從網路軍備競賽視角:觀五角大樓持續舉辦“入侵空軍”計劃的幕後之因

國際安全智庫發表於2020-04-21
未來,白帽駭客在確保軍事系統安全方面或發揮更為重要作用。

【導讀】軍事專家曾這樣表述過,在保證自己世界第一寶座面前,美國及其國防部可謂是煞費苦心。尤其在網路攻擊成為新型戰作重要手段時,如何確保美國軍事系統的安全,美國防部更是花樣百出。近日,外媒報導,由美國國防部和賞金平臺HackerOne合作展開 “Hack the Air Force 4.0”(入侵空軍4.0)計劃已落幕,約60位經過審查的白帽駭客發現460多個安全漏洞。智庫發現,從2016年起至今,“入侵空軍計劃”已累計發現漏洞千餘個。在漏洞就是軍火武器的當下,這些發現在完善其空軍網路防禦方面取著舉足輕重的作用,然而,邀請“外部駭客”持續性進行“攻擊國防部”的活動,這背後的目的應不僅那麼簡單,它還透露著美國哪些打算?又將對我們產生哪些啟示?


在美國,駭客入侵其國防部一度被認為是違法行為,然而,伴隨“Hack the Pentagon”(入侵五角大樓)計劃和“Hack the Air Force”(入侵空軍)計劃的實施,讓這一切變得合法化與持續化。

“Hack the Air Force”(入侵空軍計劃):是由美國國防部與國防數字服務局(Defense Digital Service)和漏洞賞金平臺HackerOne合作展開的一項“漏洞查詢”計劃。其前身是美國國防數字服務機構於2016年牽頭髮起的“Hack the Pentagon”(入侵五角大樓)計劃。該計劃允許計算機方面的專家發現空軍網站中存在的漏洞,並最終增強其網路安全性。

“Hack the Air Force 4.0”計劃官宣落幕   五角大樓為460+漏洞支付290000美元


近日,美國國防部宣佈了最新的漏洞賞金挑戰“ Hack the Air Force 4.0”(入侵空軍4.0)計劃的戰果,官方表示 :在2019年10月23日至2019年11月20日期間,經政府審查透過的約60位白帽駭客,累計發現空軍資料中心漏洞460多個,五角大樓為此支付了290000美元。


值得注意的是,“Hack the Air Force 4.0”不僅邀請白帽駭客在其空軍雲伺服器和系統池(也被稱為“美國空軍虛擬資料中心”)中查詢漏洞。此外,本次計劃還包括一個實時的駭客事件,該事件於2019年11月7日在洛杉磯舉行,並且還針對英國國防部的某些系統。


而關於該計劃的一些歷年詳情,智庫將其整理如下:

  • “Hack the Pentagon”:作為前身,“入侵五角大樓”計劃於2016年4月啟動,它也是美國政府的首個漏洞賞金計劃,僅限於美國人參加。在該計劃啟動的頭六個小時內,美國空軍就收到了近200份漏洞報告,並最終支付了共計7.5萬美元的獎金。
  • “Hackthe Air Force 1.0”:2017年5月30日啟動。這一次除向美國本土計算機專家開放之外,美國空軍還邀請了英國、加拿大、澳大利亞、紐西蘭等“五眼聯盟”成員參與。從最終釋出的訊息來看,在272名參與者中有33名是外籍人士。共發現207個安全漏洞,獎勵總額達13.34萬美元的獎金。

  • “Hackthe Air Force 2.0”:2017年12月9日啟動,為期20天。值得注意的是,這一次美國空軍邀請範圍更加廣泛,參與者來自包括英國、加拿大、美國、荷蘭、瑞典、拉脫維亞和比利時在內的26個國家。最終,25名駭客共發現106個安全漏洞,摘得獎勵賞金10.38萬美元。
  • “Hackthe Air Force 3.0”:2018年11月5日啟動,面向191個國家開放,最終,約30名駭客發現漏洞120餘個,也因此榮獲賞金逾13萬美元。


可以說,從2016年起至今,這項持續進行的計劃已累計發現空軍漏洞千餘個。在漏洞被看作“網路軍火武器”的當下,這些漏洞的發現無疑為防禦美國軍空網路安全提供了有效保證。


然而,持續性邀請內外部駭客“攻擊”自家國防部,這背後有何原因?又透露著美國哪些深不可測的打算?


從“避無可避”到“兵來將擋”   多層剖析美國防部“入侵空軍”計劃背後之意


原因之一:引以為傲的空軍,慘遭駭客攻擊


美國空軍是世界公認的一支具有強大作戰能力的部隊,美國一直以其空軍為傲。然而,此前它卻遭遇駭客攻擊。

2018年7月,國外某網路安全公司的國際分析小組表示,駭客在暗網以150美元到200美元的價格,出售過竊取的美國MQ-9收割者無人偵察機(MQ-9 Reaper)的資訊,包括:學習資料、操控無人機的軍人名單和其它資訊等。

分析小組還進一步介紹到,這是由來自南美洲的駭客,透過設定不當的FTP登入憑證獲得了Netgear路由器的訪問許可權,進而從美國內華達州軍事基地的軍人那裡竊取了上述檔案。


從網路軍備競賽視角:觀五角大樓持續舉辦“入侵空軍”計劃的幕後之因


洩露的部分MQ-9Reaper無人機秘密檔案

引以為傲的空軍大門被輕易攻破,機密檔案又被輕易竊取,這對美國防部來講,無疑是對其軍事霸主地位的強烈挑戰,勢必會引發其採取相應措施。


原因之二:"以他人之長"強化美空軍防禦能力


除被駭客輕易入侵外,美國國防部近年來在履行落地網路安全計劃方面做的也是“漏洞百出”。前幾天,智庫在《五角大樓被內部問責,網路安全計劃未有效落地恐成其最大風險隱患》一文中,就曾多方披露過。

所以,面對如此“脆弱的”國防部及其空軍網路基礎設施系統,採用賞金計劃,邀請國際頂級網路專業人才全方位“搜捕漏洞”,“以他人之長補己之短”此舉無疑是加強其網路防禦系統能力最有效手段。

正如美國空軍首席資訊保安官皮特-吉姆所說,每天都有一些惡意駭客嘗試入侵我們的系統。因此,讓一些友好的駭客幫助我們查詢漏洞,改善網路安全和防禦措施,有助於我們集思廣益,提升網路安全防禦。


原因之三:“不拘一格”儲人才,為軍備賽準備


功以才成,業由才廣。從“入侵空軍”計劃實施伊始的“五眼聯盟”到如今的191國家開放邀請,傳遞了一個鮮明的價值訊號:網路安全人才不可或缺,並逐步成為是網際網路戰略中的靈魂。

漏洞賞金計劃的模式,不僅擺脫了美國國防安全固有網路安全人員的侷限性,也成為了世界級白帽駭客的比試場,佔據人才高地、合理運用網路生力軍才是關鍵。

馬里蘭大學電腦科學副教授吉姆·普蒂洛(Jim Purtilo)高度贊同此計劃,更是將此舉稱為“在戰鬥中訓練,然後在訓練中戰鬥。”他表示:沒有比使用技術更有效的方法來整合技能集和測試我們的技術,在筆測試中,我們自己的站點可以帶來兩倍的價值。


聘請具備網路專業知識的專業人員來增強國防部的防禦和進攻能力的同時,又“間接”的在為以後網路領域的軍備賽“物色、儲備”人才,這可不是雙倍的價值嗎?


原因之四:“致命軍火”高危漏洞,避無可避


除美國防部空軍、網路專業人才外,此次計劃中,還有另一個關鍵性因素——漏洞。

永遠不要輕視一個高危漏洞掌控能力。漏洞的本質就是“武器”,在網路世界裡,它的威力堪比“戰略核威懾”,當一國的致命漏洞被他國優先發現並掌握時,這無疑是被他國扼住了咽喉命脈,一場“核級別”戰爭隨時會爆發。

深諳“網路戰”之道的美國、美軍又豈能不知“漏洞”的威力,豈能不知重要的“空軍”漏洞,意味著什麼?


所以,趕在被他人發現之前,先自己找到漏洞,防患於未然,成是美軍一頭等大事,毋庸置疑。 


  智 庫 時 評  


綜上,美國國防部的“入侵空軍”計劃始於被攻擊,出發於有效提升國防軍事基礎設施能力,又以“懸賞”方式,持續擴大網路軍備競賽的“人才庫”、“漏洞庫”,可謂一舉多得。

可見以前有軍事專家表示,美國為保證自己世界第一的寶座可謂是煞費苦心,不無道理。今天,這起持續進行的“Hack the Air Force”計劃,正是一個典型案例。

而另一方面,“該計劃”也充分體現了美國作為超級大國對漏洞威脅的重視,充分發揮“兵來將擋”之勢,面對防不勝防的漏洞從根源入手,挖掘威脅隱患,當威脅真正來臨時儘量將損失最小化。

此外,我們還應看到:在未來,如有有效運用,或許白帽駭客將在確保一國軍事系統安全方面發揮更為重要作用。


參考連結:

Forbes——《美國空軍成功被60名駭客“入侵”》

相關文章