Награда за обнаружение ошибок в армии США прошла успешно, но может ли она продолжаться?

Многочисленные федеральные агентства в последнее время участвуют в программах вознаграждения за обнаружение ошибок. Часто этим мероприятиям содействовала базирующаяся в Сан-Франциско компания HackerOne, которую поддерживают крупные технологические игроки Microsoft, Google и Facebook. Если оставить в стороне иронию, связанную с тем, что основные фигуранты борьбы с конфиденциальностью в корпоративной и государственной сферах работают в тандеме против хакеров, эти события привели к многочисленным достижениям в области безопасности.

Армия США недавно обнаружила это для себя, когда 19 января они завершили свою собственную программу вознаграждения за обнаружение ошибок. Как сообщается в блоге HackerOne, программа «Взломать армию» была предназначена для усиления безопасности ключевых систем, ориентированных на выполнение миссии. а также построить мост между хакерским сообществом и военными.

Что касается первой цели, то было 416 отчетов об ошибках, и из этих 416 отчетов 118 были признаны «уникальными и действенными». Ниже приведен график, суммирующий ключевые события, произошедшие во время вознаграждения за обнаружение ошибок:

Одна из наиболее серьезных уязвимостей позволяла хакеру перейти с общедоступного веб-сайта goarmy.com на внутренний веб-сайт Министерства обороны, «для доступа к которому требуются специальные учетные данные». То, что эта уязвимость не была использована, является удачей для армии, поскольку именно такие проблемы приводят к массовым нарушениям безопасности.

Всего участникам баг-баунти было выплачено более 100 000 долларов (эта цифра может измениться). Подавляющее большинство из 371 участника, которые должны были получить компенсацию, были из частного сектора, но следует отметить, что 25 государственных служащих (17 из которых служили в армии) также были частью Hack the Army.

Похоже, что вторая основная цель соединения белых хакеров и федералов была достигнута (по крайней мере, с точки зрения приведенных выше цифр). Означает ли это, что хакеры и военные собираются взяться за руки и вместе прыгать по коридорам Пентагона? Очень вряд ли. Как я неоднократно сообщал, многие хакеры придерживаются децентрализованного взгляда на власть, более или менее придерживаясь менталитета «нет богов, нет хозяев».

Работать с любым правительством, особенно Соединенных Штатов, многие хакеры считают отравляющей идеей. Это правительство жестко преследовало серых шляп за раскрытие уязвимостей компаниям без денежной выгоды, выдвигало сфабрикованные обвинения против легенд хакеров, таких как Кевин Митник, в результате чего его ошибочно поместили в одиночную камеру, и по сей день ищет хактивистов и осведомителей. с психотической местью.

Пока правительство не изменит свое отношение к хакерам, а именно к белым и серым шляпам, мы можем ожидать, что в этих программах вознаграждения за обнаружение ошибок будет лишь небольшая часть их потенциальных участников. Хакеры в целом не доверяют правительству. Можно ли их винить?