Védelmi Minisztérium: "Hack a Pentagon," Kérlek!

A szövetségi kormány hackerek felvételét akarja felvenni a biztonság növelése érdekében.

A Védelmi Minisztérium csütörtökön bejelentette, hogy a programozók regisztrálhatnak a „Hack the Pentagon” projektre, amely egy új partnerség a HackerOne-val, amely a DOD biztonsági szükségleteinek egy részét fogja megszorítani.

A „bug bounty” kísérleti program április 18-tól május 12-ig tart, és a regisztráció jelenleg él. A hackerek jelentkezhetnek a HackerOne által történő kiválasztásra, amely a kiválasztási folyamatot kurtálja.

Akkor miért bérbeadja a kormány a hackerek biztonságát? Semmi új. Sok cég hackathonokat tartogat, amelyek bármelyik programozó számára ragyogó és szorgalmas nyereményeket kínálnak, hogy lyukakat fúrjanak a szoftverben. Némelyikük munkahelyet kínál, ha elég jó.

„A Hack Pentagon pilóta a nemzet legnagyobb cégeinek hasonló kihívásai alapján készült, hogy javítsa a hálózatok, termékek és digitális szolgáltatások biztonságát és szállítását” - mondja Peter Cook Pentagon sajtótitkár. „A biztonsági rések felelősségteljes nyilvánosságra hozatalának jogi útja révén a hibakódok a hacker közösséghez járulnak hozzá az internet biztonságához.”

A HackerOne egy különösen „jó hírű” cég, ahogyan azt Cook készítette, több száz ügyféllel, köztük a Twitter, a Yahoo !, a webhely és a Uber, akik arra támaszkodnak, hogy a rosszfiúk előtt sebezhetőséget találjanak.

Alex Rice, a CTO és a HackerOne alapítója elmondja fordítottja hogy több száz hacker vesz részt a kísérleti programban - az alkalmazások április közepéig nyitva állnak, így nincsenek végleges számok ebből az írásból. A HackerOne csatlakozik a DOD-hoz egy ellenőrzött, csak meghívó hackerek közösségéhez, akik azon dolgoznak, hogy azonosítsák a DOD-n belüli sebezhető területeket.

Még a jelentős biztonsági költségvetéssel rendelkező szervezetek számára is, a sebezhetőségek még mindig áthidalódnak, mondta Rice. „Még mindig hiányzik a kiberbiztonsági tehetség és a rendelkezésre álló eszközök hiánya. A DOD olyan, mint minden más szervezet, amely a valósággal foglalkozik, és van egy szakadék a hagyományos „legjobb” gyakorlatok között, és azt, hogy az emberi intelligencia képes-e valójában.Tehát ezek a bounty programok élen járnak azzal, hogy megpróbálják lezárni ezt a rést a legjobb emberi intelligencia alkalmazásával ezekre a sebezhető pontokra.

„Még a DOD sem képes felvenni elegendő biztonsági személyt, hogy megvédje az ellenfeleket. Tehát a DOD azt mondja, hogy „már van a legjobb biztonsági csapatunk, de elismerjük, hogy ez nem elég.” Csak jó gyakorlat, hogy megkérdezzük, mi lehet a hiányzó, és amennyire csak lehetséges.

A hibakeresési programokat, amelyekben a fejlesztők ösztönzik a hackerek hibáit és bizonytalanságát a szoftverükben, már régóta széles körben használják. Ez lesz az első alkalom, hogy egy ilyen programot a szövetségi kormány hasznosít.

„Elég fenomenális látni, hogy az Egyesült Államok kormánya megtette ezt a lépést, mielőtt oly sok privát iparágat csinálnak” - mondja Rice, aki a HackerOne elindítása előtt vezette a Facebookon a termékbiztonsági csapatot. „Ez már évek óta vezető gyakorlat a technológiai vállalatoknál, és elkezd látni, hogy más iparágakban is elterjedt, de a legtöbb magánszektor vertikális eleme elmarad az Egyesült Államok kormányától. Hihetetlen látni őket innovációban ezen a téren. Remélem, ez jele az eljövendő dolgoknak.