Departament de Defensa: "Hack the Pentagon", per favor!

El govern federal vol contractar pirates informàtics per augmentar la seguretat.

El Departament de Defensa va anunciar dijous que els programadors podrien registrar-se per al seu projecte "Hack the Pentagon", una nova associació amb HackerOne que donarà a conèixer algunes de les necessitats de seguretat del DOD.

El programa pilot "Bounty Bug" s’executarà del 18 al 12 de maig i actualment està registrat. HackerOne, que està comissant el procés de selecció, pot sol·licitar la selecció dels hackers.

Llavors, per què el govern contracta hackers per augmentar la seguretat? No és res de nou. Moltes empreses ofereixen hackathons, oferint premis a qualsevol programador prou brillant i diligent per fer forats en el programari. Alguns d'ells finalment ofereixen feina si són prou bons.

"El pilot Hack the Pentagon es basa en reptes similars duts a terme per algunes de les empreses més importants de la nació per millorar la seguretat i el lliurament de xarxes, productes i serveis digitals", diu Peter Cook, secretari de premsa de Pentagon. "Proporcionant una via legal per a la divulgació responsable de les vulnerabilitats de seguretat, les recompenses d’errors involucren la comunitat hacker per contribuir a la seguretat d’Internet".

HackerOne és una empresa especialment "de bona reputació", com ho va dir Cook, amb centenars de clients, incloent Twitter, Yahoo !, Snapchat i Uber, que confien en ell per trobar vulnerabilitats abans que els dolents ho facin.

Alex Rice, CTO i fundador de HackerOne, explica: Invers que diversos centenars de pirates informàtics estaran involucrats en el programa pilot: les aplicacions estan obertes fins a mitjan abril, per la qual cosa no hi ha cap número definitiu. HackerOne connectarà el DOD amb una comunitat de pirates informàtics només seleccionats i convidats que treballaran per identificar les àrees de vulnerabilitat del DOD.

Fins i tot per a organitzacions amb pressupostos de seguretat significatius, les vulnerabilitats continuen passant, segons va dir Rice. "Encara hi ha una greu escassetat de talent i eines de seguretat cibernètica disponibles. El Departament de Defensa és com totes les altres organitzacions que s'ocupen de la realitat que hi ha una bretxa entre les pràctiques tradicionals "millors" i llavors el que la intel·ligència humana pot fer realment.Per tant, aquests programes de recompenses estan a l’avantguarda d’intentar de tancar aquesta bretxa aplicant la millor intel·ligència humana a aquestes vulnerabilitats.

"Fins i tot el Departament de Defensa no pot contractar a persones amb seguretat suficients per protegir-se contra els adversaris amb què es troben. Per tant, (és el DOD): "ja tenim el millor equip de seguretat, però reconeixem que potser no n'hi ha prou." És una bona pràctica preguntar-vos què pot faltar i tenir tants ulls com sigui possible ".

Els programes de recompenses d’errors, en els quals els desenvolupadors incentiven els pirates informàtics a trobar errors i inseguretats en el seu programari, han estat àmpliament utilitzats entre empreses tecnològiques des de fa temps. Aquesta serà la primera vegada que aquest programa serà utilitzat pel govern federal.

"És força fenomenal veure el govern dels Estats Units fent aquest pas abans que tantes indústries privades ho facin", diu Rice, que dirigí l’equip de seguretat de serveis al Facebook abans de llançar HackerOne. "Aquesta ha estat una de les principals pràctiques en empreses tecnològiques des de fa anys i està començant a veure que es desenvolupa en altres indústries, però la majoria de les verticals del sector privat ara estan per darrere del govern dels Estats Units. És increïble veure'ls innovant en aquest espai. Espero que sigui un signe de les coses per venir."