从网络军备竞赛视角:观五角大楼持续举办“入侵空军”计划的幕后之因
2020-04-22 10:46:41 Author: www.4hou.com(查看原文) 阅读量:151 收藏

未来,白帽黑客在确保军事系统安全方面或发挥更为重要作用。

【导读】军事专家曾这样表述过,在保证自己世界第一宝座面前,美国及其国防部可谓是煞费苦心。尤其在网络攻击成为新型战作重要手段时,如何确保美国军事系统的安全,美国防部更是花样百出。近日,外媒报道,由美国国防部和赏金平台HackerOne合作展开 “Hack the Air Force 4.0”(入侵空军4.0)计划已落幕,约60位经过审查的白帽黑客发现460多个安全漏洞。智库发现,从2016年起至今,“入侵空军计划”已累计发现漏洞千余个。在漏洞就是军火武器的当下,这些发现在完善其空军网络防御方面取着举足轻重的作用,然而,邀请“外部黑客”持续性进行“攻击国防部”的活动,这背后的目的应不仅那么简单,它还透露着美国哪些打算?又将对我们产生哪些启示?

在美国,黑客入侵其国防部一度被认为是违法行为,然而,伴随“Hack the Pentagon”(入侵五角大楼)计划和“Hack the Air Force”(入侵空军)计划的实施,让这一切变得合法化与持续化。

“Hack the Air Force”(入侵空军计划):是由美国国防部与国防数字服务局(Defense Digital Service)和漏洞赏金平台HackerOne合作展开的一项“漏洞查找”计划。其前身是美国国防数字服务机构于2016年牵头发起的“Hack the Pentagon”(入侵五角大楼)计划。该计划允许计算机方面的专家发现空军网站中存在的漏洞,并最终增强其网络安全性。

“Hack the Air Force 4.0”计划官宣落幕   五角大楼为460+漏洞支付290000美元

近日,美国国防部宣布了最新的漏洞赏金挑战“ Hack the Air Force 4.0”(入侵空军4.0)计划的战果,官方表示 :

在2019年10月23日至2019年11月20日期间,经政府审查通过的约60位白帽黑客,累计发现空军数据中心漏洞460多个,五角大楼为此支付了290000美元。

值得注意的是,“Hack the Air Force 4.0”不仅邀请白帽黑客在其空军云服务器和系统池(也被称为“美国空军虚拟数据中心”)中查找漏洞。此外,本次计划还包括一个实时的黑客事件,该事件于2019年11月7日在洛杉矶举行,并且还针对英国国防部的某些系统。

而关于该计划的一些历年详情,智库将其整理如下:

· “Hack the Pentagon”:作为前身,“入侵五角大楼”计划于2016年4月启动,它也是美国政府的首个漏洞赏金计划,仅限于美国人参加。在该计划启动的头六个小时内,美国空军就收到了近200份漏洞报告,并最终支付了共计7.5万美元的奖金。

· “Hackthe Air Force 1.0”: 2017年5月30日启动。这一次除向美国本土计算机专家开放之外,美国空军还邀请了英国、加拿大、澳大利亚、新西兰等“五眼联盟”成员参与。从最终发布的消息来看,在272名参与者中有33名是外籍人士。共发现207个安全漏洞,奖励总额达13.34万美元的奖金。

· “Hackthe Air Force 2.0”:2017年12月9日启动,为期20天。值得注意的是,这一次美国空军邀请范围更加广泛,参与者来自包括英国、加拿大、美国、荷兰、瑞典、拉脱维亚和比利时在内的26个国家。最终,25名黑客共发现106个安全漏洞,摘得奖励赏金10.38万美元。

· “Hackthe Air Force 3.0”:2018年11月5日启动,面向191个国家开放,最终,约30名黑客发现漏洞120余个,也因此荣获赏金逾13万美元。

可以说,从2016年起至今,这项持续进行的计划已累计发现空军漏洞千余个。在漏洞被看作“网络军火武器”的当下,这些漏洞的发现无疑为防御美国军空网络安全提供了有效保证。

然而,持续性邀请内外部黑客“攻击”自家国防部,这背后有何原因?又透露着美国哪些深不可测的打算?

从“避无可避”到“兵来将挡”   多层剖析美国防部“入侵空军”计划背后之意

原因之一:引以为傲的空军,惨遭黑客攻击

美国空军是世界公认的一支具有强大作战能力的部队,美国一直以其空军为傲。然而,此前它却遭遇黑客攻击。

2018年7月,国外某网络安全公司的国际分析小组表示,黑客在暗网以150美元到200美元的价格,出售过窃取的美国MQ-9收割者无人侦察机(MQ-9 Reaper)的信息,包括:学习资料、操控无人机的军人名单和其它信息等。

分析小组还进一步介绍到,这是由来自南美洲的黑客,通过设置不当的FTP登录凭证获得了Netgear路由器的访问权限,进而从美国内华达州军事基地的军人那里窃取了上述文件。

泄露的部分MQ-9Reaper无人机秘密文件

引以为傲的空军大门被轻易攻破,机密文件又被轻易窃取,这对美国防部来讲,无疑是对其军事霸主地位的强烈挑战,势必会引发其采取相应措施。

原因之二:"以他人之长"强化美空军防御能力

除被黑客轻易入侵外,美国国防部近年来在履行落地网络安全计划方面做的也是“漏洞百出”。前几天,智库在《五角大楼被内部问责,网络安全计划未有效落地恐成其最大风险隐患》一文中,就曾多方披露过。

所以,面对如此“脆弱的”国防部及其空军网络基础设施系统,采用赏金计划,邀请国际顶级网络专业人才全方位“搜捕漏洞”,“以他人之长补己之短”此举无疑是加强其网络防御系统能力最有效手段。

正如美国空军首席信息安全官皮特-吉姆所说,

每天都有一些恶意黑客尝试入侵我们的系统。因此,让一些友好的黑客帮助我们查找漏洞,改善网络安全和防御措施,有助于我们集思广益,提升网络安全防御。

原因之三:“不拘一格”储人才,为军备赛准备

功以才成,业由才广。从“入侵空军”计划实施伊始的“五眼联盟”到如今的191国家开放邀请,传递了一个鲜明的价值信号:网络安全人才不可或缺,并逐步成为是互联网战略中的灵魂。

漏洞赏金计划的模式,不仅摆脱了美国国防安全固有网络安全人员的局限性,也成为了世界级白帽黑客的比试场,占据人才高地、合理运用网络生力军才是关键。

马里兰大学计算机科学副教授吉姆·普蒂洛(Jim Purtilo)高度赞同此计划,更是将此举称为“在战斗中训练,然后在训练中战斗。”他表示:

没有比使用技术更有效的方法来集成技能集和测试我们的技术,在笔测试中,我们自己的站点可以带来两倍的价值。

聘请具备网络专业知识的专业人员来增强国防部的防御和进攻能力的同时,又“间接”的在为以后网络领域的军备赛“物色、储备”人才,这可不是双倍的价值吗?

原因之四:“致命军火”高危漏洞,避无可避

除美国防部空军、网络专业人才外,此次计划中,还有另一个关键性因素——漏洞。

永远不要轻视一个高危漏洞掌控能力。漏洞的本质就是“武器”,在网络世界里,它的威力堪比“战略核威慑”,当一国的致命漏洞被他国优先发现并掌握时,这无疑是被他国扼住了咽喉命脉,一场“核级别”战争随时会爆发。

深谙“网络战”之道的美国、美军又岂能不知“漏洞”的威力,岂能不知重要的“空军”漏洞,意味着什么?

所以,赶在被他人发现之前,先自己找到漏洞,防患于未然,成是美军一头等大事,毋庸置疑。 

智库时评:

综上,美国国防部的“入侵空军”计划始于被攻击,出发于有效提升国防军事基础设施能力,又以“悬赏”方式,持续扩大网络军备竞赛的“人才库”、“漏洞库”,可谓一举多得。

可见以前有军事专家表示,美国为保证自己世界第一的宝座可谓是煞费苦心,不无道理。今天,这起持续进行的“Hack the Air Force”计划,正是一个典型案例。

而另一方面,“该计划”也充分体现了美国作为超级大国对漏洞威胁的重视,充分发挥“兵来将挡”之势,面对防不胜防的漏洞从根源入手,挖掘威胁隐患,当威胁真正来临时尽量将损失最小化。

此外,我们还应看到:在未来,如有有效运用,或许白帽黑客将在确保一国军事系统安全方面发挥更为重要作用。

参考链接:

Forbes——《美国空军成功被60名黑客“入侵”》

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/Ggn0
如有侵权请联系:admin#unsafe.sh