七国黑客再次从纽约地铁站黑进美国空军

 

沉浸在节假日气氛中的纽约市充满了魅力,而让全球黑客一起合法入侵美国空军系统这件事更让这种魅力翻倍。

黑客现场

周六(12月9日),我们在纽约市直播了h1-212 黑客活动。下午2点左右,当冬天的第一场雪让纽约市变得白茫茫一片时,六名来自 Defense Media Activity (DMA,美国国防部下属机构)DMA公共网团队的成员和四名来自 Defense Digital Service (DDS, 美国国防部下属机构)的成员乘坐飞机抵达繁忙的富尔顿中心地铁站。让白帽子黑客和安全团队联合起来,尽可能的发现更多的漏洞。

这一活动也拉开了 “Hack the Air Force 2.0” 的帷幕(h1-212 黑客活动只是Hack the Air Force 2.0挑战活动的开始,这项活动将一直持续到2018年1月1日),25名来自美国、加拿大、英国、瑞典、荷兰、比利时和拉脱维亚的7名平民黑客和7名美国空军军人汇聚一堂,在9个小时里一起奋战,共发现了55个漏洞。6名DMA团队成员支持了现场的修复工作。

Brett Buerhaus (ziot) 发现了一个美国空军必须亲自查看的问题,美国空军从Brett及其协作者 Mathias Karlsson (avlidienbrunn) 的身后探过头向里面张望,看他们是如何利用某个空军网站上的一个漏洞转移到美国司法部 (DoD) 的非机密网络中的。

Hacker Mathias Karlsson向DMA Public Web团队的Jeremy Morrow,Lance Cleghorn,James Garrett和Tim Creech展示了一个重要的漏洞发现

 

此刻,一名空军官员站在那里并告诉他们可以在自己的监督下继续深挖,看看到底能达到什么极限。不久后,DMA行动组公共网络主管 James Garrett 转过身,跟黑客握手并表示,“谢谢你们,如果没有你们,我们不会发现这个问题。”

Hacker Brett Buerhaus在发现了一个严重的漏洞之后与DMA公共Web运营总监James Garrett握手

 

Buerhaus 和 Karlsson 共获得 10,650美元的奖励,这是有史以来政府漏洞奖励计划颁发出的最大一笔单项奖励。Buerhaus说,“我之前犯嘀咕,他们在多大程度上愿意跟我们一起找出问题并了解问题的影响程度有多大?大家认为政府是一种被封锁的状态,而且总是在背后处理问题。现在看到他们这么积极地和我们合作感觉很棒。这件事情让一切都焕然一新,而且很明显他们很愿意跟我们一起合作来保护自己的利益。”

 

漏洞奖励计划成果颇丰

而这,不过是我们在2017年第四次现场黑客活动h1-212捕捉到的一个瞬间。从发现漏洞到首次响应的平均时长是25分钟,而且每次漏洞报告都在当天解决。空军总共支付26,883美元。

空军第24军副参谋长 Jonathan Joshua 上校表示,“他们让人印象深刻。找到漏洞后不久,黑客试图向另外一个黑客团队说明,但漏洞已被修复了。他们试图抓取截屏准备会后回顾,但由于系统已正常运转因此也无法实现。”

 

政府漏洞奖励计划持续进行

更让人欣喜的是,美国空军和DDS在活动后总结称,这才是开始。”Hack the Air Force 2.0” 挑战活动将一直持续到2018年1月1日而且向以下国家的所有公民或合法居民开放:美国、英国、加拿大、澳大利亚、新西兰、阿尔巴尼亚、比利时、保加利亚、克罗地亚、丹麦、爱沙尼亚、法国、德国、冰岛、意大利、拉脱维亚、立陶宛、荷兰、挪威、波兰、葡萄牙、斯洛文尼亚、西班牙、瑞典或土耳其。参与者必须具有美国纳税人识别号或社保号或雇主识别号或以上国家(除美国外)的有效护照号码。这让 “Hack the Air Force 2.0” 活动成为有史以来最开放的政府漏洞奖励计划。

跟首届 “Hack the Air Force” 挑战活动一样,美国军人有资格参赛但无法获得奖励。如果你有兴趣参与活动,可进行注册。如果你没有资格参赛但发现了有一些需要报告的问题,可报告给国防部。

黑客Frans Rosen(fransrosen)和Mathias Karlsson与两名美国空军人员合作

 

美国空军的攻击面是最难破解的之一。通过邀请白帽黑客社区来找到不知名安全漏洞,美国空军让本已足够天才的网络安全团队的工作锦上添花。

美国空军首席信息安全官 Peter Kim 这样说,“入侵美国空军活动让我们有机会向外看并利用我们国家和合作伙伴国家的人才保护我们的国防安全。我们通过开放约300个面向大众的空军网站的方式大大扩展了首次挑战活动获得的巨大成功。这种合作伙伴形式的成本效益是无价的。”

“Hack the Air Force 2.0” 是迄今为止美国政府公开的第四个漏洞奖励挑战活动,它们都源自美国国防部下属团队DDS。2016年,第一个政府漏洞奖励计划“Hack the Pentagon (入侵五角大楼)”启动,之后是“Hack the Army (入侵美国陆军)”、第一届“Hack the Air Force (入侵美国空军)”和正在进行的国防部漏洞披露计划(VDP)。VDP活动鼓励黑客从所有的公开政府实体中找出漏洞。

美国空军第24军指挥官Christopher Weggeman 少将认为,“这是首次展示官方和私营以及商业部门、国际合作伙伴的联合进攻能力。这个计划不仅加强了合作伙伴关系,而且能让美国空军和美国国防部以外的最优秀和最聪明的头脑切磋学习。”

漏洞奖励挑战活动和正在进行的VDP活动仅仅启动一年后,美国国防部就已经解决了公开系统中存在的3000多个漏洞问题,而黑客已经通过努力获得30多万美元的奖励,这些都出乎意料而且让国防部节约数百万美元。

Keep up the great work, and happy hacking!

(完)