1400名黑客攻擊五角大樓兩個月 令美國防部嘗到甜頭
文/牛帥
道高一尺,魔高一丈。隨著萬物互聯序幕的拉開,安全漏洞風險如影相隨,安全能力建設形勢更趨嚴峻。「白帽黑客」作為維護網路安全的重要組成力量,其特殊性正在得到越來越多的重視。社會需要給「白帽黑客」信任和展示能力的機會,為其設定行為邊界,並給出相應激勵,否則「白帽黑客」只不過是一個帶有浪漫主義色彩的稱呼而已。當前,美國政府、企業和相關機構正在積極探索,以期為他們提供「光明大道」,通過一套較為完善的體系,正確引導和激勵「白帽黑客」釋放正能量。
實施「賞金計劃」。一直以來,美政府對獎勵漏洞發現者不感興趣,對曝光的系統漏洞反應較為遲緩。然而,安全風險日趨複雜,獨自應對難以為繼,政府對黑客看法在不斷改變。努力探索保障網路安全的新方法,積極為漏洞的提交廣開言路是大勢所趨。2016年3月到5月,美國防部發起名為「黑掉五角大樓」競賽項目,設置超過15萬美元獎勵吸引本國黑客向其信息系統發起攻擊。該項目取得巨大成功,兩個月的競賽項目共吸引1400名黑客參與,發現的漏洞多達138個。若通過外部商業安全公司發掘同等數量和質量的漏洞,政府將花費超過100萬美元。防長卡特對結果非常滿意,國防部認為演練有利於「發現漏洞並制定保護五角大樓網路系統的應對措施」。此次政府部門效仿商業公司獎勵「白帽黑客」的行為具有里程碑意義,為未來與「白帽黑客」建立長期信任和合作奠定了基礎。國防部嘗到甜頭後,宣布發展該項目為永久性項目,擴大更多國防部系統和網路加入測試。
除政府外,IT公司也積極行動,轉變思路。過去很長一段時間,美國大公司並不希望自身產品被曝光存在漏洞,有的公司甚至要求「白帽黑客」刪除相關漏洞信息。其一,公司往往懷疑「白帽黑客」的好意,認為是在索要報酬。其二,若不及時「打補丁」,會遭遇針對該漏洞的頻繁攻擊。其三,擔心影響企業聲譽,曾有公司在產品漏洞曝光後股價暴跌。隨著企業對產品安全意識的增強,對「白帽黑客」提供的漏洞信息需求迅速上升,企業會直接對「白帽黑客」送出獎勵。谷歌、雅虎、微軟等眾多IT巨頭設置本公司的漏洞獎勵計劃和安全響應中心,鼓勵「白帽黑客」測試其系統。例如「臉譜」網建立了針對自己產品平台的漏洞提交和獎勵頁面,充分尊重黑客的隱私權和知情權並提供不少於500美元的獎勵。谷歌設立獎勵計劃,為找到安卓(Android)系統安全漏洞的黑客提供最高20萬美元的獎金。
提供專業場所。普通企業一般不會專門設置安全部門或漏洞獎勵項目,為有效對接企業需求和社會資源,「眾測」模式應運而生。「眾測」是一種由廠商提供產品和獎金,漏洞平台組織黑客為其尋找安全漏洞並分配報酬的生產模式。廠商在降低運營成本的同時,也充分調動了「白帽黑客」勞動的積極性。如美國舊金山的「HackerOne」漏洞平台吸引了來自150個國家的3000多名黑客註冊,為包括雅虎、優步、推特在內的超過500家公司提供漏洞測試服務。擁有強大號召力的「HackerOne」宣稱77%的公司能夠在24小時之內利用該平台找到安全漏洞,目前已經修復近四萬個漏洞。「白帽黑客」註冊後提交漏洞信息,「HackerOne」通知公司進行修復廠商對漏洞有效性、嚴重性和影響範圍做出評價,在漏洞未被解決之前,漏洞信息是加密的,甚至平台也無權查看這些信息,充分保護企業和「白帽黑客」的權益。為吸引和鼓勵「白帽黑客」,「HackerOne」將漏洞獎勵金額下限設置為100美元,並為高危漏洞提供獎勵金額參考,最高漏洞獎勵可達3萬美元。
舉辦「武林大會」。黑客大會是黑客文化交流的嘉年華,來自全球各地的技術大咖齊聚一堂,公開展示最新研究發現。如久負盛名的黑帽大會(BlackHat)作為全球頂尖的安全技術會議,是信息安全界每一位研究者的夢想舞台,會議內容包括前沿技術培訓,黑客安全團隊講演、公司宣講等。RSA安全會議每年吸引數萬人蔘會,幾乎所有安全研究人員都會參與其中,展示研究項目,研究行業熱點問題。此外,CanSecWest、DEFCON、Qualcomm Mobile Security Summit、HITB(hack in the box)、POC (Power of community)、HITCON 、CodeBlue 等側重點各不相同的會議更是多點開花,「白帽黑客」參與度空前高漲。
幫助驗明正身。去年11月,美國防部制定了《漏洞披露政策》,為「白帽黑客」們提供政策安全保障。該政策允許自由安全研究人員通過合法途徑披露國防部面向公眾使用的信息系統存在的任何漏洞。該政策指出只要符合政策的限制和規定,將不會對黑客發起執法和訴訟活動,並可以為「白帽黑客」提供保護和證明。此外,美國防部高級研究計劃局(DARPA)的「Improv」項目和網路挑戰賽,也正在積極發掘網路漏洞和網羅全球優秀的「白帽黑客」。近年來,美國執法部門已經開始嘗試直接從黑客大會現場物色黑客提供技術或為之效力。
(作者單位:中國現代國際關係研究院信息與社會發展研究所)
※要扛不住了!——英國脫歐後遺症提前發作,直接波及300萬人
※特朗普又推新版「旅行限令」,真能擋住「壞蛋」么?
※被村上春樹打臉,日本右翼急了
※「後西方」時代的正確玩法?不是「去西方」
TAG:光明天下眼 |
※俄國防部被打臉:美軍59枚戰斧有58枚命中44個目標
※黑客攻擊五角大樓 美國國防部花15萬獎金邀請攻擊
※打造20萬世界最大山地軍!印度國防部長:現在不是1962年了
※1969年3月2日蘇軍侵入珍寶島我防部隊被迫還擊
※BAE與美國防部簽署5億多美元大單 為印度提供145門M777榴彈炮
※建軍90年!2017年中國是否有大規模閱兵?國防部回應
※德國國防部:將加大擴軍力度 到2024年增兵兩萬人
※俄國防部簽署1700億的大單 首次為陸軍採購這款戰車
※美國防部分析人士 F 35戰機存在275項缺陷
※2016年俄羅斯國防部圖-154飛機空難,真相竟然是歐美國家的巨大陰謀?
※8132100386:特朗普保鏢泄露美國防部長手機號
※2015年美國國防部選出的軍事攝影比賽中最優秀的25張照片
※100噸客機墜地爆炸 總統、國防部長被一窩端 30名高官喪命
※美國防部做了6.5萬億美元假賬:約中國GDP一半
※國防部:陸軍將由18個集團軍調整為13個
※1955年他中將,1988年升上將,曾血戰上甘嶺官至國防部長
※中俄海軍崛起迫使美國防部索要5000億美元打造新艦隊
※俄軍就是厲害!俄國防部:俄軍兩月殲滅2000IS,坦克20輛
※中國10個國防部長!看到最後一個驚呆了!