freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

入侵美国空军:60人黑客小队拿下29万赏金的背后
  • 关注
入侵美国空军:60人黑客小队拿下29万赏金的背后
2020-04-21 11:22:27

 大家好,我是 零日情报局

本文首发于公众号 零日情报局,微信ID:lingriqingbaoju

 

昔日,世界头号黑客米特尼克,16岁入侵北美空中防务指挥部,攻进美国国防部、五角大楼网络系统,最终被FBI逮捕落得个五年牢狱之灾。

 

而在20多年后的今天,美国国防部(DOD)却反其道而行,将 “黑客入侵空军”、“黑客入侵五角大楼”、“黑客入侵陆军”等一系列激进活动,发展成了年年召开的重金悬赏式挑战赛。

 

时间改变了黑客,也改变了美国。今天,零日就跟大家聊聊美国国防部为何钟情自虐,不惜悬赏也要求黑客吊打自己的前因后果。

 

60人黑客小队入侵美国空军

 

前不久Forbes新闻披露称,去年10月23日至11月20日,美国空军发起了“黑客入侵空军(Hack The Air Force 4.0)”的特别活动。期间,专门组织了一个60人规模的黑客小队,连续不间断地对美空军虚拟数据中心发起了长达四周的网络攻击。

 

image001.jpg(美国空军在四周内被60名黑客入侵)

 

最终,在黑客唱主角的入侵行动中,从空军虚拟数据中心的云服务器和系统中发现了多达460个漏洞。堪称惨烈的战况,充分的满足了美国国防部的“自虐”需求,爽快地拿出了29万美元奖金以奖励黑客。

 

从表面看,美国空军在黑客面前“脆弱”的不堪一击。但从国防部的网络安全建设上来看,这460个安全漏洞和29万赏金,花得值。为啥?

 

发现就意味着修复,修复则代表着更安全。按照零日的推测来看,“黑客入侵空军”行动结束5个月才对外公布,说明这460个漏洞已修复完毕。惯会在网络安全领域玩自搏术的美国国防部,又一次精进的安全内功。

 

 

为筑安全自导自演黑客入侵

 

从“黑客入侵美国空军”不难看出,这就是美国国防部自导自演的一套攻防博弈。网军自殴难免误伤,可要是换成挖洞式的黑客攻击,那就是一本万利。为了全方位提升空军等多系统的网络防御力,国防部的“黑客入侵计划”可谓筹谋已久。

 

始于三年前的空军入侵挑战

 

“黑客入侵空军 4.0”始于2017年,发展至今已有三年时间。在首次入侵美国空军挑战活动中,来自澳大利亚、加拿大、新西兰和英国的300名黑客,经过层层身份审查把关,最终在针对空军网络的攻击活动中,拿下了207个有效漏洞,虽远低于此次发现的460个漏洞,但却第一次让美国空军尝到了补洞提升安全的甜头。

 

image003.png

(第一次黑客入侵空军行动)

 

多头并进的黑客入侵计划

 

在“黑客入侵空军”之前,还有“黑客入侵五角大楼”、“黑客入侵陆军”两大成功先例。严格来说“黑客入侵空军”正是以上活动的空军翻版。2016年,美国国防部国防数字服务(DDS)团队率先发起黑客入侵五角大楼漏洞奖励试点计划,并联合全球漏洞赏金平台HackerOne,负责黑客入侵活动的运营、规划与执行。这才有了五角大楼、陆军、空军多头并进的黑客入侵计划。

 

image004.jpg

(黑客入侵五角大楼计划)

image006.png

 

image007.png

(黑客入侵计划衍生活动)

 

比技术更重要的可信度

 

像多数国家对军人要求的绝对忠诚一样,在第一次“黑客入侵”挑战创立之初,美国国防部就把参赛技术人员的可信度放在了重要位置。首先,参加美国国防部“黑客入侵”计划的人员,主要来自美国、英国、加拿大、澳大利亚和新西兰,也就是常说的“五眼联盟”;其次,受邀人员身份必须经过层层背景调查。人的可信与安全,在美国国防部这里同样是比技术更重要的存在。


image009.jpg(可信黑客在Hack the Air Force 2.0 Bug赏金活动披露安全漏洞)

 

 

激进冒险计划背后是安全诉求

 

从打击黑客入侵到主动邀请黑客攻击,这是个十分激进冒险的计划,不过如果站在美国国防部的角度来看,“黑客入侵”系列计划的提出,的确有着让他们冒险的多重因素。

 

因素1:从源头发现未知威胁

 

网络攻击不可怕,可怕的是未知。而“黑客入侵空军”等一系列主动邀请黑客攻击活动的出现,可以说就是在源头上消灭未知。漏洞无可避免,可当可信黑客抢在攻击者之前发现并修复漏洞,则意味着一个“****”的提前清除,无疑是从源头上阻断未知威胁发生的有效手段。

 

image011.png(2016年Hack theArmy Bug赏金计划成果)

 

因素2:自攻自防升级安全屏障

 

在美国国防部组织可信黑客入侵多系统网络,联合平台广揽技术人员挖洞的努力下,国防部已累计成功修复12000个漏洞。相比于攻击发生时的危机应对,更为积极主动的自攻自防行动,可大幅度增强国防部各系统网络的安全屏障。

 

因素3:可控对抗环境下技术交流

 

技术升级的关键在交流与切磋,而美国国防部的“黑客入侵计划”,其实就是仿真对抗与可信环境下的“军民”技术博弈。美国国防部以漏洞赏金方式组织可信黑客批量持续的进攻,可进一步从黑客角度掌握攻击、渗透思路与技能,以此反哺网络安全建设。

 

image013.jpg(可信黑客与海军陆战队分享会)

 

 

零日反思

 

黑客的参与帮助美国国防部提升了网络安全实践的基础,相比于常规的网络安全排查,可信黑客下场攻防,带来的是基于实践层面的安全。

 

其中值得我们参考学习的,不仅是立足攻防实践升级安全,更是积极主动创造危机,排查安全短板的网络安全建设思路。

 

还记得开篇说的那个遭受牢狱之灾的头号黑客吗?他的全名叫做凯文·米特尼克,现如今他是FBI高级安全顾问,并开设了安全公司,成为了名副其实的网络安全守卫者。

 

 

零日情报局作品

微信公众号:lingriqingbaoju

如需转载,请后台留言

欢迎分享朋友圈

 

参考资料:

[1] Forbes《美国空军成功被60名黑客“入侵”》

[2] U.S.DS 《Hack the Pentagon》


后缀动图.gif

# 美国空军 # DoD # Hack The Air Force 4.0
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者