Departamento de Defensa: "Hackea el Pentágono," ¡Por favor!

El gobierno federal quiere contratar hackers para aumentar la seguridad.

El Departamento de Defensa anunció el jueves que los programadores podrían registrarse para su proyecto "Hack the Pentagon", una nueva asociación con HackerOne que financiará algunas de las necesidades de seguridad del DOD.

El programa piloto de "recompensa de errores" se ejecutará del 18 de abril al 12 de mayo, y la inscripción está actualmente en vivo. Los hackers pueden solicitar la selección por parte de HackerOne, que está curando el proceso de selección.

Entonces, ¿por qué el gobierno está contratando hackers para mejorar la seguridad? No es nada nuevo. Muchas compañías albergan hackathons, que ofrecen premios a cualquier programador lo suficientemente brillante y diligente como para abrir agujeros en el software. A algunos de ellos se les ofrecen puestos de trabajo si son lo suficientemente buenos.

"El piloto de Hack the Pentagon se basa en desafíos similares realizados por algunas de las compañías más grandes de la nación para mejorar la seguridad y la entrega de redes, productos y servicios digitales", dice el Secretario de Prensa del Pentágono, Peter Cook. "Al proporcionar una vía legal para la divulgación responsable de las vulnerabilidades de seguridad, las recompensas de errores involucran a la comunidad de piratas informáticos para contribuir a la seguridad de Internet".

HackerOne es una firma particularmente “reputada”, como dijo Cook, con cientos de clientes, incluidos Twitter, Yahoo !, Snapchat y Uber que confían en ella para encontrar vulnerabilidades antes de que lo hagan los malos.

Alex Rice, CTO y fundador de HackerOne, dice Inverso que varios cientos de hackers participarán en el programa piloto; las aplicaciones están abiertas hasta mediados de abril, por lo que no hay números definitivos a partir de este escrito. HackerOne conectará el DOD a una comunidad de piratas informáticos revisada e invitada que trabajará para identificar áreas de vulnerabilidad dentro del DOD.

Incluso para las organizaciones con importantes presupuestos de seguridad, las vulnerabilidades aún lo hacen, dijo Rice. "Todavía hay una gran escasez de talento y herramientas de ciberseguridad disponibles. El DOD es como cualquier otra organización que se enfrenta a la realidad de que existe una brecha entre las prácticas "mejores" tradicionales y lo que la inteligencia humana puede hacer realmente.Así que estos programas de recompensas están a la vanguardia de intentar cerrar esa brecha aplicando la mejor inteligencia humana a estas vulnerabilidades.

"Incluso el DOD no puede contratar suficientes personas de seguridad para protegerse contra los adversarios a los que se enfrentan. Así que es lo que dice el DOD 'ya tenemos el mejor equipo de seguridad, pero reconocemos que podría no ser suficiente'. Es una buena práctica preguntar qué se puede perder y tener tantos ojos como sea posible ".

Los programas de recompensas de errores, en los que los desarrolladores incentivan a los piratas informáticos a encontrar errores e inseguridades en su software, han sido ampliamente utilizados entre las empresas de tecnología durante algún tiempo. Esta será la primera vez que un programa de este tipo será utilizado por el gobierno federal.

"Es bastante fenomenal ver que el gobierno de los Estados Unidos dé este paso antes de que tantas industrias privadas lo hagan", dice Rice, quien dirigió el equipo de seguridad de servicios de productos en Facebook antes de lanzar HackerOne. "Esta ha sido una práctica líder en compañías tecnológicas durante años, y está empezando a ver su desarrollo en otras industrias, pero la mayoría de las verticales del sector privado ahora están a la zaga del gobierno de los EE. UU. Es increíble verlos innovando en este espacio. Espero que sea una señal de lo que vendrá ".