Платформа публичных закупок Prozorro объявила конкурс на поиск слабых мест, позволяющих киберпреступникам проникать в эту систему. Подобные соревнования регулярно проводят крупнейшие обитатели глобальной сети. Программистам, нашедшим уязвимость в программном обеспечении Prozorro, обещают премию — $7 тыс.
Госпредприятие «Прозорро» станет первым представителем госсектора Украины, предложившим премию хакерам за попытку санкционированного взлома компьютерной сети платформы интернет-аукционов.
На прошлой неделе Prozorro объявила о собственном проекте bug bounty. Так называют программы поощрения поиска уязвимых мест в программном обеспечении, что позволяет оценить уровень защищенности системы.
Отбирать участников будут до 8 сентября. Помощь в поисках квалифицированных «этических хакеров» предприятию оказывают платформа HackenProof, компания OptiData и облачный провайдер DeNovo. По условиям проекта участниками могут быть только украинцы с опытом в сфере кибербезопасности и багхантинга. Для этого организаторы отберут 15 лучших.
Марафон по поиску уязвимых мест системы состоится 21 сентября. Призовой фонд будет распределен между лучшими хакерами — в зависимости от характера найденных программных ошибок.
Платформа Prozorro регулярно сталкивается с обвинениями в непрозрачности проведенных тендеров. Но виной тому не программное обеспечение, а заказчики и участники торгов. Распорядители бюджетных средств устанавливают правила, исключающие участие в тендерах «посторонних», а претенденты на освоение государственных денег договариваются друг с другом, распределяя закупки и участвуя в тендерах фиктивно. Исправить эти ошибки не способны программисты даже самой высокой квалификации.
Однако соревнования среди «белых» (или «этичных») хакеров могут стать примером для других предприятий государственного и частного сектора.
Два года назад украинский сегмент интернета подвергся массированной кибератаке, вследствие которой 27 июня 2017 г. компьютерным вирусом PetyaA была заблокирована работа аэропорта «Борисполь», «Укрзалізниці», «Ощадбанка», «Укртелекома», «Укрпочты» и десятков других предприятий и структур.
Снизить вероятность обрушения компьютерных систем и позволяют соревнования по поиску уязвимых мест программного обеспечения. Представители IT-индустрии научились использовать в своих целях любопытство «хакеров», занимающихся взломами программ. Теперь им предлагают делать это вполне легально и за находки обещают серьезное вознаграждение.
По данным журнала PC News, крупнейшую премию за найденные в ПО недостатки получил в 2012 г. бакалавр Колумбийского университета (США). Microsoft выплатила ему $200 тыс. за обнаруженное в операционной системе слабое место.
Google запустила собственную программу bug bounty в 2010 г. И за эти годы заплатила «охотникам за багами» $9 млн. Самая крупная награда составила $100 тыс. О характере обнаруженной недоработки компания умолчала.
Министерство обороны США также не сообщает о своих проблемах в сфере интернет-безопасности. Но только в 2016 г. Пентагон в рамках учрежденной им программы Hack the Pentagon выплатил «белым» хакерам $150 тыс. за 138 обнаруженных уязвимых мест. В 2017 г. вознаграждение достигло $300 тыс., а число обнаруженных недоработок — 500. Еще три тысячи уязвимостей участники программы помогли закрыть безвозмездно.
Как заявил тогдашний директор оборонного ведомства США Эштон Картер, bug bounty помогла Пентагону сэкономить $850 тыс., которые потребовали за эту же работу нанятые аудиторы.
Авиаперевозчик United Airlines предпочитает расплачиваться с багхантерами собственными бонусами. Два специалиста в 2015-м и 2016 г. получили от авиакомпании по 1 млн. авиационных миль, чего хватает не на одно путешествие вокруг света.
В целом охотники за компьютерными уязвимостями — багхантеры — считаются одной из наиболее высокооплачиваемых специальностей в IT-секторе.
По данным платформы HackerOne, в прошлом году опросившей 1700 специалистов из 195 стран, хороший багхантер зарабатывает в среднем в три раза больше, чем средний разработчик ПО. В развивающихся странах награда за найденные уязвимые места может в десять и более раз превышать зарплату рядового программиста.
На этом фоне $7 тыс. от Prozorro выглядят скромно. Однако ввиду повышенных интернет-амбиций нынешней власти, мечтающей поместить государство в смартфон, спрос на подобные услуги будет только расти.
Неслучайно одним из возможных для государства способов получить приемлемое качество IT-обеспечения все чаще называют призыв в армию программистов — выпускников вузов, которые могли бы отдать долг Родине непосредственно в войсках или работать над конкретными проектами, находясь на альтернативной службе.
Уважаемые читатели, PDF-версию статьи можно скачать здесь...
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.
«Инвестиции» в земельные ресурсы Украины — это скупка больших массивов земли...
Средств, госпрограмм, компетентных специалистов нет, но вы, мол, держитесь, а...
При таком отношении к экологии Украина в недалеком будущем может попасть в список...
При наращивании убытков и неспособности обеспечивать даже расходы на финансирование...
Главная проблема не в тарифах для населения, а в неспособности созданной модели рынка...
Эксперты считают, что украинские рыбоводы могли бы выращивать около 100—150 тыс. т рыбы...
Державні природоохоронні органи фіксують істотне збільшення порушень...
Еженедельник «2000» в статье «Сбежавший экспонат» 9 июня 2020 г. рассказал о...
Нужно пристальнее присмотреться к пулу иностранных компаний, которые изъявляют...
Пришла осень. Страну окутал дым костров из опавших листьев. Национальный...
Уничтожение леса — это угроза национальной безопасности государства Наше...
Вулкан Карымский на Камчатке 30 октября выбросил столб пепла на шесть километров над...
Комментарии 0