360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器入侵美国空军:60人黑客小队拿下29万赏金的背后
- 2020-04-21 17:09:37
昔日,世界头号黑客米特尼克,16岁入侵北美空中防务指挥部,攻进美国国防部、五角大楼网络系统,最终被FBI逮捕落得个五年牢狱之灾。而在20多年后的今天,美国国防部(DOD)却反其道而行,将 “黑客入侵空军”、“黑客入侵五角大楼”、“黑客入侵陆军”等一系列激进活动,发展成了年年召开的重金悬赏式挑战赛。
时间改变了黑客,也改变了美国。今天,零日就跟大家聊聊美国国防部为何钟情自虐,不惜悬赏也要求黑客吊打自己的前因后果。
60人黑客小队入侵美国空军
前不久Forbes新闻披露称,去年10月23日至11月20日,美国空军发起了“黑客入侵空军(Hack The Air Force 4.0)”的特别活动。期间,专门组织了一个60人规模的黑客小队,连续不间断地对美空军虚拟数据中心发起了长达四周的网络攻击。
最终,在黑客唱主角的入侵行动中,从空军虚拟数据中心的云服务器和系统中发现了多达460个漏洞。堪称惨烈的战况,充分的满足的美国国防部的“自虐”需求,爽快地拿出了29万美元奖金以奖励黑客。
从表面看,美国空军在黑客面前“脆弱”的不堪一击。但从国防部的网络安全建设上来看,这460个安全漏洞和29万赏金,花得值。为啥?
发现就意味着修复,修复则代表着更安全。按照零日的推测来看,“黑客入侵空军”行动结束5个月才对外公布,说明这460个漏洞已修复完毕。惯会在网络安全领域玩自搏术的美国国防部,又一次精进的安全内功。
为筑安全自导自演黑客入侵
从“黑客入侵美国空军”不难看出,这就是美国国防部自导自演的一套攻防博弈。网军自殴难免误伤,可要是换成挖洞式的黑客攻击,那就是一本万利。为了全方位提升空军等多系统的网络防御力,国防部的“黑客入侵计划”可谓筹谋已久。
始于三年前的空军入侵挑战
“黑客入侵空军 4.0”始于2017年,发展至今已有三年时间。在首次入侵美国空军挑战活动中,来自澳大利亚、加拿大、新西兰和英国的300名黑客,经过层层身份审查把关,最终在针对空军网络的攻击活动中,拿下了207个有效漏洞,虽远低于此次发现的460个漏洞,但却第一次让美国空军尝到了补洞提升安全的甜头。
多头并进的黑客入侵计划
在“黑客入侵空军”之前,还有“黑客入侵五角大楼”、“黑客入侵陆军”两大成功先例。严格来说“黑客入侵空军”正是以上活动的空军翻版。2016年,美国国防部国防数字服务(DDS)团队率先发起黑客入侵五角大楼漏洞奖励试点计划,并联合全球漏洞赏金平台HackerOne,负责黑客入侵活动的运营、规划与执行。这才有了五角大楼、陆军、空军多头并进的黑客入侵计划。
比技术更重要的可信度
像多数国家对军人要求的绝对忠诚一样,在第一次“黑客入侵”挑战创立之初,美国国防部就把参赛技术人员的可信度放在了重要位置。首先,参加美国国防部“黑客入侵”计划的人员,主要来自美国、英国、加拿大、澳大利亚和新西兰,也就是常说的“五眼联盟”;其次,受邀人员身份必须经过层层背景调查。人的可信与安全,在美国国防部这里同样是比技术更重要的存在。
激进冒险计划背后是安全诉求
从打击黑客入侵到主动邀请黑客攻击,这是个十分激进冒险的计划,不过如果站在美国国防部的角度来看,“黑客入侵”系列计划的提出,的确有着让他们冒险的多重因素。
因素1:从源头发现未知威胁
网络攻击不可怕,可怕的是未知。而“黑客入侵空军”等一系列主动邀请黑客攻击活动的出现,可以说就是在源头上消灭未知。漏洞无可避免,可当可信黑客抢在攻击者之前发现并修复漏洞,则意味着一个“定时炸弹”的提前清除,无疑是从源头上阻断未知威胁发生的有效手段。
因素2:自攻自防升级安全屏障
在美国国防部组织可信黑客入侵多系统网络,联合平台广揽技术人员挖洞的努力下,国防部已累计成功修复12000个漏洞。相比于攻击发生时的危机应对,更为积极主动的自攻自防行动,可大幅度增强国防部各系统网络的安全屏障。
因素3:可控对抗环境下技术交流
技术升级的关键在交流与切磋,而美国国防部的“黑客入侵计划”,其实就是仿真对抗与可信环境下的“军民”技术博弈。美国国防部以漏洞赏金方式组织可信黑客批量持续的进攻,可进一步从黑客角度掌握攻击、渗透思路与技能,以此反哺网络安全建设。
零日反思
黑客的参与帮助美国国防部提升了网络安全实践的基础,相比于常规的网络安全排查,可信黑客下场攻防,带来的是基于实践层面的安全。其中值得我们参考学习的,不仅是立足攻防实践升级安全,更是积极主动创造危机,排查安全短板的网络安全建设思路。还记得开篇说的那个遭受牢狱之灾的头号黑客吗?他的全名叫做凯文·米特尼克,现如今他是FBI高级安全顾问,并开设了安全公司,成为了名副其实的网络安全守卫者。
京公网安备 11000002000006号