«Белые» хакеры на службе Prozorrо

№35(919) 30 августа — 5 сентября 2019 г. 28 Августа 2019

Платформа публичных закупок Prozorro объявила конкурс на поиск слабых мест, позволяющих киберпреступникам проникать в эту систему. Подобные соревнования регулярно проводят крупнейшие обитатели глобальной сети. Программистам, нашедшим уязвимость в программном обеспечении Prozorro, обещают премию — $7 тыс.

Госпредприятие «Прозорро» станет первым представителем госсектора Украины, предложившим премию хакерам за попытку санкционированного взлома компьютерной сети платформы интернет-аукционов.

На прошлой неделе Prozorro объявила о собственном проекте bug bounty. Так называют программы поощрения поиска уязвимых мест в программном обеспечении, что позволяет оценить уровень защищенности системы.

Отбирать участников будут до 8 сентября. Помощь в поисках квалифицированных «этических хакеров» предприятию оказывают платформа HackenProof, компания OptiData и облачный провайдер DeNovo. По условиям проекта участниками могут быть только украинцы с опытом в сфере кибербезопасности и багхантинга. Для этого организаторы отберут 15 лучших.

Марафон по поиску уязвимых мест системы состоится 21 сентября. Призовой фонд будет распределен между лучшими хакерами — в зависимости от характера найденных программных ошибок.

Платформа Prozorro регулярно сталкивается с обвинениями в непрозрачности проведенных тендеров. Но виной тому не программное обеспечение, а заказчики и участники торгов. Распорядители бюджетных средств устанавливают правила, исключающие участие в тендерах «посторонних», а претенденты на освоение государственных денег договариваются друг с другом, распределяя закупки и участвуя в тендерах фиктивно. Исправить эти ошибки не способны программисты даже самой высокой квалификации.

Однако соревнования среди «белых» (или «этичных») хакеров могут стать примером для других предприятий государственного и частного сектора.

Два года назад украинский сегмент интернета подвергся массированной кибератаке, вследствие которой 27 июня 2017 г. компьютерным вирусом PetyaA была заблокирована работа аэропорта «Борисполь», «Укрзалізниці», «Ощадбанка», «Укртелекома», «Укрпочты» и десятков других предприятий и структур.

Снизить вероятность обрушения компьютерных систем и позволяют соревнования по поиску уязвимых мест программного обеспечения. Представители IT-индустрии научились использовать в своих целях любопытство «хакеров», занимающихся взломами программ. Теперь им предлагают делать это вполне легально и за находки обещают серьезное вознаграждение.

По данным журнала PC News, крупнейшую премию за найденные в ПО недостатки получил в 2012 г. бакалавр Колумбийского университета (США). Microsoft выплатила ему $200 тыс. за обнаруженное в операционной системе слабое место.

Google запустила собственную программу bug bounty в 2010 г. И за эти годы заплатила «охотникам за багами» $9 млн. Самая крупная награда составила $100 тыс. О характере обнаруженной недоработки компания умолчала.

Министерство обороны США также не сообщает о своих проблемах в сфере интернет-безопасности. Но только в 2016 г. Пентагон в рамках учрежденной им программы Hack the Pentagon выплатил «белым» хакерам $150 тыс. за 138 обнаруженных уязвимых мест. В 2017 г. вознаграждение достигло $300 тыс., а число обнаруженных недоработок — 500. Еще три тысячи уязвимостей участники программы помогли закрыть безвозмездно.

Как заявил тогдашний директор оборонного ведомства США Эштон Картер, bug bounty помогла Пентагону сэкономить $850 тыс., которые потребовали за эту же работу нанятые аудиторы.

Авиаперевозчик United Airlines предпочитает расплачиваться с багхантерами собственными бонусами. Два специалиста в 2015-м и 2016 г. получили от авиакомпании по 1 млн. авиационных миль, чего хватает не на одно путешествие вокруг света.

В целом охотники за компьютерными уязвимостями — багхантеры — считаются одной из наиболее высокооплачиваемых специальностей в IT-секторе.

По данным платформы HackerOne, в прошлом году опросившей 1700 специалистов из 195 стран, хороший багхантер зарабатывает в среднем в три раза больше, чем средний разработчик ПО. В развивающихся странах награда за найденные уязвимые места может в десять и более раз превышать зарплату рядового программиста.

На этом фоне $7 тыс. от Prozorro выглядят скромно. Однако ввиду повышенных интернет-амбиций нынешней власти, мечтающей поместить государство в смартфон, спрос на подобные услуги будет только расти.

Неслучайно одним из возможных для государства способов получить приемлемое качество IT-обеспечения все чаще называют призыв в армию программистов — выпускников вузов, которые могли бы отдать долг Родине непосредственно в войсках или работать над конкретными проектами, находясь на альтернативной службе.

Уважаемые читатели, PDF-версию статьи можно скачать здесь...

Распродажа обанкротившейся страны

«Инвестиции» в земельные ресурсы Украины — это скупка больших массивов земли...

2021-й — год земляного рынка

Средств, госпрограмм, компетентных специалистов нет, но вы, мол, держитесь, а...

Бег по краю

При таком отношении к экологии Украина в недалеком будущем может попасть в список...

Дембельский аккорд реформаторов-железнодорожников

При наращивании убытков и неспособности обеспечивать даже расходы на финансирование...

ЕС против «дешевой» электроэнергии для украинцев

Главная проблема не в тарифах для населения, а в неспособности созданной модели рынка...

Рыбья математика

Эксперты считают, что украинские рыбоводы могли бы выращивать около 100—150 тыс. т рыбы...

Аерокосмічний екоконтроль

Державні природоохоронні органи фіксують істотне збільшення порушень...

Борщевик можно побороть

Еженедельник «2000» в статье «Сбежавший экспонат» 9 июня 2020 г. рассказал о...

Мирному атому корпоративное управление

Нужно пристальнее присмотреться к пулу иностранных компаний, которые изъявляют...

Костры из опавших листьев

Пришла осень. Страну окутал дым костров из опавших листьев. Национальный...

Зеленое чудо

Уничтожение леса — это угроза национальной безопасности государства Наше...

Вулканы Камчатки ожили

Вулкан Карымский на Камчатке 30 октября выбросил столб пепла на шесть километров над...

Комментарии 0
Войдите, чтобы оставить комментарий
Пока пусто
Авторские колонки

Блоги

Ошибка