主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

美国国防部邀请三家众测平台共同参与「攻破五角大楼」计划
2018-10-30 18:00:44

2016年3月,美国国防部宣布了一则消息:邀请数千名经过审核的黑客参与五角大楼漏洞奖励计划,名为“Hack the Pentagon”。

(对此FreeBuf也做过相关介绍,详情请见:传送门

14569843556979 (1).png

最初这一举措是效仿微软、谷歌这些商业公司的漏洞奖励计划,目的在于通过实地进攻的方式找到国防部系统存在的漏洞,当时的国防部长Ash Cater认为,这是一个“绝佳的学习机会”,并表示“我们不能只是继续我们的老路。世界变化太快了,我们的对手变化也太快了。”

漏洞奖励计划初见成效

当时的项目邀请了HackerOne与Synack两个知名黑客组织作为托管漏洞奖励供应商,这一项目的出现成为了美国首个面向外界黑客求帮助的平台。计划执行了两年多,美国国防部似乎尝到了甜头,决定在原有的计划上做一些“拓展”。

最近,美国国防部宣布,将扩大原有的漏洞奖励计划,不仅要将赏金计划持续下去,还将继续深入这种众包安全工作。一纸为期三年,3400万美元的新合约就此出炉,并且将原有的两个合作方扩展到了三个:新增了Bugcrowd。

该合约是一份“不限时间、不限数量”的合约,针对政府各部门的各类系统、软硬件、应用进行详细的测试。

在漏洞奖励计划执行的两年多以来,作为“赏金猎人”的黑客们,先后发现了超过5000个各类漏洞,并且发起了6次漏洞挑战计划:“黑进五角大楼”、“黑掉海军陆战队”、“黑掉陆军”、“黑掉空军”等等。在挖洞这种事情上,黑客们可谓是竭尽全力,当然,政府这边也不吝啬,累计已送出了超过300000美元的奖励。

15238497907933.jpg

原本两个水火不相容的势力,能够通力合作,也算是一个皆大欢喜的结局。(关于打造漏洞奖励计划,请见:传送门2

以己之矛,攻彼之盾

在如今的网络世界中,网络安全问题大众化已非常重要,因为世界上每一个系统都有受到攻击的可能,并且在安全方面,我们技术、人才的缺口都非常大。

Bugcrowd的首席执行官Ashish Gupta认为:虽然我们无法控制我们的对手,但是我们可以控制我们自己。网络安全的缺口非常大,在这个背景下,合理的利用黑客资源,实行众包安全的业务并无不妥。这一举措也给黑客群体提供了大量的工作机会。因此,当前最需要关注的,是在没有被攻击之前,发现漏洞在哪里以及怎么解决它。并且,使用黑客的技术来防黑客,远比我们自身毫无目的测试要有效的多。

在新合约发布的同时,政府还表示在第一年内至少会有8次限时奖励计划和5次持续挑战计划,每个项目持续三个月到一年不等,时间也有可能出现重合。目前,奖励金额尚未公布。

同时,国防部表示,现在美国军方所使用的各种系统,包括武器、服务等,比以往任何时候都更依赖于计算机和互联网,因此会成为众多网络攻击的目标也不足为奇,网络安全的重要性对他们不言而喻。国防部已经将防护的重点扩展到了互联网之外的物理系统、软硬件等方面。尽管在过去的几年中,五角大楼曝出了不少负面新闻,但政府也已通过该计划做出了相当大的改善,并且会在将来持续增加测试的范围和深度。

微信图片_20181030175923.png

总有人认为,黑客生来邪恶,存在即是为了犯罪,然而,漏洞奖励计划成功的为广大黑客群体打造了一副“侠盗罗宾汉”的形象,如果连国家政府、机要部门都能够抛开成见,成为众测计划的施行者,那么对于广大企业、组织或个人而言自然也可以。

政府机构所代表的往往是这个世界上最为安全、缜密的防御系统,但依然被挖出了数千个漏洞,其他领域,可谓是细思极恐。

该来的总会来,没有绝对安全的系统,但是目前来说,漏洞奖励计划已然是互联网发展迈出的一大步。

*来源:threatpost,本文作者:Karunesh91,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞奖励计划
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦