美国政府一贯容不下黑客。事实就是如此。根据《计算机欺诈及滥用法案》,攻击受保护的系统,甚至揭露其漏洞,都是违法的;美国司法部(DoJ)也多次站出来表示,将会严格执行该法案。然而,过去18个月里,国防部(DoD)一项名为“黑掉五角大楼”的计划,为修正这一偏见带来了一线曙光。
政府为时甚久的防御姿态,在理论上是说得通的——太多重要秘密要保守了,但实际上,很多安全专家一直批判政府这是误解了网络安全的运作机制。研究人员和关注安全的公民无法揭露自己发现的漏洞,才会导致政府(或任意机构)更不安全。
于是,随着一系列政府机构数据泄露事件的发生,包括毁灭性的人事管理局(OPM)黑客事件,国防部国防数字服务小组(DDS)、国防部长办公室网络策略小组,还有时任国防部长阿什·卡特,看到了通过引入漏洞奖励计划来刺激改变的可能性。
DDS产品与技术主管迈克尔·钟称:“国防部有一套渗透测试和自身漏洞评估的框架,但处在联邦政府限制之内。我们的直觉是,引入私营产业操作,会暴露出更多之前没有被发现的漏洞。”
黑了政府
在漏洞奖励承办公司HackerOne和DoJ的配合下,2016年4月16日,DDS启动了试验性的“黑掉国防部”漏洞奖励项目。24天的时间内,这个首度由联邦机构举行的漏洞奖励项目上,数十个预先选出的安全研究员,在特定公开的DoD网站上找出了各种漏洞。该部门最终解决了138个不同漏洞,向58名黑客发出了数万美元奖金。一名黑客因为报告了多个漏洞,总共获得了1.5万美元奖金。
攻击模拟与修复企业Phobos Group创始人丹·腾特勒称:“HackerOne和国防部所做的,是魔法般的壮举。直到最近,政府阻止美国人民黑他们的方式,基本上是威胁说‘只要你尝试黑政府,反恐直升机就会在你家屋顶盘旋’。然后,有朝一日,我居然能跑机场去暴力破解各种国防部主机而不用担心被抓。真爽。”腾特勒也是首届“黑掉国防部”漏洞奖励的贡献者,但选择放弃奖金。
为跟进“黑掉国防部”的成功,去年11月,DoD又启动了另一个漏洞奖励——“黑掉陆军”,用以评估面向公众的陆军兵员招募网站。该项目涉及数百名黑客,发现了100多个漏洞,共放出10万美元左右的奖金。
“黑掉国防部”之后,DoD发现,限时漏洞奖励项目过后,数天乃至数周时间里漏洞仍在缓慢流淌。于是,政府宣布了一项无限期漏洞披露政策(VDP),没有奖金,但允许人们随时提交DoD公开网站及Web应用相关的漏洞。
此后一年时间里,约有650人提交了近3000个有效漏洞。而在1年前,他们的这种行为还属于违法的。
HackerOne首席技术官阿列克斯·莱斯称:“VDP真的以一种我们刚启动时谁都没想到的方式,开启了全新的价值提供。这是一种学习。DoD终于认识到,即便有人仍在研究什么,他们也没有任何合法渠道可以通告政府。”
“黑掉空军”随之而来,在5月底,为207个漏洞发出13万美元奖金。目前为止,通过漏洞奖励和VDP,DoD找出并修复了其系统中的数千个漏洞,还有100多个高危漏洞。其中包含远程代码执行漏洞、SQL代码注入漏洞和各种身份验证防护措施绕过方法。
担任DDS产品与技术主管的钟表示:“过去12个月里,我们学到了很多,我们真的到了一个量变到质变的临界点,如今我们收到很多对DoD漏洞奖励的请求和兴趣。我们正试图抛弃戴墨镜穿连帽衫在地下室入侵系统的黑客既定印象,尝试建立白帽黑客人设。这确实是思维方式的转变。”
开放
该新确立的黑客接受度已延伸开来。去年,DoD还通过渗透测试公司Synack,对更多敏感系统推行了几个不公开的漏洞奖励项目。该公司与DoD签署了内部平台评估的合约。除国防部外,美国总务署和国土安全部(DHS)也在开展漏洞奖励。钟主管最终想要让DoD每月举办2个漏洞奖励。类似的,去年负责陆军首个漏洞奖励的爱德华·卡顿中将表示,陆军准备每季度举办1次漏洞奖励,评估各种各样的面向公众系统。
不过,“黑掉国防部”如今在DoD的势头,也伴随着过去18个月里的困难与挣扎。最初的计划本身就要求有难得的理念革新。“我们最先启动‘黑掉国防部’项目时,真的是感觉毫无成功希望。黑进国防部这个创意,吓到了很多人。”
DDS内部对该项目的最初支持者之一,丽莎·维斯维尔,事实上就是DDS的“体制黑客”。
DoD现有的数字国防人员和承包商也表达了对政府漏洞奖励项目的怀疑态度。“刚开始的时候,在某些官员、渗透测试员和承包商那里受到了一些阻力。但他们知道这里面是有使命的。这项工作对国家安全的重要性,再怎么强调都不为过。”
即便在首个漏洞奖励项目成功之后,DoD内部对再行漏洞奖励项目的怀疑也是真实存在的。当然,陆军有模拟战斗和军事演习,用以训练改进其战术,发现战术战略漏洞。但卡顿中将称,让人们接受同样的概念能应用在网络空间是需要过程的。
黑进国防部这个创意,吓到了很多人。
卡顿中将称:“我认同这种方式。我觉得这对政府有好处。有些漏洞,如果攻击者利用到底,会给我们造成严重后果。而有了漏洞奖励项目,明显会引起对这些风险的广泛关注。漏洞奖励项目的规则已经很成熟了,我们可以充分了解这些风险,然后让陆军高层更能控制此类项目。”
漏洞奖励自身的执行过程也存在一些困难。曾参与过“黑掉国防部”的研究员腾特勒称,首先是漏洞奖励范围确立的问题,得防止参与者提交的漏洞触及DoD不希望他们挖掘的系统。
腾特勒说:“我不能代表每个人,但跟我共事的人也这么说,这毫无意义。我们都已经深入他们的系统了,然后提交时又说我们做的超出了范围。显然,有4或6台真实Web主机是被允许的,我想,如果从一开始就囊括进来会更有帮助。不过,我也注意到,随着时间进程,紧张情绪在减退。去年,他们进步了很多。”
修复进场
如果只有漏洞奖励和漏洞披露过程,那也走不了多远。必须在黑客发现漏洞之后,切实地把那大堆的漏洞都给修复了。建立有效修复过程需要大量时间和资源,这也是钟和卡顿都证实了的。腾特勒指出,他在首个“黑掉国防部”漏洞奖励项目中发现的一个漏洞,就花了DoD几个月的时间来解决。其中有部分原因在于该漏洞是奖励项目范围之外的,而且确实难以确定何种提交方式最佳。
不过,HackerOne的莱斯称,他被DoD这些年建立的基础设施震撼了。“我们所承办的项目中,他们的修复时间远少于平均修复时间。而且,奖励项目结束后,他们在极为紧张的时间里就解决了所有问题。有些私营公司甚至在1年之后都还任漏洞横行。”
鉴于过去几年政府机构频频发生的各种数据泄露事件,从OPM到很不光彩的国防部自有非保密邮件系统被黑事件,“黑掉国防部”本有可能仅仅一场作秀,让DoD看起来跟上了时代潮流。但其对安全反馈的更加开放,表现出DoD有可能真正在政府中推行这种方式,而不是很快就关停漏洞奖励项目。面对根深蒂固的阻力,确实没什么保证,但考虑到直到最近这一切看起来都不太可能,“黑掉国防部”第一年的成就就很显著了。
莱斯称:“公司出面联合法律顾问举办漏洞奖励是一码事,出台了《计算机欺诈与滥用法案》的机构也公开这么做就完全是另一码事了,更何况这机构此前还敌视安全研究员。DoD联合DoJ说出‘黑客也能做好事’的意义,是绝无仅有的。”
相关阅读
Hackerone:漏洞众测的未来会生机勃勃
美国防部启动最高漏洞奖励计划:“黑入空军”
继“黑掉五角大楼”之后 美军启动“黑掉陆军”众测项目
