大家好,我是 零日情報局。
本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju。
昔日,世界頭號黑客米特尼克,16歲入侵北美空中防務指揮部,攻進美國國防部、五角大樓網路系統,最終被FBI逮捕落得個五年牢獄之災。
而在20多年後的今天,美國國防部(DOD)卻反其道而行,將 “黑客入侵空軍”、“黑客入侵五角大樓”、“黑客入侵陸軍”等一系列激進活動,發展成了年年召開的重金懸賞式挑戰賽。
時間改變了黑客,也改變了美國。今天,零日就跟大家聊聊美國國防部為何鍾情自虐,不惜懸賞也要求黑客吊打自己的前因後果。
60人黑客小隊入侵美國空軍
前不久Forbes新聞披露稱,去年10月23日至11月20日,美國空軍發起了“黑客入侵空軍(Hack The Air Force 4.0)” 的特別活動。期間,專門組織了一個60人規模的黑客小隊,連續不間斷地對美空軍虛擬資料中心發起了長達四周的網路攻擊。
(美國空軍在四周內被60名黑客入侵)
最終,在黑客唱主角的入侵行動中,從空軍虛擬資料中心的雲伺服器和系統中發現了多達460個漏洞。堪稱慘烈的戰況,充分的滿足了美國國防部的“自虐”需求,爽快地拿出了29萬美元獎金以獎勵黑客。
從表面看,美國空軍在黑客面前“脆弱”的不堪一擊。但從國防部的網路安全建設上來看,這460個安全漏洞和29萬賞金,花得值。為啥?
發現就意味著修復,修復則代表著更安全。按照零日的推測來看,“黑客入侵空軍”行動結束5個月才對外公佈,說明這460個漏洞已修復完畢。慣會在網路安全領域玩自搏術的美國國防部,又一次精進的安全內功。
為築安全自導自演黑客入侵
從“黑客入侵美國空軍”不難看出,這就是美國國防部自導自演的一套攻防博弈。網軍自毆難免誤傷,可要是換成挖洞式的黑客攻擊,那就是一本萬利。為了全方位提升空軍等多系統的網路防禦力,國防部的“黑客入侵計劃”可謂籌謀已久。
“黑客入侵空軍 4.0”始於2017年,發展至今已有三年時間。在首次入侵美國空軍挑戰活動中,來自澳大利亞、加拿大、紐西蘭和英國的300名黑客,經過層層身份審查把關,最終在針對空軍網路的攻擊活動中,拿下了207個有效漏洞,雖遠低於此次發現的460個漏洞,但卻第一次讓美國空軍嚐到了補洞提升安全的甜頭。
(第一次黑客入侵空軍行動)
在“黑客入侵空軍”之前,還有“黑客入侵五角大樓”、“黑客入侵陸軍”兩大成功先例。嚴格來說“黑客入侵空軍”正是以上活動的空軍翻版。2016年,美國國防部國防數字服務(DDS)團隊率先發起黑客入侵五角大樓漏洞獎勵試點計劃,並聯合全球漏洞賞金平臺HackerOne,負責黑客入侵活動的運營、規劃與執行。這才有了五角大樓、陸軍、空軍多頭並進的黑客入侵計劃。
(黑客入侵五角大樓計劃)
(黑客入侵計劃衍生活動)
像多數國家對軍人要求的絕對忠誠一樣,在第一次“黑客入侵”挑戰創立之初,美國國防部就把參賽技術人員的可信度放在了重要位置。首先,參加美國國防部“黑客入侵”計劃的人員,主要來自美國、英國、加拿大、澳大利亞和紐西蘭,也就是常說的“五眼聯盟”;其次,受邀人員身份必須經過層層背景調查。人的可信與安全,在美國國防部這裡同樣是比技術更重要的存在。
(可信黑客在Hack the Air Force 2.0 Bug賞金活動披露安全漏洞)
激進冒險計劃背後是安全訴求
從打擊黑客入侵到主動邀請黑客攻擊,這是個十分激進冒險的計劃,不過如果站在美國國防部的角度來看,“黑客入侵”系列計劃的提出,的確有著讓他們冒險的多重因素。
因素1:從源頭發現未知威脅
網路攻擊不可怕,可怕的是未知。而“黑客入侵空軍”等一系列主動邀請黑客攻擊活動的出現,可以說就是在源頭上消滅未知。漏洞無可避免,可當可信黑客搶在攻擊者之前發現並修復漏洞,則意味著一個“定時炸彈”的提前清除,無疑是從源頭上阻斷未知威脅發生的有效手段。
(2016年Hack the Army Bug賞金計劃成果)
因素2:自攻自防升級安全屏障
在美國國防部組織可信黑客入侵多系統網路,聯合平臺廣攬技術人員挖洞的努力下,國防部已累計成功修復12000個漏洞。相比於攻擊發生時的危機應對,更為積極主動的自攻自防行動,可大幅度增強國防部各系統網路的安全屏障。
因素3:可控對抗環境下技術交流
技術升級的關鍵在交流與切磋,而美國國防部的“黑客入侵計劃”,其實就是模擬對抗與可信環境下的“軍民”技術博弈。美國國防部以漏洞賞金方式組織可信黑客批量持續的進攻,可進一步從黑客角度掌握攻擊、滲透思路與技能,以此反哺網路安全建設。
(可信黑客與海軍陸戰隊分享會)
零日反思
黑客的參與幫助美國國防部提升了網路安全實踐的基礎,相比於常規的網路安全排查,可信黑客下場攻防,帶來的是基於實踐層面的安全。
其中值得我們參考學習的,不僅是立足攻防實踐升級安全,更是積極主動創造危機,排查安全短板的網路安全建設思路。
還記得開篇說的那個遭受牢獄之災的頭號黑客嗎?他的全名叫做凱文·米特尼克,現如今他是FBI高階安全顧問,並開設了安全公司,成為了名副其實的網路安全守衛者。
零日情報局作品
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
[1] Forbes《美國空軍成功被60名黑客“入侵”》
[2] U.S.DS 《Hack the Pentagon》