מחלקת הביטחון: "לפרוץ את הפנטגון," בבקשה!

Uma dívida de gratidão (Homilia Diária.1627: Terça-feira da 32.ª Semana do Tempo Comum)

Uma dívida de gratidão (Homilia Diária.1627: Terça-feira da 32.ª Semana do Tempo Comum)
Anonim

הממשלה הפדרלית רוצה לשכור האקרים כדי לשפר את האבטחה.

משרד ההגנה הודיע ​​ביום חמישי כי מתכנתים יכולים להירשם לפרויקט "Hack The Pentagon", שותפות חדשה עם HackerOne, שתעלה על צרכי האבטחה של ה- DOD.

"הטייס באג" תוכנית הטייס יפעל מ 18 אפריל עד 12 במאי, ההרשמה כרגע לחיות. האקרים יכולים לבקש בחירה על ידי HackerOne, אשר אוצרת את תהליך הבחירה.

אז למה הממשלה שכירה האקרים כדי לשפר את האבטחה? זה לא חדש. הרבה חברות מארחות hackathons, מציע פרסים למתכנת כל מבריק וחרוץ מספיק כדי לתקוע חורים בתוכנה. חלקם בסופו של דבר הציע עבודות אם הם טובים מספיק.

"טייס הפנטגון מעוצב אחרי אתגרים דומים שעורכים כמה מהחברות הגדולות במדינה כדי לשפר את האבטחה והמסירה של רשתות, מוצרים ושירותים דיגיטליים", אומר פיטר קוק, מזכיר העיתונות של הפנטגון. "על ידי מתן נתיב משפטי עבור גילוי אחראי של פגיעויות אבטחה, bug bounties לעסוק את הקהילה האקר לתרום האבטחה של האינטרנט."

HackerOne היא חברה "מכובדת" במיוחד, כפי שניסח זאת קוק, עם מאות לקוחות, כולל טוויטר, יאהו, סנפצ'אט ואובר הסתמכות על זה כדי למצוא נקודות תורפה לפני שהרעים יעשו זאת.

אלכס רייס, CTO ומייסד HackerOne, אומר הפוך כי כמה מאות האקרים יהיה מעורב בתוכנית הפיילוט - יישומים פתוחים עד אמצע אפריל, ולכן אין מספרים סופיים נכון לכתיבה זו. HackerOne יהיה חיבור DOD לקהילת vetted, להזמין רק של האקרים אשר יפעלו כדי לזהות תחומים של פגיעות בתוך DOD.

גם עבור ארגונים עם תקציבי אבטחה משמעותיים, פגיעויות עדיין לעשות את זה דרך, אמר רייס. "יש עדיין מחסור חמור של כישרון cybersecurity וכלים זמינים. ה- DOD הוא כמו כל ארגון אחר שמתמודד עם המציאות שיש פער בין השיטות ה'טובות ביותר 'המסורתיות לבין מה שהאינטליגנציה האנושית מסוגלת לעשות.אז אלה תוכניות השפע הם בקצה החדש של מנסה לסגור את הפער על ידי יישום המודיעין האנושי הטוב ביותר אלה פגיעויות.

"אפילו ה- DOD לא יכול להעסיק מספיק אנשי ביטחון כדי להגן מפני היריבים שהם מתנגדים להם. אז זה אומר שה'דוד 'אומר' 'כבר יש לנו את צוות האבטחה הכי טוב, אבל אנחנו מכירים בכך שאולי זה לא מספיק'. זה פשוט נוהג טוב לשאול מה אפשר להחמיץ ולראות כמה שיותר עיניים ".

באג תוכניות bounty, שבו מפתחים לתמרץ האקרים למצוא באגים וחוסר ביטחון בתוכנה שלהם, כבר בשימוש נרחב בקרב חברות טק במשך זמן מה. זו תהיה הפעם הראשונה תוכנית כזו יהיה מנוצל על ידי הממשלה הפדרלית.

"זה די מופלא לראות את ממשלת ארצות הברית לוקח את הצעד הזה לפני כל כך הרבה תעשיות פרטיות לעשות את זה", אומר רייס, אשר ניהל את צוות האבטחה של שירותי שירות בפייסבוק לפני השקת HackerOne. "זה כבר ניסיון מוביל בחברות טכנולוגיה כבר שנים, ואתה מתחיל לראות את זה מתגלגל בתעשיות אחרות, אבל רוב האנכיים במגזר הפרטי עכשיו מפגרת אחרי ממשלת ארה"ב. זה מדהים לראות אותם לחדש את החלל הזה. אני מקווה שזה סימן לדברים הבאים ".