Verteidigungsministerium: "Hack das Pentagon", bitte!

Die Bundesregierung will Hacker einstellen, um die Sicherheit zu erhöhen.

Das Verteidigungsministerium gab am Donnerstag bekannt, dass sich Programmierer für das Projekt „Hack the Pentagon“ anmelden können, eine neue Partnerschaft mit HackerOne, die einige Sicherheitsbedürfnisse der DOD überfordert.

Das Pilotprogramm „Bug Bounty“ wird vom 18. April bis zum 12. Mai durchgeführt. Die Registrierung ist derzeit live. Hacker können sich bei HackerOne für die Auswahl bewerben, die den Auswahlprozess kuratiert.

Warum stellt die Regierung Hacker ein, um die Sicherheit zu erhöhen? Es ist nichts Neues Viele Unternehmen veranstalten Hackathons und bieten jedem Programmierer Preise, die brillant und fleißig genug sind, um Löcher in die Software zu schlagen. Einige von ihnen erhalten schließlich Arbeitsplätze, wenn sie gut genug sind.

"Das Pilotprojekt von Hack the Pentagon orientiert sich an ähnlichen Herausforderungen, die von einigen der größten Unternehmen des Landes zur Verbesserung der Sicherheit und Bereitstellung von Netzwerken, Produkten und digitalen Diensten unternommen wurden", sagt Peter Cook, Presssekretär von Pentagon. "Durch die Bereitstellung eines legalen Weges für die verantwortungsvolle Offenlegung von Sicherheitslücken wird die Hacker-Community durch Bug-Kopfgeldern dazu aufgerufen, zur Sicherheit des Internets beizutragen."

HackerOne ist eine besonders „seriöse“ Firma, wie Cook es ausdrückte. Hunderte von Kunden, darunter Twitter, Yahoo !, Snapchat und Uber, verlassen sich darauf, um Schwachstellen zu finden, bevor die bösen Jungs dies tun.

Alex Rice, CTO und Gründer von HackerOne, erzählt Inverse dass mehrere hundert Hacker in das Pilotprogramm einbezogen werden - die Bewerbungen sind bis Mitte April offen, daher gibt es zum Zeitpunkt der Veröffentlichung keine endgültigen Zahlen. HackerOne verbindet das DOD mit einer geprüften, nur eingeladenen Community von Hackern, die daran arbeiten, Schwachstellen im DOD zu identifizieren.

Selbst für Organisationen mit erheblichen Sicherheitsbudgets schaffen es Schwachstellen, so Rice. „Es gibt immer noch einen Mangel an Cybersecurity-Talent und -Tools. Die DOD ist wie jede andere Organisation, die sich mit der Realität auseinandersetzt, dass es eine Lücke zwischen den traditionellen „besten“ Praktiken und dem, was menschliche Intelligenz tatsächlich kann, gibt.Daher sind diese Kopfgeldprogramme an der Spitze, wenn versucht wird, diese Lücke zu schließen, indem die beste menschliche Intelligenz auf diese Schwachstellen angewendet wird.

„Sogar das DOD kann nicht genug Sicherheitskräfte einstellen, um sich gegen die Gegner zu schützen, gegen die sie sich stellen. So heißt es in der DOD: "Wir haben bereits das beste Sicherheitsteam, aber wir erkennen an, dass dies möglicherweise nicht genug ist." Es ist nur eine gute Praxis, zu fragen, was möglicherweise fehlt und so viele Augen wie möglich haben."

Bug-Kopfgeld-Programme, bei denen Entwickler Anreize für Hacker schaffen, Fehler und Unsicherheiten in ihrer Software zu finden, werden seit einiger Zeit von Technologieunternehmen eingesetzt. Dies ist das erste Mal, dass ein solches Programm von der Bundesregierung in Anspruch genommen wird.

"Es ist ziemlich phänomenal, wenn die Regierung der Vereinigten Staaten diesen Schritt unternimmt, bevor so viele private Unternehmen dies tun", sagt Rice, der vor seiner Gründung von HackerOne das Sicherheitsteam für Produktdienste bei Facebook leitete. „Dies ist seit Jahren eine führende Praxis in Tech-Unternehmen, und man sieht, dass es in anderen Branchen zum Einsatz kommt, aber die meisten Wirtschaftszweige des privaten Sektors liegen hinter der US-Regierung zurück. Es ist unglaublich zu sehen, wie sie in diesem Bereich innovativ sind. Ich hoffe, es ist ein Zeichen für die kommenden Dinge."