Министерство обороны США вчера объявило о том, что инициатива Hack the Pentagon, существовавшая до этого в виде временного проекта, станет постоянной программой Bug Bounty.

Конкурс был запущен весной; участники из числа независимых исследователей должны были попытать счастья, взламывая веб-ресурсы Пентагона. Сбор заявок от участников осуществлялся через популярную платформу HackerOne.

К участию в программе были допущены граждане США, легализованные лица, временно пребывающие в стране, и иностранные граждане, имеющие рабочую визу; все участники обязаны иметь действительный код налогоплательщика или номер соцстрахования.

В результате исследователи обнаружили 138 уязвимостей, за которые им было уплачено в общей сложности $150 тыс.

По завершении пилотной программы в июне министерство объявило о планах запустить три дополнительные программы. В официальном заявлении, опубликованном вчера, министерство обороны подтвердило, что проект Hack the Pentagon станет постоянной и основной программой Bug Bounty под эгидой ведомства. Кроме того, представители министерства заявили о том, что для двух других инициатив будут использовать платформы HackerOne и Synack.

Платформа Synack будет использоваться для исследования самых критически важных аспектов ИТ-инфраструктуры министерства обороны, пояснил Джей Каплан (Jay Kaplan), глава Synack.

Нет сомнений в том, что власти довольны результатом пилота, если готовы отдать на аутсорс сторонним организациям процесс поиска уязвимостей в столь критических активах. Главный по безопасности в США Грег Таухилл (Greg Touhill) даже пошутил, что предложит программистам, отвечающим за исходный код веб-ресурсов в зоне .gov, «добавлять» в призовой фонд деньги каждый раз, когда исследователь находит брешь в коде.

Также возможно, что действие Bug Bounty Hack the Pentagon может в будущем распространиться и на подрядчиков министерства (причем даже в превентивном порядке — до того, как системы будут внедрены в инфраструктуру).

Это системное изменение в отношениях ИБ-сообщества и властей; до этого госведомства предпочитали полную секретность и не приветствовали посторонних людей, анализирующих инфраструктуру. Скорее всего, масштабный взлом OPM заставил правительство пересмотреть свое мнение.

Несмотря на положительный результат Hack the Pentagon, нашлись и критики программы. Многие сетовали на то, что к участию допускается только небольшое число «избранных», а «полигон» для исследователей ограничен публичными веб-ресурсами. Однако такой подход позволил министерству обороны максимально снизить риск и не допустить к участию возможных кибершпионов, в то же время сформировав круг проверенных специалистов, готовых проверить защищенность более глубоких уровней инфраструктуры.

Ранее в Минкомсвязи заявили, что обсуждают возможность запуска Bug Bounty с министерством и отраслевыми экспертами, в том числе разработчиками, частными и государственными компаниями и ассоциациями.

Категории: Уязвимости