Forsvarsdepartementet: "Hack Pentagon," venligst!

Den føderale regering ønsker at ansætte hackere for at øge sikkerheden.

Forsvarsministeriet meddelte torsdag, at programmører kunne registrere sig for sit "Hack the Pentagon" -projekt, et nyt partnerskab med HackerOne, der vil crowdsource nogle af DODs sikkerhedsbehov.

Pilotprogrammet "bug bounty" løber fra den 18. april til den 12. maj, og registreringen er i øjeblikket levende. Hackere kan ansøge om udvælgelse af HackerOne, som kuraterer udvælgelsesprocessen.

Så hvorfor er regeringen ansættelse hackere for at øge sikkerheden? Det er ikke noget nyt. Masser af virksomheder hoster hackoner, der tilbyder præmier til enhver programmør strålende og flittig nok til at peke huller i software. Nogle af dem bliver til sidst tilbudt job, hvis de er gode nok.

"Hack Pentagon pilot er modelleret efter lignende udfordringer foretaget af nogle af landets største virksomheder for at forbedre sikkerheden og leveringen af ​​netværk, produkter og digitale tjenester", siger Pentagons pressekretær Peter Cook. "Ved at give en juridisk vej til ansvarlig afsløring af sikkerhedsproblemer, involverer bug bounties hacker community til at bidrage til sikkerheden af ​​internettet."

HackerOne er et særligt "anerkendt" firma, som Cook sætte det med hundredvis af kunder, herunder Twitter, Yahoo !, Snapchat og Uber, der stoler på at finde sårbarheder, før de onde gør.

Alex Rice, CTO og grundlægger af HackerOne, fortæller Inverse at flere hundrede hackere vil være involveret i pilotprogrammet - ansøgningerne er åbne indtil midten af ​​april, så der er ikke nogen endelige tal i forbindelse med denne skrivning. HackerOne vil forbinde DOD til et vetted, invite-only-fællesskab af hackere, der vil arbejde for at identificere områder af sårbarhed inden for DOD.

Selv for organisationer med betydelige sikkerhedsbudgetter gør sårbarheder stadig det igennem, sagde Rice. "Der er stadig en alvorlig mangel på cybersecurity talent og værktøjer, der er tilgængelige. DOD er ​​ligesom enhver anden organisation, der beskæftiger sig med virkeligheden, at der er et kløft mellem de traditionelle "bedste" praksis og derefter hvad menneskelig intelligens faktisk kan gøre.Så disse bounty programmer er i forkant med at forsøge at lukke dette hul ved at anvende den bedste menneskelige intelligens til disse sårbarheder.

"Selv DOD kan ikke ansætte nok sikkerhedspersoner til at beskytte mod de modstandere, de er imod. Så det siger DOD'en 'Vi har allerede det bedste sikkerhedshold, men vi erkender, at det måske ikke er nok.' Det er bare god praksis at spørge, hvad der må gå glip af og have så mange øjne som muligt. '

Bug-bounty-programmer, hvor udviklere incitiverer hackere til at finde fejl og usikkerheder i deres software, har i vid udstrækning været brugt blandt tekniske virksomheder i nogen tid. Dette vil være første gang et sådant program vil blive udnyttet af den føderale regering.

"Det er ret fænomenalt at se, at USA's regering tager dette skridt, før så mange private industrier gør det," siger Rice, der løb sikkerhedsgruppen for produkttjenester på Facebook, før han startede HackerOne. "Dette har været en førende praksis i teknologibedrifter i årevis, og du begynder at se det rulle ud i andre industrier, men de fleste private vertikaler ligger nu bag USAs regering. Det er utroligt at se dem fornyende i dette rum. Jeg håber, det er et tegn på ting, der skal komme."