编者按
美国防部已经接纳利用白帽黑客发现军事网络漏洞的理念,即鼓励军队外部人员在国防部庞大的可公开访问的信息网络和系统生态系统中发现漏洞。
美国防部网络犯罪中心(DC3)近日宣布其漏洞披露计划(VDP)已经处理了45000份报告。DC3表示,自VDP启动以来,报告的25762个缺陷被认为是“可操作的”,需要进行某种补救。VDP充当了美国防部和全球道德黑客社区间的桥梁。通过VDP,研究人员提交的漏洞报告将经过审查和验证,并提交给联合部队总部-国防部信息网络(JFHQ-DODIN),由JFHQ-DODIN发布要求系统所有者进行补救的任务命令,在漏洞得到修复并得到再次验证后即可终止此流程,从而形成漏洞发现、验证和修复的完整闭环。
虽然机密系统仍未对外开放,但美国防部不断向道德黑客扩大“攻击面”。除面向公众的网站和应用程序外,白帽黑客还获准搜索所有可公开访问的美国防部信息系统,包括数据库、网络、物联网设备和工业控制系统。DC3希望通过研究界和学术界的新合作伙伴关系来提高VDP的可扩展性,并有可能扩大最近证明成功的两个试点计划,包括“国防工业基础漏洞披露计划”(DIB-VDP)和“黑掉美国”漏洞赏金挑战赛。
奇安网情局编译有关情况,供读者参考。
美国政府最新发布的国家网络战略呼吁跨所有技术类型和领域“协调漏洞披露”,以帮助收集和共享有关全国软件、硬件和系统缺陷的信息。
这一呼吁标志着一种做法演变的最新一步,这种做法在美国政府或最不可能的美国防部获得了早期的认可。大约七年前,以官僚主义和神秘著称的美国防部接受了这样一种想法,即应该鼓励部门外的人员在其庞大的可公开访问的信息网络和系统生态系统中发现漏洞。
此后,全球网络安全研究人员社区反响热烈。上周,美国防部网络犯罪中心(DC3)宣布其漏洞披露计划(VDP)已经处理了45000份报告,并且这一数字随着研究人员被鼓励不断找出漏洞有望继续增长。
DC3的VDP主任梅丽莎·韦斯表示,“我们无法独自完成。我的意思是,不可能面面俱到。”
2016年美国防部首个名为“黑掉五角大楼”的漏洞赏金计划取得了成功,这是时任美国防部长阿什顿·卡特将商业软件最佳实践引入国防部的更广泛推动的一部分。得益于卡特的全力支持,最初的比赛在24天内在美国防部的一些公共网站上发现了近140个独特的安全漏洞,并发放了约100000美元奖金。
然而,这一活动在激发了包括美国土安全部在内的武装部队和民用机构的多次悬赏的同时也引发了新的问题,即谁将确保漏洞得到修复或解决任何新出现的漏洞,例如通过以前未知的零日攻击。
美国防部时任国防数字服务机构创始主任克里斯·林奇表示,“我们并没有真正能够做到这一点的机制,因此,有了这个想法并实施了‘看什么,说什么’的系统,VDP就变成了这样。”美国防数字服务机构与漏洞赏金平台HackerOne共同举办了此次活动。
目前,一旦提交概念验证并根据指标(包括美国家标准与技术研究所国家漏洞数据库)进行检查,联合部队总部-国防部信息网络(JFHQ-DODIN)就会发布任务命令,要求系统所有者进行补救。
吸引黑客
直到今天,机密系统仍然是禁区。但美国五角大楼给道德黑客的“攻击面”继续扩大。
2021年,美国五角大楼领导人扩大了范围,披露计划得到了大规模升级。除了面向公众的网站和应用程序外,白帽黑客还获准搜索所有可公开访问的国防部信息系统,包括数据库、网络、物联网(IoT)设备和工业控制系统。
梅丽莎·韦斯表示,“基本上,我们一夜之间从2400台增加到大约2400万台。然后COVID出现了。你把世界上所有黑客都带走,然后把他们锁在他们的住所里。你猜他们要干什么?”
报告提交量猛增。梅丽莎·韦斯表示,DC3从平均每月处理300份漏洞报告到2020财年增加到900甚至1200份,到2021财年每月处理2000份。此后,这一数字已回落至新冠疫情前的水平。
在本月早些时候的年度报告中,DC3表示,自VDP启动以来,报告的25762个缺陷被认为是“可操作的”,需要进行某种补救。
白帽思维
今天,VDP充当了保守的美国防部和全球道德黑客社区之间的桥梁。
与漏洞赏金活动不同,该计划不支付现金奖励。相反,DC3旨在通过认可和宣传黑客的发现,通过推文或在根据通用漏洞评分系统进行评分时授予月度报告或年度报告的荣誉,从而为研究人员提供可信度。首先,2022年的奖项颁给了一位美国人,他收到了一个礼包,其中包括一件带有该计划徽标的运动衫和五角大楼的其他小物品。第一年的冠军生活在乌克兰,而之前的其他冠军则来自科索沃和罗马。
2022年8月月度黑客、印度大学生苏丹舒•拉吉巴尔表示,他更喜欢漏洞赏金活动的现金奖励,但他也很欣赏通过VDP安全报告漏洞的能力。他表示,一些曾经因污损美国防部网站而吸引关注的黑客现在向官方计划提交漏洞。
苏丹舒•拉吉巴尔表示,“他们的团队成熟且非常专业,了解所报告错误的影响。总的来说,与他们一起工作是一次很棒的经历。你不需要任何学位或任何资格,你所需要的只是黑客思维和对知识永无止境的渴望。”
着眼扩张
梅丽莎·韦斯表示,DC3希望通过研究界和学术界的新合作伙伴关系来提高VDP的“可扩展性”,并有可能扩大最近证明成功的两个试点计划。
第一个试点是为期一年的自愿活动“国防工业基础漏洞披露计划”(DIB-VDP),清理了属于美国国防工业基础(DIB)300000多个承包商的一小部分公共网络,并发现了超过400个缺陷。DIB是外国黑客最喜欢窃取美国国家安全机密和知识产权的目标。
梅丽莎·韦斯表示,“我认为有真正强有力的指标表明,我们将看到此类计划或试点2.0的复苏。”
第二个试点是HackerOne在VDP的赞助下举办的“黑掉美国”漏洞赏金挑战赛,该活动见证了黑客深入美国防部网络。
梅丽莎·韦斯表示,“VDP是一个定时过程,只有第一个启动它并将其提交到实际中的人才能获得荣誉,所以你不能坐视不理。”相比之下,传统的漏洞赏金计划“非常有针对性,而且只限受邀。在VDP和漏洞赏金计划中,你所面对的人群是截然不同的,但我们可以看到将这两者结合起来的好处。”
与此同时,其他机构(例如网络安全和基础设施安全局)、州和外国政府持续询问DC3有关如何设置自己的项目和消除网络缺陷。
克里斯·林奇对VDP的持续时间和在华盛顿及其他地区的影响感到惊奇。他表示,“这太棒了,看到VDP腾飞、持续的获得资金和支持并取得成功,在一天结束时这只是一个提醒,你知道的这个概念,通过默默无闻来确保安全并逃避周围的漏洞和弱点,这不是正确的方法。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。