美国空军 “Hack The Air Force 2.0” 漏洞奖励项目在纽约地铁站拉开帷幕
翻译:360代码卫士团队
沉浸在节假日气氛中的纽约市充满魔力,而全球黑客一起合法入侵美国空军系统这件事让这种魔力加倍。
周六(12月9日),我们在纽约市直播了h1-212 黑客活动。现场直播黑客活动让安全团队和顶级道德黑客殊途同归:尽可能地找到尽可能多的漏洞。
下午2点左右,当冬天的第一场雪让纽约市变得白茫茫一片时,六名来自 Defense Media Activity (DMA,美国国防部下属机构)DMA公共网团队的成员和四名来自 Defense Digital Service (DDS, 美国国防部下属机构)的成员乘坐飞机抵达繁忙的富尔顿中心地铁站内的 WeWork 富尔顿中心。
Brett Buerhaus (ziot) 发现了一个美国空军必须亲自查看的问题。美国空军从Brett及其协作者 Mathias Karlsson (avlidienbrunn) 的身后探过头向里面张望着他们演示如何利用某个空军网站上的一个漏洞转移到美国司法部 (DoD) 的非机密网络中。
此刻,一名空军官员站在那里并告诉他们在自己的监督下继续深挖,看看到底能达到什么极限。DMA行动组公共网络主管 James Garrett 不久转过身,跟黑客握手并表示,“谢谢你们,如果没有你们,我们不会发现这个问题。”
Buerhaus 和 Karlsson 共获得 10,650美元的奖励,这是有史以来政府漏洞奖励计划颁发出的最大一笔单项奖励。
Buerhaus说,“我之前犯嘀咕,他们在多大程度上愿意跟我们一起找出问题并了解问题的影响程度有多大?大家认为政府是一种被封锁的状态,而且总是在背后处理问题。现在看到他们这么积极地和我们合作感觉很棒。这件事情让一切都焕然一新,而且很明显他们很在意跟我们一起合作来保护自己的利益。”
而这,不过是我们在2017年第四次现场黑客活动h1-212捕捉到的一个瞬间。这一活动也拉开了 “Hack the Air Force 2.0” 的帷幕。25名来自美国、加拿大、英国、瑞典、荷兰、比利时和拉脱维亚的7名平民黑客和7名美国空军军人汇聚一堂,在9个小时里一起奋战,共发现了55个漏洞。6名DMA团队成员支持了现场的修复工作。
从发现漏洞到首次响应的平均时长是25分钟,而且每次漏洞报告都在当天解决。空军总共支付26,883美元。
空军第24军副参谋长 Jonathan Joshua 上校表示,“他们让人印象深刻。找到漏洞后不久,黑客试图向另外一个黑客团队说明,但漏洞已被修复了。他们试图抓取截屏准备会后回顾,但由于系统已正常运转因此也无法实现。”
更让人欣喜的是,美国空军和DDS在活动后总结称,这才是开始。”Hack the Air Force 2.0” 挑战活动将一直持续到2018年1月1日而且向以下国家的所有公民或合法居民开放:美国、英国、加拿大、澳大利亚、新西兰、阿尔巴尼亚、比利时、保加利亚、克罗地亚、丹麦、爱沙尼亚、法国、德国、冰岛、意大利、拉脱维亚、立陶宛、荷兰、挪威、波兰、葡萄牙、斯洛文尼亚、西班牙、瑞典或土耳其。参与者必须具有美国纳税人识别号或社保号或雇主识别号或以上国家(除美国外)的有效护照号码。这让 “Hack the Air Force 2.0” 活动成为有史以来最开放的政府漏洞奖励计划。
跟首届 “Hack the Air Force” 挑战活动一样,美国军人有资格参赛但无法获得奖励。如果你有兴趣参与活动,可进行注册。如果你没有资格参赛但发现了有一些需要报告的问题,可报告给国防部。
美国空军的攻击面是最难破解的之一。通过邀请白帽黑客社区来找到不知名安全漏洞,美国空军让本已足够天才的网络安全团队的工作锦上添花。
美国空军首席信息安全官 Peter Kim 这样说,“入侵美国空军活动让我们有机会向外看并利用我们国家和合作伙伴国家的人才保护我们的国防安全。我们通过开放约300个面向大众的空军网站的方式大大扩展了首次挑战活动获得的巨大成功。这种合作伙伴形式的成本效益是无价的。”
“Hack the Air Force 2.0” 是迄今为止美国政府公开的第四个漏洞奖励挑战活动,它们都源自美国国防部下属团队DDS。2016年,第一个政府漏洞奖励计划“Hack the Pentagon (入侵五角大楼)”启动,之后是“Hack the Army (入侵美国陆军)”、第一届“Hack the Air Force (入侵美国空军)”和正在进行的国防部漏洞披露计划(VDP)。VDP活动鼓励黑客从所有的公开政府实体中找出漏洞。
美国空军第24军指挥官Christopher Weggeman 少将认为,“这是首次展示官方和私营以及商业部门、国际合作伙伴的联合进攻能力。这个计划不仅加强了合作伙伴关系,而且能让美国空军和美国国防部以外的最优秀和最聪明的头脑切磋学习。”
漏洞奖励挑战活动和正在进行的VDP活动仅仅启动一年后,美国国防部就已经解决了公开系统中存在的3000多个漏洞问题,而黑客已经通过努力获得30多万美元的奖励,这些都出乎意料而且让国防部节约数百万美元。
继续加油!黑得愉快!
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.hackerone.com/blog/Hacking-US-Air-Force-again-New-York-City-subway-station