری را شبیه به هوا زمین و دریا می‌بینند. بعضی از کشورها از این هم فراتر رفته‌اند و درگیری‌های عمده و اولین درگیری‌های آینده را فعالیت سایبری می‌دانند.» درحالی‌که مخاطراتی از جمله افزایش ترافیک وب‌سایت و شانس آشنایی هکرهای «کلاه‌سفید» با مخاطرات و قابلیت‌های آسیب‌پذیری کشف‌شده، وجود دارد، می‌توان این اقدامات را به‌جای محافظت در مقابل حملات در نظر گرفت.

درحالی‌که هکرهای کلاه‌سفید به‌منظور بهبود امنیت به سیستم‌های محافظت‌شده نفوذ می‌کنند در مقابل هکرهای کلاه‌سیاه نیات سوء برای بهره‌بردای از معایب سیستم دارند.

این برنامه توسط شرکت آمریکایی HackerOne انجام شد و انتظار می‌رود بسته به آسیب‌پذیری‌های پوشش داده نشده هزینه‌ای حدود 100,000 دلار داشته باشد. اما آقای کوه اشاره کرد که این هزینه می‌تواند کمتر از هزینه استخدام یک تیم ارزیابی آسیب‌پذیری  باشد که احتمالاً بیش از یک‌میلیون دلار هزینه دارد.

آقای تئو چین هوک (chin Hock Teo) معاون مدیر اجرایی توسعه در آژانس امنیت سایبری، در یک بیانیه گفت: آژانس هم‌اکنون در حال انجام مذاکراتی با تعدادی از یازده عضو بخش زیرساختی اطلاعات بحرانی سنگاپور می‌باشد، که نسبت به اکتشاف برنامه مشابهی برای سیستم‌های مرتبط با عامه علاقه نشان داده‌اند.

چنین برنامه‌هایی، در موارد دیگری نیز توسط سازمان‌های بزرگی همچون فیس‌بوک و دپارتمان دفاع ایالات‌متحده امریکا مورداستفاده قرارگرفته و دارای موفقیت نسبی بوده‌اند.

در ماه مارس، اعلام شد که سازمان دفاع سایبری باهدف تقویت دفاع سایبری سنگاپور توسط نیروهای مدافع سایبری آموزش‌دیده در راستای کمک به جنگ سایبری تجهیز خواهد شد.