英文原文:Hacking the Army
在政治组织遭黑客入侵引起人们担忧之时,美国陆军比以往任何时候都更加需要黑客。
去年 12 月上旬,在浏览美国陆军一个面向公众的 征兵网站 时,一名黑客发现了一个漏洞,接着又有一个,直至他突然闯入了本应需要特殊访问凭据才能连接的美国国防部内网。在那个晚上,五角大楼的工作人员发疯一样互打电话,并考虑完全关掉被入侵的网络。
入侵事件是出人意料的,但更令人担心的事实是,这名黑客没有触发任何警报——国防部并不知道他已经进入内网,直至黑客自己报告了这件事。
发现漏洞的黑客正在参加美国陆军首次开放的漏洞赏金计划“Hack The Army”(黑进军队),该计划邀请安全研究人员一试身手,并向那些发现漏洞的人支付奖金。国防部的安全团队接受过专门培训,可以迅速对不明原因的网络流量做出反应。不过,该部门拥有 320 万名雇员,并不是所有人都知道有这么一项漏洞赏金计划正在进行,所以一些人的恐慌是可以理解的。美国陆军认可了这个漏洞,甚至对自家征兵网站被黑表示庆幸——这意味着,Hack The Army 漏洞赏金计划奏效了。
“坦白地说,我当时的反应是,‘好极了’。”美国陆军部长埃里克·范宁(Eric Fanning)解释说,“很多人对 Hack The Army 的第一反应是,‘你们为什么要邀请别人来黑自己?’好吧,我们每天都在被人黑,一天 24 小时不间断,而那些人可是不怀好意。所以,举行一场比赛,对参与者进行审核,并让他们把自己的发现告知给我们,这个想法非常好。如果他们没有找到漏洞,或者在某些情况下没有找到出乎我们意料的漏洞,那么我不认为这场比赛达到了我们的预期。”
范宁部长的反应代表着政府看待安全研究的方式发生了演变,而引领这种演变的是谷歌和 Facebook 这些科技公司。对于被黑客入侵,政府机构和私营行业巨头并不总是这样若无其事。在 美国人事管理办公室(OPM)和 民主党全国委员会(DNC)发生大规模数据被盗事件之后,对于外国黑客的恐惧曾经笼罩在国会山;而对于黑客主动上报的漏洞,私营公司也曾威胁对他们采取法律行动。尽管如今很多规模较大的公司已经建立了让黑客安全披露漏洞的计划,但黑客仍然有合理的理由怀疑,那样做会让他们遭遇起诉和牢狱之灾。
“那种阴影仍然在安全研究人员中间萦绕不去。”HackerOne 的首席技术官亚历克斯·莱斯(Alex Rice)说, “风险是巨大的,这在私营行业和政府是实情,后者尤甚。”
HackerOne 是几家把漏洞赏金计划当成服务对外提供的公司之一,该公司可以让 Twitter、Uber 和 Dropbox 这些公司跟黑客进行匹配,让黑客测试这些公司的网站和服务,从中找出漏洞。HackerOne 的最新客户之一是美国国防部,后者在去年春天启动了自己的首个漏洞赏金计划:“Hack The Pentagon”(黑进五角大楼);之后在 11 月,又有了我们现在看到的 Hack The Army。
在接受漏洞赏金计划这个概念方面,国防部一直相对迟缓,一直等到科技行业应用多年之后才付诸实施。
漏洞赏金的创意据称起源于上世纪 90 年代中期的 网景公司(Netscape),但莱斯进行了更进一步的回溯,他挖掘出 Hunter & Ready 公司在 1983 年打出的广告,其中邀请黑客为其 VRTX 操作系统查找漏洞,奖品是一辆大众甲壳虫汽车。广告语中写道:“找到一个虫,送你一辆甲壳虫”。
漏洞赏金计划一直没有成为主流,直至谷歌在 2010 年开放了其首个大规模赏金计划。很快 Facebook、雅虎和其他科技公司纷纷效仿。苹果是后来者,该公司只在去年推出了一项 邀请制 的漏洞赏金计划。
国防部数字服务部门是 美国数字服务部门 设在五角大楼的分支机构,该部门鼓励国防部跟上科技行业的步伐。在医保网站 healthcare.gov 曝出灾难性的上线事件之后, 美国数字服务部门 也为政府机构配备了技术人员以提高其技术能力。
克里斯·林奇(Chris Lynch)是国防部数字服务部门的负责人,他支持五角大楼内部的漏洞赏金计划。一些黑客认为,林奇无法让这项计划获得通过。
“我们知道一个事实,即把各种各样的黑客置于一个宽泛的环境中将能带来一些有意义的成果。这是一个事实,我们无法网罗到所有优秀的黑客,并让他们为我们工作,但我们可以开展这些众包的漏洞赏金计划。”林奇说,“我已经受够了害怕知道我们的漏洞是什么,那很不好。”
通过 Hack The Pentagon——该计划邀请参与者对国防部面向公众的网站发起攻击——五角大楼试水了漏洞赏金计划。Hack The Pentagon 被认为是一次概念验证,它让林奇这样的倡导者能够向大家展示,漏洞赏金计划能够提升安全性,同时不用担心机密材料遭到泄露或重要系统被入侵。在该计划获得成功之后,人们对于向黑客发出攻击邀请的担忧开始消退。
“跟 6 个月前相比,人们如今的疑虑变少了。”陆军中将保罗·康弘(Paul Nakasone)说道,他是陆军网络司令部的长官,“我当时的第一个念头是,‘哇哦,只用 10 分钟就找出了一个漏洞,我们自己找要多久啊?’”(根据 Hack The Army 的官方统计,计划开放后仅 5 分钟就有人上报了第一个漏洞。)
康弘中将的团队负责协助修补由计划参与者发现的漏洞,他解释说,Hack The Army 把黑客攻击限定在事先协商好的网络之上,并让他们遵循既定的规则,这帮助缓解了一些人的担忧。作为伸出的橄榄枝,陆军没有要求对参与计划的黑客进行事先的背景审查,而一些私营公司倒是会强制进行背景审查。相反,Hack The Army 的参与者只有在领取奖金时才需要接受审查。
此外,除了在 Hack The Pentagon 计划开放期间接受攻击的公开网站之外,比如说 defense.gov,这次的 Hack The Army 还向黑客提供了一些更加令人兴奋的目标,比如存有个人数据的征兵网站和遍布全美的征兵站点。
“我们有意选择这组资产,因为我们知道它们是王冠上的宝石。”国防部数字服务部门的数字安全负责人丽莎·魏斯威(Lisa Wiswell)说,“应征者需要在那里输入自己的个人身份信息和各种东西,我们如今要做很多工作来保障它的安全。”
即便有了这些防御措施,Hack The Army 的一名黑客只花了一天时间就找到了一条无人维护的通道,可以从陆军的征兵网站连接到内部网络。通过串联一系列小漏洞,这名黑客得以连接本应需要特殊访问凭据的内部网站。“他们显然很明智,立刻就把这件事报告给我们。我们认为,这里面没有任何恶意活动。”魏斯威说道。
她解释说,对很多政府人士而言,保护个人信息是一个痛点——魏斯威不希望人事管理办公室被黑的事件重演。她表示,当黑客把自己的发现报告给军方时,这件事引起的恐慌是一种自然反应。
“很多人仍然对这件事感到不自在,尤其是军方人士。当你的日常工作都依赖于网络,那么在关掉它跟冒着泄密风险使用之间,做出取舍是件很难的事。”魏斯威说,“但是,如果好人找到了它,那可能意味着坏人已经掌握了关于漏洞的信息,这个漏洞赏金计划开始创造出公平的竞争环境。毫无疑问,坏人会继续入侵我们,他们或许会在某个地方喝早茶时入侵我们。我们现在让好人也加入进来,让他们提供帮助。当你做成这件事,你就不用再坐以待毙了。”
也许是料到有人会反对拿纳税人的钱奖励黑客,国防部曾把 Hack the Pentagon 标榜为一项削减开支的措施。该计划耗资 15 万美元,但国防部表示,委托一家私人公司进行类似安全审计,其成本将超过 100 万美元。Hack The Army 的成本尚不确定,因为军方还在评估黑客发现的漏洞。不过,康弘中将表示,预测表明这个计划仍然是一笔合算的交易。
漏洞赏金计划的支持者还认为,这个计划还能产生一种涓滴效应:研究人员很有可能在供应商提供的代码中发现问题,在那些问题得到解决后,跟那家供应商合作的所有机构都能提升自己的安全性。而且,这个计划还能为军事人员提供培训,因为他们也被允许以攻击者和防御者的身份参与进来。
不过,国防部数字服务团队并不只是专注于为漏洞赏金计划的优点提供辩护,他们还想进一步扩大它。
让五角大楼更加接受黑客只是第一步,数字服务团队希望漏洞赏金计划能够从根本上改变国防部思考网络安全的方式。魏斯威认为,如果使用自动化扫描工具,那些能够让黑客连接内网的系列漏洞是无法被发现的,这证明安全领域需要人类的聪明才智和经验。像国防部这样的大型机构,他们会花费数百万美元进行自动化漏洞扫描,这种技术承诺能够以高出人类工程师的速度和效率在大规模网络中发现问题。
“单自动化技术而言,它们很少能够胜任那些逻辑跳跃。”魏斯威说,“长久以来,我们一直把重点放在这些银弹技术之上,比如说自动扫描或诸如此类的东西,但它们并不是一套完整的安全战略。我们做了很多事来进行补救,但我们却没有花气力彻底调整自己思考安全问题的方式。”
林奇在过去曾表示,让黑客接触越来越敏感的数据集一直就是漏洞赏金计划的组成部分。他说,这一点并没有发生改变。林奇预计,漏洞赏金计划最终将延伸至机密网络。
然而,目前还不清楚,在特朗普上台之后,国防部数字服务团队的这些计划将演变成什么样子。 由奥巴马任命的范宁将离开五角大楼,他的继任者是由特朗普任命的 文森特·维奥拉(Vincent Viola),后者是拥有一支佛罗里达州曲棍球队的亿万富豪。鉴于情报部门做出的 评估 ,即俄罗斯通过黑客活动干扰了美国大选,特朗普可能希望对黑客展示强硬手段,反对国防部正在进行当中的漏洞赏金计划。
“我不知道新一届政府会做什么,但我不认为这种计划的需求和价值还存在什么争议。对敌人来说,网络的进入门槛很低,每个人都认为——”范宁停顿了一下,然后改口说,“有一种相当广泛的共识,我们让越多双眼睛来审查问题,我们就越有利。”
题图为美国陆军部长埃里克·范宁展示奖励给成功侵入军方网络的黑客的纪念币。图片来源:John Martinez, US Army
翻译:王灿均(@何无鱼)