白帽黑客與美國軍事網(wǎng)絡(luò)專家聯(lián)合組織了長達(dá)9小時(shí)的黑客馬拉松Bug賞金活動(dòng)——最新的空軍黑客入侵計(jì)劃H1-212。來自美國、加拿大、英國、瑞典、荷蘭、比利時(shí)以及拉脫維亞的25名超一流黑客，配合多位軍事網(wǎng)絡(luò)專家，再次滲透至美國空軍的關(guān)鍵網(wǎng)絡(luò)當(dāng)中，探尋各類可能給美軍300多個(gè)分支機(jī)構(gòu)的在線操作造成風(fēng)險(xiǎn)的安全漏洞。

網(wǎng)絡(luò)安全平臺(tái)HackerOne負(fù)責(zé)支撐這一活動(dòng)，并將從參與者中挑選出來自全球的50強(qiáng)。

H1-212賞金計(jì)劃成果

參賽者們?cè)诒荣愰_始的前30秒內(nèi)即發(fā)現(xiàn)了兩項(xiàng)安全漏洞，并在其后的9小時(shí)內(nèi)共發(fā)現(xiàn)55項(xiàng)安全漏洞，總計(jì)發(fā)出26883美元賞金。其中一項(xiàng)高危安全漏洞讓兩名黑客發(fā)現(xiàn)者直接獲得了10650美元的獎(jiǎng)金——這也是迄今為止美國政府所發(fā)出的最大一筆單獨(dú)Bug賞金。在賞金活動(dòng)之后的幾個(gè)星期內(nèi)，又有多位參與者先后報(bào)告了在H1-212活動(dòng)期間未被發(fā)現(xiàn)的相關(guān)安全漏洞。

美國空軍首席信息安全官彼得-金在一份聲明中指出，“此次Bug賞金活動(dòng)讓美軍大開眼界，美空軍以及伙伴國家的人才資源保衛(wèi)防御體系這種合作帶來了極為寶貴的成本效益。”

參與者如何評(píng)價(jià)此次活動(dòng)?第一屆挑戰(zhàn)賽的冠軍杰克-凱伯此次也參加了比賽，他曾以17歲年紀(jì)成為活動(dòng)中最年輕的黑客。凱伯在采訪中表示，像Hack the Air Force 2.0這樣的活動(dòng)能夠吸引來自世界各地的人們共同參與同一項(xiàng)目; 而除此之外，其還能夠?qū)崿F(xiàn)另一些特殊的收益。此次他與專家組進(jìn)行了交流，并感到這些“共享知識(shí)”使他受益匪淺，這些最終顯著提升了入侵速度。

美國空軍支付有史以來數(shù)額最高的政府bug賞金-E安全

凱伯表示，“在第一輪賞金計(jì)劃當(dāng)中，所有任務(wù)都通過網(wǎng)上完成，因此可能需要幾個(gè)小時(shí)甚至幾天時(shí)間才能得到空軍方面的回應(yīng)。在H1-212當(dāng)中，工作人員的反應(yīng)更為敏銳。而且由于能夠同這些工作人員進(jìn)行直接接觸，參與者也更有動(dòng)力去尋找與Bug有關(guān)的蛛絲馬跡。”

美空軍首屆Bug賞金計(jì)劃

美國空軍首個(gè)Bug懸賞計(jì)劃“黑進(jìn)空軍“(Hack the Air Force)”計(jì)劃于2017年6月結(jié)束。當(dāng)時(shí)，美國國防部邀請(qǐng)安全研究人員、軍人、“五眼”(美國、英國、加拿大、澳大利亞和新西蘭)情報(bào)聯(lián)盟白帽子黑客 “入侵”空軍網(wǎng)絡(luò)。272名白帽子黑客在空軍網(wǎng)絡(luò)中共發(fā)現(xiàn)207個(gè)有效漏洞，比國防部和美國陸軍多。

國防部“黑進(jìn)五角大樓”(Hack the Pentagon)計(jì)劃共發(fā)現(xiàn)138個(gè)漏洞。

美國陸軍“黑進(jìn)陸軍”(Hack the Army)共找出118個(gè)漏洞。

美國軍方Bug賞金計(jì)劃成就

所謂Bug賞金計(jì)劃，是指招募“道德黑客(實(shí)為模擬黑客攻擊的網(wǎng)絡(luò)安全專家)”或者白帽黑客在相關(guān)組織機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中尋找安全漏洞。安全漏洞的具體屬性不作要求，因此可涵蓋從低風(fēng)險(xiǎn)漏洞到可能導(dǎo)致整體網(wǎng)絡(luò)癱瘓甚至敏感信息泄露的高危風(fēng)險(xiǎn)在內(nèi)的各類隱患。

組織者HackerOne

HackerOne首席技術(shù)官阿歷克斯-賴斯表示，“此次由美國國防部與HackerOne聯(lián)合舉辦的活動(dòng)通過Bug賞金挑戰(zhàn)以及后續(xù)安全漏洞發(fā)現(xiàn)計(jì)劃，總計(jì)解決了面向公眾系統(tǒng)中所存在的超過3000項(xiàng)安全漏洞。黑客們憑借著自身貢獻(xiàn)總計(jì)獲得了30多萬美元獎(jiǎng)金，這一回報(bào)不僅超出參與者預(yù)期，同時(shí)也為美國國防部節(jié)約下數(shù)百萬美元安全保障經(jīng)費(fèi)。”

美國空軍支付有史以來數(shù)額最高的政府bug賞金-E安全

HackerOne方面迄今為止已經(jīng)負(fù)責(zé)組織四輪政府Bug賞金計(jì)劃，其中包另一輪更大規(guī)模的Bug賞金計(jì)劃的——Hack the Air Force 2.0(即將開始)。

HackerOne公司首席執(zhí)行官馬汀-麥考斯在采訪中表示，他認(rèn)為白帽網(wǎng)絡(luò)專家這部分“人才系統(tǒng)”擁有巨大的應(yīng)用潛力。Bug賞金計(jì)劃能夠?yàn)槟切o法及時(shí)發(fā)現(xiàn)自身安全漏洞的組織機(jī)構(gòu)帶來新的審視眼光。通過立足潛在犯罪分子的角度來看待軟件方案，參與者們將能夠快速找到其最有可能加以利用的安全缺陷。過去，人們以小組方式秘密尋求安全方案。現(xiàn)在我們正在努力證明，為了進(jìn)一步提升安全水平，大家必須邀請(qǐng)來自外部世界的力量作為援軍。”

規(guī)模更大的Bug賞金計(jì)劃即將啟動(dòng)

本次H1-212事件亦拉開了一輪規(guī)模更大的Bug賞金計(jì)劃Hack the Air Force 2.0的帷幕。

Hack the Air Force 2.0將于2018年1月1日正式啟動(dòng)。不同于原本的空軍Bug賞金計(jì)劃，2.0版本將面向五眼聯(lián)盟各國公民開放——具體包括澳大利亞、加拿大、新西蘭、英國與美國，外加各北約國家以及瑞典。這使得2.0計(jì)劃成為有史以來最為開放的Bug賞金計(jì)劃。