Вдохновленные успехом конкурса Hack the Air Force, ВВС США учредили программу премирования за поиск уязвимостей Hack the Air Force 2.0. Партнером новой bug bounty все так же выступает платформа HackerOne.

Программа началась 9 декабря с состязания хакеров в реальном времени. В нем участвовали 7 военных и 25 гражданских исследователей, которым предстояло взломать публичные веб-ресурсы, принадлежащие ВВС США. По рассказам присутствовавших на хакатоне, две уязвимости нашлись спустя всего 30 секунд после старта.

За первый день соревнований участники нашли 55 брешей, а гражданские исследователи получили $27 тыс. — военные, хотя и допускаются к участию, не могут претендовать на денежные выплаты. По мере того как участники находили и презентовали баги, шестеро представителей ведомства прямо на месте закрывали обнаруженные уязвимости, так что к концу дня все найденные баги обработали.

Заявку на участие в Hack The Air Force 2.0 могут подать граждане государств, входящих в так называемый разведывательный альянс «Пять глаз» — США, Великобритании, Новой Зеландии, Австралии и Канады, — а также стран НАТО и Швеции, в общей сложности 31 стран. Предыдущая программа bug bounty ВВС США допускала участие только кандидатов из участниц «Пять глаз». При этом количество «белых шляп» в Hack the Air Force 2.0 ограничено 600 исследователями, 70% из которых отбираются на основе их репутации на платформе HackerOne, а 30% — в случайном порядке. Программа заканчивается 1 января 2018 года.

Победителями первого соревнования стали Матиас Карлссон (Mathias Karlsson) и Бретт Буэрхаус (Brett Buerhaus). Они получили премию в $11 тыс. за демонстрацию взлома, в ходе которого проникли в сеть Министерства обороны через эксплуатацию уязвимости в сайте ВВС. Самую большую премию, когда-либо выплаченную в рамках программ правительства США, исследователи разделили между собой.

Напомним, в ходе пробной программы Hack the Air Force исследователи обнаружили более 200 уязвимостей и заработали около $130 тыс. Кроме того, Министерство обороны США уже проводило bug bounty для поиска уязвимостей в публичных веб-ресурсах Пентагона, а затем, с аналогичной задачей, — для Армии США. Исследователи, которых так же тщательно отбирал комитет программы, получили в общей сложности $300 тыс. за найденные уязвимости, при этом представители Министерства обороны подчеркнули, что инициатива сэкономила миллионы долларов, выявив бреши в системах ведомств.

Помимо этого, в рамках программы добровольческой программы VDP (Vulnerability Disclosure Policy, «Политика раскрытия уязвимостей»), не подразумевающей награды для участников, благородные взломщики доложили о 2873 уязвимостях на сайтах ведомства.

Категории: Кибероборона, Хакеры