Das Pentagon-Rewards-Programm für Hacker hat eine Bizarre Lücke
Das Department of Defense startete ein neues Programm letzte Woche, "Hack the Pentagon" zur Belohnung Hacker für den Hinweis auf Sicherheitslücken in einigen seiner öffentlich zugänglichen Websites. Es ist ein Bug Bounty, die gleiche Art von Programm, das meisten große Technologiefirmen, Hacker, anstatt Schaden zu helfen zu fördern. Das Programmbudget weshalb $150.000, Belohnungen klein sein werden, insbesondere im Vergleich zu privaten Prämien.
Aber die mageren Mittel ist nicht der größte Unterschied zwischen der Art, wie Unternehmen wie Facebook oder Microsoft Leckerbissen Bug Bounty Teilnehmer und die Art und Weise das Pentagon plant, sie zu behandeln: das Pentagon verlässt sich ein Schlupfloch, so dass einige der Leute, die an dem Programm teilnehmen durfte nicht Anspruch auf eine tatsächliche monetäre Belohnung. Genauer gesagt: Wenn Sie eine skizzenhafte Vergangenheit (definiert durch das Pentagon) können Sie teilnehmen, aber Sie werden nicht bezahlt.
Zur Teilnahme an den "hack", müssen Sie eine Liste der Voraussetzungen erfüllen; zum Beispiel kann man nicht auf die uns Abteilung des Finanzministeriums Specially Designated Nationals Liste sein, und Sie brauchen, um in den USA arbeiten zu können. Die Voraussetzungen sind einfach – Sie können sofort sagen, ob Sie oder nicht teilnehmen können.
Die Zahlungsbedingungen sind jedoch unterschiedlich. Bist du ein Ex-Sträfling, der zufällig auch Hacker mit dem Drang zu helfen, das Department of Defense zu sein, haben wir gute und schlechte Nachrichten: Sie können teilnehmen, aber wahrscheinlich kann nicht bezahlt bekommen. Nachdem Sie einen reward-worthy Fehler senden, geschieht Folgendes:
Darüber hinaus erfolgreiche Teilnehmer, die qualifizierenden Anfälligkeit Berichte einreichen durchläuft eine grundlegende kriminellen Hintergrund Screening dafür Steuergelder sinnvoll ausgegeben werden. Screening-Details mitgeteilt vorab an die Teilnehmer und Teilnehmer haben die Möglichkeit zum opt-Out von jedem Screening, sondern Bounty Vergütung zu verzichten.
So können Sie Zeit eine ernsthafte Sicherheitsbedrohung für die US-Regierung zu identifizieren und Sie es in verwandeln, und akzeptiert werden, aber wenn Sie eine unvollkommene Vergangenheit haben, wird nicht Sie für Ihre Mühe belohnt werden.
Das DoD nicht angeben, was jemanden daran hindern bezahlt würde – ob ein Verbrechen macht dich nicht automatisch berechtigt, oder etwaiger Vorstrafen oder speziell eine Geschichte von Cyber-Kriminalität und So weiter. Während die Website angibt, dass diese Details "vorab an die Teilnehmer mitgeteilt werden", haben sie nicht tatsächlich veröffentlicht wurde. Das DoD lehnte eine Stellungnahme ab, sondern mich darauf ausgerichtet, das Office of Personnel Management-FAQ-Seite.
Ich weiß nicht, warum wer vermutet sie Hintergrund fehl überprüfen stören würde einreichen ein Bug Bounty, die sie absichtlich ausgeschlossen sind von profitiert. Vielleicht gibt es mehr extrem patriotische Ex-Cons Hacker draußen, nur warten auf ihre Chance, dienen Amerika kostenlos, als ich mir vorstellen kann. (Ich kann null vorstellen.)
Das DoD weiß wahrscheinlich, dass einige Security-Experten haben kriminelle Geschichten und will auf jeden Fall von ihrem Wissen profitieren. Es ist davon auszugehen, dass diese Leute freiwillig wird trotz immer auf die Belohnung stiffed teilnehmen noch bizarr. Und soviel wie ich eine gute Honeypot-Verschwörung Liebe, würde nicht das Pentagon eine Gesamtsumme von $150.000 als einen Weg zur ruchlosen Hacker überlisten baumeln. Das ist wie der Versuch, fangen fliegt mit einem Molekül des Honigs.
"Das Pentagon zu hacken" hat einen großen Namen, aber es ist eine kleine pilot-Programm. Es ist fast einen vielversprechenden Anfang zu einer größeren Initiative, außen Talente um US-Cyber-Sicherheit besser anzuziehen. Aber wie die meisten digitalen Initiativen der Regierung, ist es fehlerhaft und nur irgendwie komisch mehr als alles andere.