美國國防部舉行首次黑客大比武,懸賞邀請民間高手尋找五角大樓網(wǎng)站漏洞,結(jié)果找到超過上百處隱患。五角大樓計(jì)劃今后繼續(xù)這類活動(dòng)并擴(kuò)大范圍。
【開先河】
這種做法在企業(yè)界不新鮮:“白帽黑客”受邀,搶在真正黑客發(fā)動(dòng)惡意攻擊之前發(fā)現(xiàn)并堵住網(wǎng)絡(luò)漏洞。而這是美國防部及美國聯(lián)邦政府首次進(jìn)行這種嘗試。比賽名為“來黑五角大樓”,賽期從4月18日至5月12日,吸引超過1400人參加,在五角大樓5個(gè)對外開放網(wǎng)站中尋找安全隱患。
美國防部17日宣布,競賽結(jié)束后,參賽者共報(bào)告1189項(xiàng)薄弱點(diǎn),其中138項(xiàng)被認(rèn)定為“獨(dú)特、有效”。
“有我們沒有發(fā)現(xiàn)的漏洞,而現(xiàn)在我們能夠修復(fù)它們,”國防部長阿什頓·卡特說,“這比花錢請人來做好得多,也比出事后再發(fā)現(xiàn)好得多。”
五角大樓還制定了一系列后續(xù)計(jì)劃,打算把這類活動(dòng)擴(kuò)大到部隊(duì),還將鼓勵(lì)軍方承包商效仿。另外,任何人今后如果在軍方網(wǎng)絡(luò)中發(fā)現(xiàn)漏洞,都可以報(bào)告而不必?fù)?dān)心受到起訴。
五角大樓為這次競賽花了15萬美元,其中半數(shù)是獎(jiǎng)金。一名參賽者發(fā)現(xiàn)多處漏洞,獲得最高獎(jiǎng)1.5萬美元,其余獲獎(jiǎng)?wù)咦钌倌玫?00美元??ㄌ卣J(rèn)為,這筆錢花得很劃算。“這不是一筆小數(shù)目。但是,如果按照通常做法,請承包商來查找和評估安全隱患,花費(fèi)至少超過100萬美元,”他說。
【中學(xué)生獲表揚(yáng)】
卡特當(dāng)天特別表揚(yáng)了兩名參賽者,一名是一家網(wǎng)絡(luò)安全公司的安全咨詢師,另一名是中學(xué)畢業(yè)生戴維·德沃肯。
18歲的德沃肯幾天前剛從中學(xué)畢業(yè),將去美國西北大學(xué)上學(xué)。他利用課余時(shí)間參賽,發(fā)現(xiàn)6處漏洞。
德沃肯上10年級時(shí)對黑客技術(shù)產(chǎn)生興趣。當(dāng)時(shí),他正在學(xué)習(xí)計(jì)算機(jī)課程,與同學(xué)一起在學(xué)校網(wǎng)站上發(fā)現(xiàn)了一些安全漏洞。
德沃肯說,他在五角大樓網(wǎng)站上發(fā)現(xiàn)的漏洞中,其中一些能使黑客有機(jī)會(huì)改動(dòng)網(wǎng)頁顯示內(nèi)容甚至竊取賬戶信息。
盡管如此,德沃肯沒有得到獎(jiǎng)金,因?yàn)閯e的參賽者先于他報(bào)告那些漏洞。而他還是很高興。“(參賽)還是很值,鍛煉了技術(shù),還出了名,”他說,“你要知道,我才是中學(xué)生,就有一些招聘的人聯(lián)系我,讓我這個(gè)夏天去實(shí)習(xí)。”