Учреждая в этом году первую публичную инициативу Bug Bounty под названием Hack the Pentagon, правительство США стремилось не только наладить прочные связи с ИБ-исследователями, но и отправить ИТ-сообществу завуалированный призыв о помощи.

В пятницу Вооруженные силы США стали вторым правительственным агентством, организовавшим программу премирования за поиск уязвимостей и при этом допустившим к участию белых хакеров из частного сектора.

«Армия США устанавливает прямой диалог с технологическими компаниями и исследователями, способными проникнуть в критические или секретные системы; раньше это по большому счету были люди, которых мы стараемся избегать», — сказал секретарь армии США Эрик Фаннинг (Eric Fanning), объявивший об учреждении программы Hack the Army.

Участие в программе возможно только по приглашению; управлять процессом будет платформа HackerOne, которую уже использовали для организации программы Hack the Pentagon, а также компания Luta Security (ее основательница Кейти Муссурис (Katie Moussouris) раньше была директором по политикам в HackerOne). О принципах программы Фаннинг не распространялся, но при этом заявил, что основным предметом исследования станут сайты для вербовки и соответствующие базы данных, в которых хранятся персональные данные рекрутов. Это отличает новую программу от Hack the Pentagon, в рамках которой хакеры искали уязвимости в статичных сайтах министерства обороны.

«Учреждая Hack the Army, мы стремимся усовершенствовать положения программы Hack the Pentagon, — сказал Фаннинг. — Каждый из сайтов армии США критически важен для призывной кампании. В то время как в Hack the Pentagon основное внимание уделялось статичным веб-сайтам, в случае с Hack the Army исследователи должны будут проанализировать динамический контент на сайтах, которые очень важны для вербовки добровольцев в армию США».

В Hack the Army также могут записаться военные и правительственные хакеры; частные лица и коммерческие компании тоже могут зарегистрироваться, предоставив легитимное подтверждение, что участник является гражданином США, постоянно проживающим на территории США на законных основаниях, или иностранным гражданином, имеющим право на работу в США.

«Мы признаем, что дальше не сможем работать эффективно, если не будем идти в ногу со временем и не будем учитывать события, происходящие в мире технологий, — заключил Фаннинг. — К нашим данным, сайтам и системам пытаются незаконно получить доступ люди со всего мира. У нас в штате имеется команда опытных и профессиональных ИБ-специалистов, но этого недостаточно. И если есть возможность получить свежий взгляд на уровень безопасности в наших системах и использовать многогранный опыт различных ИБ-специалистов, мы сможем лучше защитить свою информацию».

Hack the Pentagon стала важной вехой для правительства и символизировала его готовность сотрудничать с независимыми исследователями с целью защиты своих веб-ресурсов и собираемых данных. Пилот программы продолжался 24 дня, начиная с апреля текущего года. Общий призовой фонд составил $150 тыс. По данным HackerOne, эта Bug Bounty позволила закрыть 138 уязвимостей.

На конференции Infiltrate в апреле представитель подразделения цифровых технологий в министерстве обороны Лиза Висвелл (Lisa Wiswell) заявила, что программа помогла изменить отношение к хакерам внутри правительственных структур.

«Наблюдаются перемены: теперь правительство готово давать возможность взломать себя определенному кругу людей, — сказала Висвелл. — Правительство становится более открытым, чем раньше; оно осознает свои проблемы и признает, что ему нужна помощь».

Фаннинг согласен с ней: по его мнению, подобное «соревнование» между белыми хакерами идет на пользу правительству.

«Программа Hack the Pentagon показала, что многие исследователи хотят внести свой вклад в безопасность страны, но не всегда имеют возможность, — сказал он. — Инициативы Bug Bounty предоставляют патриотам возможность помочь нам в нашей миссии. Сегодня мы признаем, что есть огромное количество хакеров, способных помочь нам улучшить защиту наших ресурсов. Таким образом мы строим долгосрочные доверительные отношения».

Категории: Кибероборона, Уязвимости