欢迎“黑进军队”:美国陆军推出漏洞赏金计划
在政治组织遭黑客入侵引起人们担忧之时,美国陆军比以往任何时候都更加需要黑客。
去年 12 月上旬,在浏览美国陆军一个面向公众的征兵网站时,一名黑客发现了一个漏洞,接着又有一个,直至他突然闯入了本应需要特殊访问凭据才能连接的美国国防部内网。在那个晚上,五角大楼的工作人员发疯一样互打电话,并考虑完全关掉被入侵的网络。
入侵事件是出人意料的,但更令人担心的事实是,这名黑客没有触发任何警报——国防部并不知道他已经进入内网,直至黑客自己报告了这件事。
发现漏洞的黑客正在参加美国陆军首次开放的漏洞赏金计划“Hack The Army”(黑进军队),该计划邀请安全研究人员一试身手,并向那些发现漏洞的人支付奖金。国防部的安全团队接受过专门培训,可以迅速对不明原因的网络流量做出反应。不过,该部门拥有 320 万名雇员,并不是所有人都知道有这么一项漏洞赏金计划正在进行,所以一些人的恐慌是可以理解的。美国陆军认可了这个漏洞,甚至对自家征兵网站被黑表示庆幸——这意味着,Hack The Army 漏洞赏金计划奏效了。
“坦白地说,我当时的反应是,‘好极了’。”美国陆军部长埃里克·范宁(Eric Fanning)解释说,“很多人对 Hack The Army 的第一反应是,‘你们为什么要邀请别人来黑自己?’好吧,我们每天都在被人黑,一天 24 小时不间断,而那些人可是不怀好意。所以,举行一场比赛,对参与者进行审核,并让他们把自己的发现告知给我们,这个想法非常好。如果他们没有找到漏洞,或者在某些情况下没有找到出乎我们意料的漏洞,那么我不认为这场比赛达到了我们的预期。”
漏洞赏金的创意据称起源于上世纪 90 年代中期的网景公司(Netscape),但莱斯进行了更进一步的回溯,他挖掘出 Hunter & Ready 公司在 1983 年打出的广告,其中邀请黑客为其 VRTX 操作系统查找漏洞,奖品是一辆大众甲壳虫汽车。广告语中写道:“找到一个虫,送你一辆甲壳虫”。
然而,目前还不清楚,在特朗普上台之后,国防部数字服务团队的这些计划将演变成什么样子。 由奥巴马任命的范宁将离开五角大楼,他的继任者是由特朗普任命的文森特·维奥拉(Vincent Viola),后者是拥有一支佛罗里达州曲棍球队的亿万富豪。鉴于情报部门做出的评估,即俄罗斯通过黑客活动干扰了美国大选,特朗普可能希望对黑客展示强硬手段,反对国防部正在进行当中的漏洞赏金计划。