Командование ВВС США запустило программу поиска уязвимостей в своей киберинфраструктуре и, в первую очередь, на публичных ресурсах. В конкурсе смогут участвовать эксперты по компьютерной безопасности из США и стран Британского содружества.
Акция «взломай ВВС»
Командование Военно-воздушных сил США запускает программу поиска уязвимостей на публичных ресурсах ведомства под названием Hack The Air Force («взломай ВВС»). Программа аналогична более раннему конкурсу Hack The Pentagon («взломай Пентагон»); ключевое отличие состоит в том, что в новом конкурсе смогут участвовать не только хакеры из США, но также и эксперты, проживающие в Канаде, Великобритании, Австралии и Новой Зеландии.
Директор по информационной безопасности ВВС США Питер Ким (Peter Kim) отметил: «Это важная часть нашей программы — возможность участия в ней наших близких союзников. Когда она появилась, мы поняли, что должны на это пойти; что мы нуждались в более широких “линзах” и свежих глазах».
По словам Питера Кима, Hack The Air Force будет использоваться также для поиска новых экспертов по безопасности, которых командование ВВС, возможно, примет в дальнейшем на работу.
Со своей стороны, технический директор HackerOne Алекс Райс (Alex Rice) отметил, что программа Hack The Pentagon позволила Пентагону улучшить собственные процедуры, связанные с раскрытием и устранением уязвимостей.
Программа Hack The Air Force была анонсирована в штаб-квартире компании HackerOne, специализирующейся на проведении подобных акций поиска уязвимостей. Размер вознаграждения не объявлен, представители ВВС заявили лишь, что сумма премии будет зависеть от степени серьезности выявленных багов.
Заявки на участие в Hack The Air Force можно будет подавать на сайте HackerOne с 15 мая 2017 г. Сам конкурс продлится с 30 мая по 23 июня.
Позитивный прошлый опыт
В ходе программы Hack The Pentagon министерство обороны США выплатило около $75 тыс. в виде вознаграждений. Участники программы (а их было около 1,4 тыс.) нашли 138 уникальных уязвимостей, большая часть из которых к тому времени не была известна.
«Мы все увидели, что баги можно и нужно находить, и что координация усилий по исправлению ошибок между различными сторонами может быть затруднительной, если не практиковаться ежедневно. В результате мы запустили продолжающуюся программу поиска уязвимостей [для Минобороны], не связанную с вознаграждением как таковым», — заявил Райс.
«Программы поиска уязвимости в основном запускают коммерческие компании — сами или с посторонней помощью, — комментирует Ксения Шилак, директор по продажам компании SECConsultРус. — То, что государственные ведомства — военные или гражданские — начинают запускать у себя аналогичные программы, показывает, во-первых, эффективность этих программ, а во-вторых, то, что чиновники и военные наконец-то воспринимают кибербезопасность всерьез. Пример ВВС США в этом плане должен стать в хорошем смысле "заразительным" для военных и гражданских ведомств по всему миру».
Источник: cnews.ru