入侵美國空軍:60人黑客小隊拿下29萬賞金的背後
大家好,我是 零日情報局。
本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju。
昔日,世界頭號黑客米特尼克,16歲入侵北美空中防務指揮部,攻進美國國防部、五角大樓網路系統,最終被FBI逮捕落得個五年牢獄之災。
而在20多年後的今天,美國國防部(DOD)卻反其道而行,將 “黑客入侵空軍”、“黑客入侵五角大樓”、“黑客入侵陸軍”等一系列激進活動,發展成了年年召開的重金懸賞式挑戰賽。
時間改變了黑客,也改變了美國。今天,零日就跟大家聊聊美國國防部為何鍾情自虐,不惜懸賞也要求黑客吊打自己的前因後果。
60人黑客小隊入侵美國空軍
前不久Forbes新聞披露稱,去年10月23日至11月20日,美國空軍發起了“黑客入侵空軍(Hack The Air Force 4.0)” 的特別活動。期間,專門組織了一個60人規模的黑客小隊,連續不間斷地對美空軍虛擬資料中心發起了長達四周的網路攻擊。
(美國空軍在四周內被60名黑客入侵)
最終,在黑客唱主角的入侵行動中,從空軍虛擬資料中心的雲伺服器和系統中發現了多達460個漏洞。堪稱慘烈的戰況,充分的滿足了美國國防部的“自虐”需求,爽快地拿出了29萬美元獎金以獎勵黑客。
從表面看,美國空軍在黑客面前“脆弱”的不堪一擊。但從國防部的網路安全建設上來看,這460個安全漏洞和29萬賞金,花得值。為啥?
發現就意味著修復,修復則代表著更安全。按照零日的推測來看,“黑客入侵空軍”行動結束5個月才對外公佈,說明這460個漏洞已修復完畢。慣會在網路安全領域玩自搏術的美國國防部,又一次精進的安全內功。
為築安全自導自演黑客入侵
從“黑客入侵美國空軍”不難看出,這就是美國國防部自導自演的一套攻防博弈。網軍自毆難免誤傷,可要是換成挖洞式的黑客攻擊,那就是一本萬利。為了全方位提升空軍等多系統的網路防禦力,國防部的“黑客入侵計劃”可謂籌謀已久。
- 始於三年前的空軍入侵挑戰
“黑客入侵空軍 4.0”始於2017年,發展至今已有三年時間。在首次入侵美國空軍挑戰活動中,來自澳大利亞、加拿大、紐西蘭和英國的300名黑客,經過層層身份審查把關,最終在針對空軍網路的攻擊活動中,拿下了207個有效漏洞,雖遠低於此次發現的460個漏洞,但卻第一次讓美國空軍嚐到了補洞提升安全的甜頭。
(第一次黑客入侵空軍行動)
- 多頭並進的黑客入侵計劃
在“黑客入侵空軍”之前,還有“黑客入侵五角大樓”、“黑客入侵陸軍”兩大成功先例。嚴格來說“黑客入侵空軍”正是以上活動的空軍翻版。2016年,美國國防部國防數字服務(DDS)團隊率先發起黑客入侵五角大樓漏洞獎勵試點計劃,並聯合全球漏洞賞金平臺HackerOne,負責黑客入侵活動的運營、規劃與執行。這才有了五角大樓、陸軍、空軍多頭並進的黑客入侵計劃。
(黑客入侵五角大樓計劃)
(黑客入侵計劃衍生活動)
- 比技術更重要的可信度
像多數國家對軍人要求的絕對忠誠一樣,在第一次“黑客入侵”挑戰創立之初,美國國防部就把參賽技術人員的可信度放在了重要位置。首先,參加美國國防部“黑客入侵”計劃的人員,主要來自美國、英國、加拿大、澳大利亞和紐西蘭,也就是常說的“五眼聯盟”;其次,受邀人員身份必須經過層層背景調查。人的可信與安全,在美國國防部這裡同樣是比技術更重要的存在。
(可信黑客在Hack the Air Force 2.0 Bug賞金活動披露安全漏洞)
激進冒險計劃背後是安全訴求
從打擊黑客入侵到主動邀請黑客攻擊,這是個十分激進冒險的計劃,不過如果站在美國國防部的角度來看,“黑客入侵”系列計劃的提出,的確有著讓他們冒險的多重因素。
因素1:從源頭發現未知威脅
網路攻擊不可怕,可怕的是未知。而“黑客入侵空軍”等一系列主動邀請黑客攻擊活動的出現,可以說就是在源頭上消滅未知。漏洞無可避免,可當可信黑客搶在攻擊者之前發現並修復漏洞,則意味著一個“定時炸彈”的提前清除,無疑是從源頭上阻斷未知威脅發生的有效手段。
(2016年Hack the Army Bug賞金計劃成果)
因素2:自攻自防升級安全屏障
在美國國防部組織可信黑客入侵多系統網路,聯合平臺廣攬技術人員挖洞的努力下,國防部已累計成功修復12000個漏洞。相比於攻擊發生時的危機應對,更為積極主動的自攻自防行動,可大幅度增強國防部各系統網路的安全屏障。
因素3:可控對抗環境下技術交流
技術升級的關鍵在交流與切磋,而美國國防部的“黑客入侵計劃”,其實就是模擬對抗與可信環境下的“軍民”技術博弈。美國國防部以漏洞賞金方式組織可信黑客批量持續的進攻,可進一步從黑客角度掌握攻擊、滲透思路與技能,以此反哺網路安全建設。
(可信黑客與海軍陸戰隊分享會)
零日反思
黑客的參與幫助美國國防部提升了網路安全實踐的基礎,相比於常規的網路安全排查,可信黑客下場攻防,帶來的是基於實踐層面的安全。
其中值得我們參考學習的,不僅是立足攻防實踐升級安全,更是積極主動創造危機,排查安全短板的網路安全建設思路。
還記得開篇說的那個遭受牢獄之災的頭號黑客嗎?他的全名叫做凱文·米特尼克,現如今他是FBI高階安全顧問,並開設了安全公司,成為了名副其實的網路安全守衛者。
零日情報局作品
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
[1] Forbes《美國空軍成功被60名黑客“入侵”》
[2] U.S.DS 《Hack the Pentagon》
相關文章
- SpaceX載人飛船成功發射的背後,或為美國太空軍事的“謀篇佈局”?
- 黑客入侵後,重新奪回我的網站黑客網站
- 神祕黑客組織攻擊美國政府,背後或為俄羅斯黑客
- “梅麗莎”病毒背後的神祕黑客黑客
- 美國信用評估機構遭黑客入侵,半數美國人受影響!黑客
- 蘋果土豪金流行背後的消費心理蘋果
- 美國爆紅手機遊戲背後的祕密遊戲
- 3年發行5個爆款,揭祕小團隊成功背後的推手
- i聚合:資料是聚合支付背後的“金礦”
- 黑客如何入侵你的路由器?黑客路由器
- 怎麼學習黑客入侵黑客
- 即時戰術遊戲的開拓與傳承,《盟軍敢死隊》到《賞金奇兵》遊戲
- 幣安網發全球通緝令,25 萬美元等值賞金追緝黑客黑客
- AI Gossip - 人工智慧背後的小故事AIGo人工智慧
- TaskUs:匿名社交應用背後的神祕稽核團隊
- 癱瘓 2 周後,美國又一城市宣佈向黑客支付價值將近 50 萬美元的贖金黑客
- 黑客暗戰——黑帽、白帽、灰帽背後的隱祕世界黑客
- 基因黑客張鋒!講述CRISPR背後不為人知的故事黑客
- 惡意廣告背後的駭客,是如何偷偷入侵計算機系統的?計算機
- 幣安25萬美元懸賞黑客黑客
- 【前端軼事】Chrome 小恐龍背後的故事前端Chrome
- 微軟為美國空軍部門打造最安全XP系統微軟
- 《宇宙機器人》系列背後的創作團隊——Team Asobi機器人
- 注意!這串字元讓 iPhone 秒當機;破解AI偽造人臉準確率98.9%;美國空軍舉辦黑客大賽字元iPhoneAI黑客
- Facebook 在黑客入侵 2900 萬使用者後誓言提高安全性黑客
- What CANN Can?一輛小車背後的智慧故事
- 全球黑客捲入烏俄亂局!數字網路戰的背後值得深思黑客
- 【北京】創業團隊資金充裕 招Go後端創業團隊Go後端
- 錢包被黑客入侵後,IOTA 加密貨幣關閉了整個網路黑客加密
- 防範ASP網站漏洞及黑客入侵網站黑客
- Cortana小娜失敗背後,微軟的傲慢與偏見微軟
- 為你揭祕小程式音視訊背後的故事......
- 從網路軍備競賽視角:觀五角大樓持續舉辦“入侵空軍”計劃的幕後之因
- 使用者從0到5億,Facebook背後團隊的祕密
- 黑客協會:入侵一個網站的基本思路黑客網站
- 戰鬥的民族:入侵銀行系統的黑客已被抓黑客
- FBI:入侵索尼的黑客能黑掉90%的企業黑客
- 金資料團隊招聘——後端開發devops方向後端dev