«Белые» хакеры на службе Prozorrо

№35(919) 30 августа — 5 сентября 2019 г. 28 Августа 2019 0

Платформа публичных закупок Prozorro объявила конкурс на поиск слабых мест, позволяющих киберпреступникам проникать в эту систему. Подобные соревнования регулярно проводят крупнейшие обитатели глобальной сети. Программистам, нашедшим уязвимость в программном обеспечении Prozorro, обещают премию — $7 тыс.

Госпредприятие «Прозорро» станет первым представителем госсектора Украины, предложившим премию хакерам за попытку санкционированного взлома компьютерной сети платформы интернет-аукционов.

На прошлой неделе Prozorro объявила о собственном проекте bug bounty. Так называют программы поощрения поиска уязвимых мест в программном обеспечении, что позволяет оценить уровень защищенности системы.

Отбирать участников будут до 8 сентября. Помощь в поисках квалифицированных «этических хакеров» предприятию оказывают платформа HackenProof, компания OptiData и облачный провайдер DeNovo. По условиям проекта участниками могут быть только украинцы с опытом в сфере кибербезопасности и багхантинга. Для этого организаторы отберут 15 лучших.

Марафон по поиску уязвимых мест системы состоится 21 сентября. Призовой фонд будет распределен между лучшими хакерами — в зависимости от характера найденных программных ошибок.

Платформа Prozorro регулярно сталкивается с обвинениями в непрозрачности проведенных тендеров. Но виной тому не программное обеспечение, а заказчики и участники торгов. Распорядители бюджетных средств устанавливают правила, исключающие участие в тендерах «посторонних», а претенденты на освоение государственных денег договариваются друг с другом, распределяя закупки и участвуя в тендерах фиктивно. Исправить эти ошибки не способны программисты даже самой высокой квалификации.

Однако соревнования среди «белых» (или «этичных») хакеров могут стать примером для других предприятий государственного и частного сектора.

Два года назад украинский сегмент интернета подвергся массированной кибератаке, вследствие которой 27 июня 2017 г. компьютерным вирусом PetyaA была заблокирована работа аэропорта «Борисполь», «Укрзалізниці», «Ощадбанка», «Укртелекома», «Укрпочты» и десятков других предприятий и структур.

Снизить вероятность обрушения компьютерных систем и позволяют соревнования по поиску уязвимых мест программного обеспечения. Представители IT-индустрии научились использовать в своих целях любопытство «хакеров», занимающихся взломами программ. Теперь им предлагают делать это вполне легально и за находки обещают серьезное вознаграждение.

По данным журнала PC News, крупнейшую премию за найденные в ПО недостатки получил в 2012 г. бакалавр Колумбийского университета (США). Microsoft выплатила ему $200 тыс. за обнаруженное в операционной системе слабое место.

Google запустила собственную программу bug bounty в 2010 г. И за эти годы заплатила «охотникам за багами» $9 млн. Самая крупная награда составила $100 тыс. О характере обнаруженной недоработки компания умолчала.

Министерство обороны США также не сообщает о своих проблемах в сфере интернет-безопасности. Но только в 2016 г. Пентагон в рамках учрежденной им программы Hack the Pentagon выплатил «белым» хакерам $150 тыс. за 138 обнаруженных уязвимых мест. В 2017 г. вознаграждение достигло $300 тыс., а число обнаруженных недоработок — 500. Еще три тысячи уязвимостей участники программы помогли закрыть безвозмездно.

Как заявил тогдашний директор оборонного ведомства США Эштон Картер, bug bounty помогла Пентагону сэкономить $850 тыс., которые потребовали за эту же работу нанятые аудиторы.

Авиаперевозчик United Airlines предпочитает расплачиваться с багхантерами собственными бонусами. Два специалиста в 2015-м и 2016 г. получили от авиакомпании по 1 млн. авиационных миль, чего хватает не на одно путешествие вокруг света.

В целом охотники за компьютерными уязвимостями — багхантеры — считаются одной из наиболее высокооплачиваемых специальностей в IT-секторе.

По данным платформы HackerOne, в прошлом году опросившей 1700 специалистов из 195 стран, хороший багхантер зарабатывает в среднем в три раза больше, чем средний разработчик ПО. В развивающихся странах награда за найденные уязвимые места может в десять и более раз превышать зарплату рядового программиста.

На этом фоне $7 тыс. от Prozorro выглядят скромно. Однако ввиду повышенных интернет-амбиций нынешней власти, мечтающей поместить государство в смартфон, спрос на подобные услуги будет только расти.

Неслучайно одним из возможных для государства способов получить приемлемое качество IT-обеспечения все чаще называют призыв в армию программистов — выпускников вузов, которые могли бы отдать долг Родине непосредственно в войсках или работать над конкретными проектами, находясь на альтернативной службе.

Уважаемые читатели, PDF-версию статьи можно скачать здесь...

загрузка...
Loading...

Загрузка...

Спасение рядового фермера

Украинский фермер не вписывается в земельную реформу

Столичные отравители: свалка, ТЭЦ и станция аэрации

Еще каких-то 25 лет назад Киев считался самой зеленой европейской столицей. Однако за...

Без варрантов нет гарантов

Поскольку в 2021—2024 гг. максимальные выплаты по VRI ограничены 1% ВВП, то и наибольшего...

Страшный сон: энергетики сами себе экологи

Решение правительства об объединении Минэкологии с Минтоплива можно оспорить в...

Лес рубят — люди «летят»

На протяжении последних пяти лет проводится спецоперация по устранению Украины с...

Загрузка...

Газовый депозит

Фактически участникам акции предлагают предоставить беспроцентный кредит газовому...

Мясо на пару с чумой

С начала 2019 из-за АЧС стране потеряла около 170 тыс. свиней

По колено в воде посреди Днепра

Древнейшая река Европы катастрофически мелеет

Дадут ли «огня» батареям?

В случае остановки транзита возможен дефицит газа в ежесуточном объеме в 50 млн....

Налоговая амнистия

Чрезмерная охота на обывателей и потакание чиновникам-коррупционерам могут отбить у...

«Террорист» анциструс

Черное море и водоемы Украины осваивают новые организмы, не характерные для наших...

Комментарии 0
Войдите, чтобы оставить комментарий
Пока пусто
Loading...
Получить ссылку для клиента

Авторские колонки

Блоги

Idealmedia
Загрузка...
Ошибка