Defensie: "Hack het Pentagon", alsjeblieft!

De federale overheid wil hackers inhuren om de veiligheid te vergroten.

Het ministerie van Defensie kondigde donderdag aan dat programmeurs zich konden aanmelden voor het 'Hack the Pentagon'-project, een nieuwe samenwerking met HackerOne die enkele beveiligingsbehoeften van de DOD zal bundelen.

Het pilotprogramma "bug bounty" loopt van 18 april tot en met 12 mei en registratie is momenteel actief. Hackers kunnen zich aanmelden voor selectie door HackerOne, die het selectieproces beheert.

Dus waarom neemt de overheid hackers in dienst om de veiligheid te vergroten? Het is niets nieuws. Veel bedrijven hosten hackathons en bieden prijzen aan elke programmeur die briljant en ijverig genoeg is om gaten in software te maken. Sommigen van hen krijgen uiteindelijk banen als ze goed genoeg zijn.

"De Hack the Pentagon-pilot is gemodelleerd naar vergelijkbare uitdagingen van enkele van de grootste bedrijven in de Verenigde Staten om de beveiliging en levering van netwerken, producten en digitale diensten te verbeteren", zegt Peter Cook, vicepresident van het Pentagon. "Door een legale manier aan te reiken voor de verantwoorde openbaarmaking van beveiligingskwetsbaarheden, zorgen bugpremies ervoor dat de hackersgemeenschap bijdraagt ​​aan de beveiliging van het internet."

HackerOne is een bijzonder 'gerenommeerd' bedrijf, zoals Cook het formuleerde, met honderden klanten waaronder Twitter, Yahoo !, Snapchat en Uber die erop vertrouwden om kwetsbaarheden te vinden voordat de slechteriken het deden.

Alex Rice, CTO en oprichter van HackerOne, vertelt omgekeerde dat enkele honderden hackers bij het pilootprogramma betrokken zullen zijn - toepassingen zijn open tot half april, dus er zijn geen definitieve cijfers vanaf dit schrijven. HackerOne zal de DOD verbinden met een doorgelichte, alleen-uitnodigingscommunity van hackers die zullen werken om kwetsbaarheden binnen de DOD te identificeren.

Zelfs voor organisaties met aanzienlijke beveiligingsbudgetten zijn kwetsbaarheden nog steeds door, zei Rice. "Er is nog steeds een ernstig tekort aan cybersecurity-talent en tools die beschikbaar zijn. De DOD is net als elke andere organisatie die zich bezighoudt met de realiteit dat er een kloof bestaat tussen de traditionele 'beste' praktijken en wat de menselijke intelligentie nu eigenlijk kan doen.Dus deze premieprogramma's zijn op het eerste zicht om die kloof te dichten door de beste menselijke intelligentie toe te passen op deze kwetsbaarheden.

"Zelfs de DOD kan niet genoeg beveiligingsmedewerkers inhuren om te beschermen tegen de tegenstanders waar ze mee te maken hebben. Dus het is de DOD die zegt 'we hebben al het beste beveiligingsteam, maar we erkennen dat dit misschien niet genoeg is.' Het is gewoon een goede gewoonte om te vragen wat er misschien wordt gemist en zoveel mogelijk ogen te hebben. '

Bug bounty-programma's, waarin ontwikkelaars hackers stimuleren om bugs en onzekerheden in hun software te vinden, worden al geruime tijd op grote schaal gebruikt door technische bedrijven. Dit zal de eerste keer zijn dat een dergelijk programma door de federale overheid wordt gebruikt.

"Het is behoorlijk fenomenaal om te zien dat de regering van de Verenigde Staten deze stap zet voordat zoveel particuliere industrieën het doen", zegt Rice, die het beveiligingsteam voor productservices op Facebook leidde voordat HackerOne werd gelanceerd. "Dit is al jaren een leidende praktijk in technologiebedrijven en je begint het in andere industrieën uit te rollen, maar de meeste private-sectorvervaardigingen lopen nu achter bij de Amerikaanse overheid. Het is ongelooflijk om hen te zien innoveren in deze ruimte. Ik hoop dat het een teken is van wat komen gaat. '