最初这一举措是效仿微软、谷歌这些商业公司的漏洞奖励计划,目的在于通过实地进攻的方式找到国防部系统存在的漏洞,当时的国防部长Ash Cater认为,这是一个“绝佳的学习机会”,并表示“我们不能只是继续我们的老路。世界变化太快了,我们的对手变化也太快了。”
漏洞奖励计划初见成效
当时的项目邀请了HackerOne与Synack两个知名黑客组织作为托管漏洞奖励供应商,这一项目的出现成为了美国首个面向外界黑客求帮助的平台。计划执行了两年多,美国国防部似乎尝到了甜头,决定在原有的计划上做一些“拓展”。
最近,美国国防部宣布,将扩大原有的漏洞奖励计划,不仅要将赏金计划持续下去,还将继续深入这种众包安全工作。一纸为期三年,3400万美元的新合约就此出炉,并且将原有的两个合作方扩展到了三个:新增了Bugcrowd。
该合约是一份“不限时间、不限数量”的合约,针对政府各部门的各类系统、软硬件、应用进行详细的测试。
在漏洞奖励计划执行的两年多以来,作为“赏金猎人”的黑客们,先后发现了超过5000个各类漏洞,并且发起了6次漏洞挑战计划:“黑进五角大楼”、“黑掉海军陆战队”、“黑掉陆军”、“黑掉空军”等等。在挖洞这种事情上,黑客们可谓是竭尽全力,当然,政府这边也不吝啬,累计已送出了超过300000美元的奖励。
原本两个水火不相容的势力,能够通力合作,也算是一个皆大欢喜的结局。(关于打造漏洞奖励计划,请见:传送门2)
以己之矛,攻彼之盾
在如今的网络世界中,网络安全问题大众化已非常重要,因为世界上每一个系统都有受到攻击的可能,并且在安全方面,我们技术、人才的缺口都非常大。
Bugcrowd的首席执行官Ashish Gupta认为:虽然我们无法控制我们的对手,但是我们可以控制我们自己。网络安全的缺口非常大,在这个背景下,合理的利用黑客资源,实行众包安全的业务并无不妥。这一举措也给黑客群体提供了大量的工作机会。因此,当前最需要关注的,是在没有被攻击之前,发现漏洞在哪里以及怎么解决它。并且,使用黑客的技术来防黑客,远比我们自身毫无目的测试要有效的多。
在新合约发布的同时,政府还表示在第一年内至少会有8次限时奖励计划和5次持续挑战计划,每个项目持续三个月到一年不等,时间也有可能出现重合。目前,奖励金额尚未公布。
同时,国防部表示,现在美国军方所使用的各种系统,包括武器、服务等,比以往任何时候都更依赖于计算机和互联网,因此会成为众多网络攻击的目标也不足为奇,网络安全的重要性对他们不言而喻。国防部已经将防护的重点扩展到了互联网之外的物理系统、软硬件等方面。尽管在过去的几年中,五角大楼曝出了不少负面新闻,但政府也已通过该计划做出了相当大的改善,并且会在将来持续增加测试的范围和深度。
总有人认为,黑客生来邪恶,存在即是为了犯罪,然而,漏洞奖励计划成功的为广大黑客群体打造了一副“侠盗罗宾汉”的形象,如果连国家政府、机要部门都能够抛开成见,成为众测计划的施行者,那么对于广大企业、组织或个人而言自然也可以。
政府机构所代表的往往是这个世界上最为安全、缜密的防御系统,但依然被挖出了数千个漏洞,其他领域,可谓是细思极恐。
该来的总会来,没有绝对安全的系统,但是目前来说,漏洞奖励计划已然是互联网发展迈出的一大步。