Награда за обнаружение ошибок Национальной безопасности выявила огромное количество недостатков

Дядя Влад

Были раскрыты результаты программы вознаграждения за обнаружение ошибок для Министерства внутренней безопасности (DHS), и это не особенно обнадеживающие новости для государственного учреждения, синонимом кибербезопасности.

Участники первой в истории программы DHS по поиску ошибок под названием «Hack DHS» подтвердили, что они обнаружили тревожное количество ошибок в системе безопасности.

На большом мониторе отображается предупреждение о взломе системы безопасности.

По данным The Register и Bleeping Computer , они обнаружили в общей сложности 122 уязвимости безопасности во внешних системах DHS. Двадцать семь ошибок были признаны недостатками «критической серьезности».

В инициативе Hack DHS приняли участие более 450 исследователей безопасности. За их усилия правительственное агентство выплатило вознаграждение в размере 125 600 долларов, которое было распределено среди этичных хакеров.

Как метко подчеркнуто The Register, вышеупомянутая цифра выплат меркнет по сравнению с тем, что другие организации платят охотникам за ошибками.

Например, Intel ранее предлагала до 100 000 долларов за успешное обнаружение определенных уязвимостей.

Другие технологические гиганты, такие как Microsoft, предлагают десятки тысяч долларов за обнаружение недостатков, в то время как Apple выплатила одному человеку почти всю награду Hack DHS, предоставив ему 100 000 долларов за взлом Mac .

Тем временем Google выделил почти 30 миллионов долларов лицам, участвующим в его собственных программах вознаграждения за обнаружение ошибок. В одном конкретном случае компания дала подростку-самоучке 36 000 долларов за сообщение об определенной ошибке.

Принимая во внимание тот факт, что одной из ключевых обязанностей Министерства внутренней безопасности является кибербезопасность, многие могут по понятным причинам быть обеспокоены тем, что в первую очередь было обнаружено такое большое количество ошибок безопасности. Более того, несколько тусклые уровни оплаты, связанные с Hack DHS, могут стать потенциальным сдерживающим фактором для будущих заинтересованных сторон.

Учитывая все обстоятельства, кажется, что DHS не так безопасна, как надеялись многие американцы.

Физический замок, размещенный на клавиатуре для представления заблокированной клавиатуры.

Стремление Национальной безопасности стать более безопасным

Hack DHS был первоначально представлен в декабре 2021 года. Любой хакер, присоединившийся к программе, должен был предоставить исчерпывающую информацию о любой найденной уязвимости. Они также должны подробно описать, как эта уязвимость может быть обнаружена и использована потенциальными субъектами угроз, а также объяснить, как ее можно конкретно использовать для доступа и извлечения данных из систем DHS.

После того, как эти дефекты безопасности проходят через процесс проверки «экспертами по безопасности DHS», который занимает 48 часов после обнаружения и отправки ошибки, они обычно исправляются в течение 15 дней или около того. В некоторых случаях государственному органу требуется больше полумесяца, чтобы исправить более сложные недостатки.

Программа вознаграждения за обнаружение ошибок государственного агентства будет проводиться в виде многоуровневого развертывания, состоящего из трех этапов. Первый этап, выплаты, был завершен, а на предстоящем втором этапе исследователи безопасности, отобранные DHS, примут участие в живом хакерском мероприятии.

Что касается заключительного этапа, The Register сообщает, что DHS поделится информацией, которая, как он надеется, повлияет на дополнительные программы вознаграждения за обнаружение ошибок.

Популярность программ вознаграждения за обнаружение ошибок становится все более заметной в эпоху, когда киберпреступники активизировали свои попытки проникнуть в крупные компании, особенно в сфере технологий.

Например, Intel представила Project Circuit Breaker , расширение своей программы вознаграждений за обнаружение ошибок, которая была введена для найма «элитных хакеров». В прошлом году Google также обновил свою программу вознаграждения за уязвимости, запустив новую платформу для обнаружения ошибок .

В другом месте Google недавно подтвердил, что в 2021 году было выявлено рекордное количество опасных эксплойтов нулевого дня , при этом киберпреступления распространены как никогда прежде .