美军悬赏黑客查找军用网络系统漏洞

  据美国军事嵌入式系统网报道,2016年11月,美国国防部和漏洞悬赏平台HackerOne共同发布一项名为“入侵陆军”(Hack the Army)的漏洞悬赏计划,给予成功入侵美国陆军网络系统的“白帽子”(意指正面黑客)高额奖励,采用邀请参与者的方式尝试渗透陆军在线资产和数据库。这是美国军方的第二项政府悬赏计划,此前还发布过“入侵国防部”(Hack the Pentagon)计划。此次“入侵陆军”计划招募500名黑客入侵美国陆军计算机系统。

  ▲2016年11月,美国国防部和漏洞悬赏平台HackerOne共同发布一项名为“入侵陆军”的漏洞悬赏计划,给予成功入侵美国陆军网络系统的“白帽子”高额奖励

  目前“入侵陆军”计划众测竞赛结果已经出炉。美国陆军总共收到了416份漏洞报告,其中118份确认为有效报告,给予发现漏洞的“白帽子”总计超过10万美元的奖金。美国陆军还分享了某些高危漏洞详情,比如研究人员发现陆军某网站上存在2个漏洞,攻击者可以利用其通过开放的代理服务,在无需身份验证的情况下访问国防部内部网站。

  “入侵陆军”计划旨在邀请美军“红队”和国防数字团队对其系统和网络所做的防护工作发起挑战。而挑战赛是由HackerOne参与的“黑客”们发动。本次“入侵”总共317人参与,据说仅5分钟时间就已经曝出了第一个漏洞。

  美国陆军部长埃里克•范宁在接受媒体采访时表示,设立这样的竞赛,核实参赛情况,投入到参与者发现的工作中,是件非常有意义的事。相比现如今科技世界发生的变化,美国陆军的行动还不够敏捷。全世界每天有大量的人尝试访问陆军的网站、数据和信息。陆军的网络团队经过了出色的训练,但仅靠他们的努力仍是不够的,因为“美国陆军每天都在遭受攻击”。

  美国国防部在2016年4月18日至5月12日举行了“入侵国防部”计划,美籍黑客可以参加并寻找国防部网站的漏洞,从而提升国家安全。美国国防部称,该计划推出后国防部网站已发现138个漏洞和颁发超过71200美元的奖金,下一步将会拓展计划,开放更多网络供专业人员测试。此前时任国防部长卡特表示,黑客已为国防部查找出100多个系统漏洞,但并未提及详细内容,只说计划成果远高于当初预期。卡特还表示,联邦政府应学习科技巨头,重金雇用黑客协助找出计算机漏洞,他认为这是一个极为成功的方式。

  显然从美国政府的这些行动来看,无论是“入侵国防部”还是“入侵陆军”,都仅仅是个开始。美国防部打算将其升级为永久计划,从而收集更多的网站漏洞报告。此外,任何人都可以参加,而且测试项目不再局限于5个网站,国防部的系统、网络、应用程序都可以成为入侵对象。美国防部官员称,国防部将会利用“入侵国防部”计划的成功,不断改善方法以确保国防部网络、系统和信息的安全。

分享: