«Белые» хакеры на службе Prozorrо

Платформа публичных закупок Prozorro объявила конкурс на поиск слабых мест, позволяющих киберпреступникам проникать в эту систему. Подобные соревнования регулярно проводят крупнейшие обитатели глобальной сети. Программистам, нашедшим уязвимость в программном обеспечении Prozorro, обещают премию — $7 тыс.

Госпредприятие «Прозорро» станет первым представителем госсектора Украины, предложившим премию хакерам за попытку санкционированного взлома компьютерной сети платформы интернет-аукционов.

На прошлой неделе Prozorro объявила о собственном проекте bug bounty. Так называют программы поощрения поиска уязвимых мест в программном обеспечении, что позволяет оценить уровень защищенности системы.

Отбирать участников будут до 8 сентября. Помощь в поисках квалифицированных «этических хакеров» предприятию оказывают платформа HackenProof, компания OptiData и облачный провайдер DeNovo. По условиям проекта участниками могут быть только украинцы с опытом в сфере кибербезопасности и багхантинга. Для этого организаторы отберут 15 лучших.

Марафон по поиску уязвимых мест системы состоится 21 сентября. Призовой фонд будет распределен между лучшими хакерами — в зависимости от характера найденных программных ошибок.

Платформа Prozorro регулярно сталкивается с обвинениями в непрозрачности проведенных тендеров. Но виной тому не программное обеспечение, а заказчики и участники торгов. Распорядители бюджетных средств устанавливают правила, исключающие участие в тендерах «посторонних», а претенденты на освоение государственных денег договариваются друг с другом, распределяя закупки и участвуя в тендерах фиктивно. Исправить эти ошибки не способны программисты даже самой высокой квалификации.

Однако соревнования среди «белых» (или «этичных») хакеров могут стать примером для других предприятий государственного и частного сектора.

Два года назад украинский сегмент интернета подвергся массированной кибератаке, вследствие которой 27 июня 2017 г. компьютерным вирусом PetyaA была заблокирована работа аэропорта «Борисполь», «Укрзалізниці», «Ощадбанка», «Укртелекома», «Укрпочты» и десятков других предприятий и структур.

Снизить вероятность обрушения компьютерных систем и позволяют соревнования по поиску уязвимых мест программного обеспечения. Представители IT-индустрии научились использовать в своих целях любопытство «хакеров», занимающихся взломами программ. Теперь им предлагают делать это вполне легально и за находки обещают серьезное вознаграждение.

По данным журнала PC News, крупнейшую премию за найденные в ПО недостатки получил в 2012 г. бакалавр Колумбийского университета (США). Microsoft выплатила ему $200 тыс. за обнаруженное в операционной системе слабое место.

Google запустила собственную программу bug bounty в 2010 г. И за эти годы заплатила «охотникам за багами» $9 млн. Самая крупная награда составила $100 тыс. О характере обнаруженной недоработки компания умолчала.

Министерство обороны США также не сообщает о своих проблемах в сфере интернет-безопасности. Но только в 2016 г. Пентагон в рамках учрежденной им программы Hack the Pentagon выплатил «белым» хакерам $150 тыс. за 138 обнаруженных уязвимых мест. В 2017 г. вознаграждение достигло $300 тыс., а число обнаруженных недоработок — 500. Еще три тысячи уязвимостей участники программы помогли закрыть безвозмездно.

Как заявил тогдашний директор оборонного ведомства США Эштон Картер, bug bounty помогла Пентагону сэкономить $850 тыс., которые потребовали за эту же работу нанятые аудиторы.

Авиаперевозчик United Airlines предпочитает расплачиваться с багхантерами собственными бонусами. Два специалиста в 2015-м и 2016 г. получили от авиакомпании по 1 млн. авиационных миль, чего хватает не на одно путешествие вокруг света.

В целом охотники за компьютерными уязвимостями — багхантеры — считаются одной из наиболее высокооплачиваемых специальностей в IT-секторе.

По данным платформы HackerOne, в прошлом году опросившей 1700 специалистов из 195 стран, хороший багхантер зарабатывает в среднем в три раза больше, чем средний разработчик ПО. В развивающихся странах награда за найденные уязвимые места может в десять и более раз превышать зарплату рядового программиста.

На этом фоне $7 тыс. от Prozorro выглядят скромно. Однако ввиду повышенных интернет-амбиций нынешней власти, мечтающей поместить государство в смартфон, спрос на подобные услуги будет только расти.

Неслучайно одним из возможных для государства способов получить приемлемое качество IT-обеспечения все чаще называют призыв в армию программистов — выпускников вузов, которые могли бы отдать долг Родине непосредственно в войсках или работать над конкретными проектами, находясь на альтернативной службе.