Резултатът от a програма за награди за грешки за Министерството на вътрешната сигурност (DHS) беше разкрито и това не е особено обнадеждаваща новина за правителствена агенция, синоним на киберсигурност.
Участниците в първата по рода си програма за бъгове на DHS, наречена „Hack DHS“, потвърдиха, че са открили тревожен брой бъгове в сигурността.
Те откриха общо 122 уязвимости в сигурността във външните DHS системи, според Регистърът и Блеещ компютър. Двадесет и седем грешки бяха разпознати като недостатъци с „критична тежест“.
Препоръчани видеоклипове
В инициативата Hack DHS участваха повече от 450 изследователи по сигурността. За техните усилия правителствената агенция изплати обща награда от $125 600, която беше разпределена между етичните хакери.
Както уместно подчертава The Register, гореспоменатата цифра на изплащането бледнее в сравнение с това, което плащат други организации на ловците на бъгове.
Например Intel преди това е предлагала до $100 000 за успешно разкриване на специфични уязвимости.
Други технологични гиганти като Microsoft предлагат десетки хиляди долари за намиране на недостатъци, докато Apple плати на едно лице почти цялата награда за Hack DHS като му даде $100 000 за хакване на Mac.
Google, междувременно, е наградил близо 30 милиона долара на лица, включени в неговите собствени програми за награди за грешки. В един конкретен случай компанията даде на самоук тийнейджър хакер $36 000 за докладване на определена грешка.
Имайки предвид факта, че една от ключовите отговорности на Министерството на вътрешната сигурност включва кибер сигурност, мнозина може разбираемо да се притесняват, че в първия са открити толкова голямо количество грешки в сигурността място. Освен това донякъде слабите нива на плащане, свързани с Hack DHS, могат да бъдат потенциално възпиращо средство за бъдещи заинтересовани страни.
Като се имат предвид всички неща, изглежда, че DHS не е толкова сигурен, колкото много американци биха се надявали, че ще бъде.
Стремежът на вътрешната сигурност да стане по-сигурен
Първоначално Hack DHS беше представен през декември 2021 г. Всеки хакер, който се присъедини към програмата, ще трябва да предостави цялостна разбивка на всяка уязвимост, която открие. Те също така трябва да опишат подробно как този пропуск може да бъде насочен и използван от потенциални участници в заплаха, както и да обяснят как може да се използва конкретно за достъп и извличане на данни от DHS системи.
След като тези дефекти в сигурността бъдат подложени на процес на проверка от „DHS експерти по сигурността“, който отнема 48 часа за анализ след откриване и изпращане на грешка, те обикновено се коригират в рамките на 15 дни или така. В някои случаи на правителствената агенция отнема повече от половин месец, за да коригира по-сложните недостатъци.
Програмата за награди за грешки на правителствената агенция ще се проведе чрез поетапно внедряване, състоящо се от три етапа. Първата фаза, изплащанията, е завършена, докато предстоящият втори етап ще види изследователи по сигурността, подбрани ръчно от DHS, които ще участват в хакерско събитие на живо.
Що се отнася до последната фаза, The Register съобщава, че DHS ще сподели информация, която се надява да повлияе на допълнителни програми за награди за грешки.
Популярността на програмите за награди за грешки е все повече стават все по-видни в ера, в която са били киберпрестъпниците засилват опитите си да проникне в големи компании, особено в технологичното пространство.
Например Intel разкриха Project Circuit Breaker, разширение на неговата програма за награди за грешки, която беше въведена за набиране на „елитни хакери“. Google също актуализира своята програма за награди за уязвимост миналата година от стартиране на нова платформа за грешки.
Другаде Google наскоро потвърди, че a рекорден брой опасни експлойти от нулевия ден са идентифицирани през 2021 г., докато киберпрестъпленията са по-широко разпространено от всякога.
Препоръки на редакторите
- Хакер пратен в затвора за огромно нарушение на Twitter през 2020 г
- Хакерите може да са откраднали главния ключ на друг мениджър на пароли
- Microsoft току-що ви даде нов начин да се предпазите от вируси
- Не, 1Password не е хакнат – ето какво наистина се случи
- Създателят на ChatGPT стартира програма за награди за грешки с парични награди
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
