原文 : http://money.cnn.com/2017/04/11/technology/hack-the-pentagon-synack-bug-bounty/index.html
詹姆斯.馬蒂斯 (James Mattis) 就任國防部長的第一天, 他就遇到一個系統缺陷問題. 一個駭客團隊在國防部用來傳送電腦檔案的工具中, 發現一個關鍵缺陷.
這個團隊是問題獎勵計畫的一部分 -- 駭客專家如果在企業機構或政府組織發現問題缺陷, 將會得到獎賞.
彼得.亞沃爾斯基 (Pete Yaworski) 是全世界協助確認國防部兩個內部系統安全問題八十個白帽駭客中其中一位. 三十二歲加拿大人, 就職於 Synack 公司 DISCREET 團隊中, Synack 是家擁有四百萬美元入侵五角大廈合約的公司.
在今年二月剛結束為期三個月的項目中, 亞沃爾斯基和 Synack 公司的駭客團隊深入關鍵系統, 尋找會影響全球軍事任務的漏洞. 當他們開始入侵系統, 只花了四個小時就發現重要的系統錯誤.
週二, Synack 宣布微軟創投 (Microsoft Ventures) 將投資他們公司兩千一百萬美元.
不像是一些工程師, 工作就是專門尋找系統缺陷問題, 亞沃爾斯基是個自學駭客, 白天他在安大略政府任職電腦工程師. 夜間他則是 Synack 公司的承包商, 尋找像是五角大廈公司客戶的安全漏洞. 亞沃爾斯基在 Coursera 課程自學資訊安全, 閱讀研究論文, 參與線上小組, 最後寫了一本關於問題獎勵的書.
入侵五角大廈
Synack 公司的駭客是首批外界人士進入五角大廈那些不為人知的系統, 但他們的前輩們已經把路鋪平了.
去年春天, 五角大廈成為美國政府第一個推動問題獎勵計畫的部門.
"在這之前, 在國防部網站找到一個漏洞是非法的, 即使只是想反應讓他們修復也是一樣" Luta Security 創辦人凱蒂.穆蘇里斯 (Katie Moussouris) 表示. 五角大廈問題獎勵計畫是由她推動的.
經過二十一天的試運作, 數百名駭客參與, 政府宣布擴大計畫.
去年十一月, 國防部發起第一個持續的問題缺陷尋找計畫 -- 從此在電子郵件或網站上研究, 確認及報導缺陷問題才合法. 未來三年 HackerOne 及 Luta Security 公司將承辦十九場目標為政府系統的公開駭客挑戰.
其中有些事項要注意, 例如駭客不能使用阻斷服務攻擊讓網站無法運作, 或是讓政府員工無法使用系統.
美國政府這項措施也吸引了海外目光. 今年三月英國政府宣布第一個問題尋找試運作計畫, 他們找來 Luta Security 公司來協助他們.
防禦系統的福音
引入外部駭客的協助, 華盛頓的領導人希望國防部這種作法能引起聯邦政府注意 : 運用私人網路安全專家來處理聯邦安全問題.
國防部和其他政府機構都有自己的安全專家. 但兼職駭客加入可以更快速的解決問題.
Defense Digital Service 公司總監克里斯.林奇 (Chris Lynch) 表示, 他們對於問題獎勵計畫越來越有興趣, 這導致該公司內部文化的轉變.
"我們有些人是木工, 他們對我說 : '嘿 ! 我知道這系統運作方式, 我能由這裡面找到問題'" 林奇對 CNNTech 表示 "事實上, 當我向國防部長介紹問題獎勵計畫及系統脆弱發現外包專案, 這就是一項很驚人的進展. 這些事在兩年前是不會發生."
政府機關的獎金並不相同. Synack 挑戰的是最高的三萬美元. 一般來說, 人們做這個並不是為了錢. 林奇和穆蘇里斯都表示駭客只是展現他們認知的義務, 或只是簡單的吹噓他們有能力入侵五角大廈.
亞沃爾斯基說他有動機去做一些不一樣的事. 雖然他不是美國公民, 但他的愛國主義還是會驅使他完成一些事.
"我不認為其他政府有關注到這點, 同時考慮到自己有這方面的機會" 亞沃爾斯基表示 "身為加拿大人的驕傲, 也許加拿大政府也會採取類似的做法."
沒有留言:
張貼留言