Министерство обороны: «Взломай Пентагон», пожалуйста!

Федеральное правительство хочет нанять хакеров для повышения безопасности.

Министерство обороны объявило в четверг, что программисты могут зарегистрироваться для своего проекта «Взломать Пентагон», нового партнерства с HackerOne, которое будет краудсорсировать некоторые потребности безопасности Министерства обороны США.

Пилотная программа «Bug Bounty» будет работать с 18 апреля по 12 мая, и в настоящее время регистрация в прямом эфире. Хакеры могут подать заявку на отбор HackerOne, который курирует процесс отбора.

Так почему же правительство нанимает хакеров для повышения безопасности? В этом нет ничего нового. Многие компании проводят хакатоны, предлагая призы любому блистательному программисту и достаточно усердному, чтобы пробить дыры в программном обеспечении. Некоторым из них в конечном итоге предлагают работу, если они достаточно хороши.

«Пилот« Взломать Пентагон »смоделирован после того, как некоторые из крупнейших компаний страны предприняли аналогичные задачи по улучшению безопасности и доставки сетей, продуктов и цифровых услуг», - говорит пресс-секретарь Пентагона Питер Кук. «Предоставляя правовое средство для ответственного раскрытия уязвимостей в системе безопасности, щедрые ошибки привлекают сообщество хакеров для обеспечения безопасности Интернета».

По словам Кука, HackerOne является особенно «авторитетной» фирмой, и сотни клиентов, включая Twitter, Yahoo !, Snapchat и Uber, полагаются на нее, чтобы найти уязвимости, прежде чем плохие парни сделают это.

Алекс Райс, технический директор и основатель HackerOne, рассказывает обратный что несколько сотен хакеров будут вовлечены в пилотную программу - заявки открыты до середины апреля, поэтому на момент написания этой статьи нет окончательных цифр. HackerOne будет подключать DOD к проверенному сообществу хакеров только для приглашенных, которые будут работать над выявлением областей уязвимости в DOD.

По словам Райс, даже для организаций со значительным бюджетом безопасности уязвимости по-прежнему преодолеваются. «По-прежнему существует острая нехватка талантливых специалистов по кибербезопасности и доступных инструментов. Министерство обороны, как и любая другая организация, имеет дело с реальностью, в которой существует разрыв между традиционной «наилучшей» практикой и тем, на что способен человеческий интеллект.Таким образом, эти программы щедрости стремятся восполнить этот пробел, применяя лучший человеческий интеллект к этим уязвимостям.

«Даже DOD не может нанять достаточное количество охранников для защиты от противников, против которых они выступают. Так что это Министерство обороны США говорит: «У нас уже есть лучшая команда безопасности, но мы признаем, что этого может быть недостаточно». Это просто хорошая практика, чтобы спросить, что может быть пропущено, и иметь как можно больше глаз ».

Программы баунти-багов, в которых разработчики стимулируют хакеров к поиску ошибок и ненадежности в их программном обеспечении, в течение некоторого времени широко использовались в технических компаниях. Это будет первый раз, когда такая программа будет использоваться федеральным правительством.

«Вполне феноменально видеть, что правительство Соединенных Штатов делает этот шаг раньше, чем многие частные предприятия делают это», - говорит Райс, которая до запуска HackerOne руководила группой безопасности по продуктам в Facebook. «В течение многих лет это было ведущей практикой в ​​технологических компаниях, и вы начинаете видеть, что она разворачивается в других отраслях, но большинство вертикальных секторов частного сектора сейчас отстают от правительства США. Невероятно видеть их инновации в этом пространстве. Я надеюсь, что это признак грядущих событий ».