美國政府一(yī)貫容不下(xià)黑客。事實就是如此。根據《計算機欺詐及濫用法案》,攻擊受保護的系統,甚至揭露其漏洞,都是違法的;美國司法部(DoJ)也多次站出來表示,将會嚴格執行該法案。然而,過去(qù)18個月裏,國防部(DoD)一(yī)項名爲“黑掉五角大(dà)樓”的計劃,爲修正這一(yī)偏見帶來了一(yī)線曙光。
政府爲時甚久的防禦姿态,在理論上是說得通的——太多重要秘密要保守了,但實際上,很多安全專家一(yī)直批判政府這是誤解了網絡安全的運作機制。研究人員(yuán)和關注安全的公民無法揭露自己發現的漏洞,才會導緻政府(或任意機構)更不安全。
于是,随着一(yī)系列政府機構數據洩露事件的發生(shēng),包括毀滅性的人事管理局(OPM)黑客事件,國防部國防數字服務小(xiǎo)組(DDS)、國防部長辦公室網絡策略小(xiǎo)組,還有時任國防部長阿什·卡特,看到了通過引入漏洞獎勵計劃來刺激改變的可能性。
DDS産品與技術主管邁克爾·鍾稱:“國防部有一(yī)套滲透測試和自身漏洞評估的框架,但處在聯邦政府限制之内。我(wǒ)們的直覺是,引入私營産業操作,會暴露出更多之前沒有被發現的漏洞。”
黑了政府
在漏洞獎勵承辦公司HackerOne和DoJ的配合下(xià),2016年4月16日,DDS啓動了試驗性的“黑掉國防部”漏洞獎勵項目。24天的時間内,這個首度由聯邦機構舉行的漏洞獎勵項目上,數十個預先選出的安全研究員(yuán),在特定公開(kāi)的DoD網站上找出了各種漏洞。該部門最終解決了138個不同漏洞,向58名黑客發出了數萬美元獎金。一(yī)名黑客因爲報告了多個漏洞,總共獲得了1.5萬美元獎金。
攻擊模拟與修複企業Phobos Group創始人丹·騰特勒稱:“HackerOne和國防部所做的,是魔法般的壯舉。直到最近,政府阻止美國人民黑他們的方式,基本上是威脅說‘隻要你嘗試黑政府,反恐直升機就會在你家屋頂盤旋’。然後,有朝一(yī)日,我(wǒ)居然能跑機場去(qù)暴力破解各種國防部主機而不用擔心被抓。真爽。”騰特勒也是首屆“黑掉國防部”漏洞獎勵的貢獻者,但選擇放(fàng)棄獎金。
爲跟進“黑掉國防部”的成功,去(qù)年11月,DoD又(yòu)啓動了另一(yī)個漏洞獎勵——“黑掉陸軍”,用以評估面向公衆的陸軍兵員(yuán)招募網站。該項目涉及數百名黑客,發現了100多個漏洞,共放(fàng)出10萬美元左右的獎金。
“黑掉國防部”之後,DoD發現,限時漏洞獎勵項目過後,數天乃至數周時間裏漏洞仍在緩慢(màn)流淌。于是,政府宣布了一(yī)項無限期漏洞披露政策(VDP),沒有獎金,但允許人們随時提交DoD公開(kāi)網站及Web應用相關的漏洞。
此後一(yī)年時間裏,約有650人提交了近3000個有效漏洞。而在1年前,他們的這種行爲還屬于違法的。
HackerOne首席技術官阿列克斯·萊斯稱:“VDP真的以一(yī)種我(wǒ)們剛啓動時誰都沒想到的方式,開(kāi)啓了全新的價值提供。這是一(yī)種學習。DoD終于認識到,即便有人仍在研究什麽,他們也沒有任何合法渠道可以通告政府。”
“黑掉空軍”随之而來,在5月底,爲207個漏洞發出13萬美元獎金。目前爲止,通過漏洞獎勵和VDP,DoD找出并修複了其系統中(zhōng)的數千個漏洞,還有100多個高危漏洞。其中(zhōng)包含遠程代碼執行漏洞、SQL代碼注入漏洞和各種身份驗證防護措施繞過方法。
擔任DDS産品與技術主管的鍾表示:“過去(qù)12個月裏,我(wǒ)們學到了很多,我(wǒ)們真的到了一(yī)個量變到質變的臨界點,如今我(wǒ)們收到很多對DoD漏洞獎勵的請求和興趣。我(wǒ)們正試圖抛棄戴墨鏡穿連帽衫在地下(xià)室入侵系統的黑客既定印象,嘗試建立白(bái)帽黑客人設。這确實是思維方式的轉變。”
開(kāi)放(fàng)
該新确立的黑客接受度已延伸開(kāi)來。去(qù)年,DoD還通過滲透測試公司Synack,對更多敏感系統推行了幾個不公開(kāi)的漏洞獎勵項目。該公司與DoD簽署了内部平台評估的合約。除國防部外(wài),美國總務署和國土安全部(DHS)也在開(kāi)展漏洞獎勵。鍾主管最終想要讓DoD每月舉辦2個漏洞獎勵。類似的,去(qù)年負責陸軍首個漏洞獎勵的愛德華·卡頓中(zhōng)将表示,陸軍準備每季度舉辦1次漏洞獎勵,評估各種各樣的面向公衆系統。
不過,“黑掉國防部”如今在DoD的勢頭,也伴随着過去(qù)18個月裏的困難與掙紮。最初的計劃本身就要求有難得的理念革新。“我(wǒ)們最先啓動‘黑掉國防部’項目時,真的是感覺毫無成功希望。黑進國防部這個創意,吓到了很多人。”
DDS内部對該項目的最初支持者之一(yī),麗莎·維斯維爾,事實上就是DDS的“體(tǐ)制黑客”。
DoD現有的數字國防人員(yuán)和承包商(shāng)也表達了對政府漏洞獎勵項目的懷疑态度。“剛開(kāi)始的時候,在某些官員(yuán)、滲透測試員(yuán)和承包商(shāng)那裏受到了一(yī)些阻力。但他們知(zhī)道這裏面是有使命的。這項工(gōng)作對國家安全的重要性,再怎麽強調都不爲過。”
即便在首個漏洞獎勵項目成功之後,DoD内部對再行漏洞獎勵項目的懷疑也是真實存在的。當然,陸軍有模拟戰鬥和軍事演習,用以訓練改進其戰術,發現戰術戰略漏洞。但卡頓中(zhōng)将稱,讓人們接受同樣的概念能應用在網絡空間是需要過程的。
黑進國防部這個創意,吓到了很多人。
卡頓中(zhōng)将稱:“我(wǒ)認同這種方式。我(wǒ)覺得這對政府有好處。有些漏洞,如果攻擊者利用到底,會給我(wǒ)們造成嚴重後果。而有了漏洞獎勵項目,明顯會引起對這些風險的廣泛關注。漏洞獎勵項目的規則已經很成熟了,我(wǒ)們可以充分(fēn)了解這些風險,然後讓陸軍高層更能控制此類項目。”
漏洞獎勵自身的執行過程也存在一(yī)些困難。曾參與過“黑掉國防部”的研究員(yuán)騰特勒稱,首先是漏洞獎勵範圍确立的問題,得防止參與者提交的漏洞觸及DoD不希望他們挖掘的系統。
騰特勒說:“我(wǒ)不能代表每個人,但跟我(wǒ)共事的人也這麽說,這毫無意義。我(wǒ)們都已經深入他們的系統了,然後提交時又(yòu)說我(wǒ)們做的超出了範圍。顯然,有4或6台真實Web主機是被允許的,我(wǒ)想,如果從一(yī)開(kāi)始就囊括進來會更有幫助。不過,我(wǒ)也注意到,随着時間進程,緊張情緒在減退。去(qù)年,他們進步了很多。”
修複進場
如果隻有漏洞獎勵和漏洞披露過程,那也走不了多遠。必須在黑客發現漏洞之後,切實地把那大(dà)堆的漏洞都給修複了。建立有效修複過程需要大(dà)量時間和資(zī)源,這也是鍾和卡頓都證實了的。騰特勒指出,他在首個“黑掉國防部”漏洞獎勵項目中(zhōng)發現的一(yī)個漏洞,就花了DoD幾個月的時間來解決。其中(zhōng)有部分(fēn)原因在于該漏洞是獎勵項目範圍之外(wài)的,而且确實難以确定何種提交方式最佳。
不過,HackerOne的萊斯稱,他被DoD這些年建立的基礎設施震撼了。“我(wǒ)們所承辦的項目中(zhōng),他們的修複時間遠少于平均修複時間。而且,獎勵項目結束後,他們在極爲緊張的時間裏就解決了所有問題。有些私營公司甚至在1年之後都還任漏洞橫行。”
鑒于過去(qù)幾年政府機構頻(pín)頻(pín)發生(shēng)的各種數據洩露事件,從OPM到很不光彩的國防部自有非保密郵件系統被黑事件,“黑掉國防部”本有可能僅僅一(yī)場作秀,讓DoD看起來跟上了時代潮流。但其對安全反饋的更加開(kāi)放(fàng),表現出DoD有可能真正在政府中(zhōng)推行這種方式,而不是很快就關停漏洞獎勵項目。面對根深蒂固的阻力,确實沒什麽保證,但考慮到直到最近這一(yī)切看起來都不太可能,“黑掉國防部”第一(yī)年的成就就很顯著了。
萊斯稱:“公司出面聯合法律顧問舉辦漏洞獎勵是一(yī)碼事,出台了《計算機欺詐與濫用法案》的機構也公開(kāi)這麽做就完全是另一(yī)碼事了,更何況這機構此前還敵視安全研究員(yuán)。DoD聯合DoJ說出‘黑客也能做好事’的意義,是絕無僅有的。”
上一(yī)篇:網絡安全行業人才困境:招人難,留人更難
下(xià)一(yī)篇:人工(gōng)智能:阻擋多階段魚叉式網絡釣魚攻擊的新希望