Dipartimento della Difesa: "Hack the Pentagon", Please!

Il governo federale vuole assumere hacker per aumentare la sicurezza.

Il Dipartimento della Difesa ha annunciato giovedì che i programmatori potrebbero registrarsi per il progetto "Hack the Pentagon", una nuova partnership con HackerOne che affiderà alcune delle esigenze di sicurezza del DOD.

Il programma pilota "bug bounty" si svolgerà dal 18 aprile al 12 maggio e la registrazione è attualmente in diretta. Gli hacker possono richiedere la selezione di HackerOne, che sta curando il processo di selezione.

Quindi, perché il governo sta assumendo hacker per aumentare la sicurezza? Non è niente di nuovo. Un sacco di aziende ospitano hackathon, offrendo premi a qualsiasi programmatore geniale e abbastanza diligente da attirare buchi nel software. Alcuni di loro sono eventualmente offerti posti di lavoro se sono abbastanza bravi.

"Il pilota di Hack the Pentagon è modellato su sfide simili condotte da alcune delle più grandi aziende della nazione per migliorare la sicurezza e la fornitura di reti, prodotti e servizi digitali", afferma il segretario del Pentagono Peter Cook. "Fornendo una via legale per la divulgazione responsabile delle vulnerabilità della sicurezza, i bug bugimpegnano la comunità degli hacker a contribuire alla sicurezza di Internet".

HackerOne è un'azienda particolarmente "rispettabile", come ha detto Cook, con centinaia di clienti tra cui Twitter, Yahoo !, Snapchat e Uber che fanno affidamento su di esso per trovare vulnerabilità prima che i cattivi lo facciano.

Alex Rice, CTO e fondatore di HackerOne, racconta Inverso che diverse centinaia di hacker saranno coinvolti nel programma pilota - le applicazioni sono aperte fino a metà aprile, quindi non ci sono numeri finali al momento della stesura. HackerOne collegherà il DOD a una comunità di hacker controllata e invitata che lavorerà per identificare le aree di vulnerabilità all'interno del DOD.

Persino per le organizzazioni con budget di sicurezza significativi, le vulnerabilità continuano a farcela, ha affermato Rice. "C'è ancora una grave carenza di talenti e strumenti di cybersecurity disponibili. Il DOD è come ogni altra organizzazione che si occupa della realtà che c'è un divario tra le tradizionali "migliori" pratiche e quindi ciò che l'intelligenza umana è in grado di fare realmente.Quindi questi programmi di taglie sono all'avanguardia per cercare di colmare questa lacuna applicando la migliore intelligenza umana a queste vulnerabilità.

"Persino il DOD non può assumere abbastanza addetti alla sicurezza per proteggersi dagli avversari contro cui si scontrano. Quindi è il DOD che dice "abbiamo già il miglior team di sicurezza, ma riconosciamo che potrebbe non essere sufficiente." È solo una buona pratica chiedere cosa potrebbe mancare e avere più occhi possibili."

Programmi di bug bug, in cui gli sviluppatori incentivano gli hacker a trovare bug e insicurezze nei loro software, sono stati ampiamente utilizzati dalle aziende tecnologiche per qualche tempo. Questa sarà la prima volta che un programma di questo tipo sarà utilizzato dal governo federale.

"È piuttosto fenomenale vedere il governo degli Stati Uniti fare questo passo prima che così tante industrie private lo facciano", afferma Rice, che ha gestito il team di sicurezza dei servizi del prodotto su Facebook prima di lanciare HackerOne. "Questa è stata una pratica di primo piano nelle aziende tecnologiche ormai da anni e si sta iniziando a vederla nascere in altri settori, ma la maggior parte dei settori privati ​​verticali sono in ritardo rispetto al governo degli Stati Uniti. È incredibile vederli innovare in questo spazio. Spero che sia un segno delle cose a venire."