魏斯威爾說,第一個發現漏洞獎勵計畫也向部分持懷疑態度的國防部官員證明,駭客「僅僅做了我們要求做的事情,僅止於此」,這使她有正當理由把計畫擴大。

■After all, the bug bounty program wasn't just about pointing to holes in the Pentagon's public-facing sites, Wiswell says: It was also about getting the government to admit that it needs help from hackers.

前年中,美國聯邦政府「人事管理局」(OPM)遭駭客入電動床侵竊取大量聯邦員工個人資料。新聞才播出幾分鐘,麗莎?魏斯威爾(Lisa Wiswell)就接到駭客們的電話。

HackerOne執行長米可思聲明表示,「國防部內部的網路安醫療電動床補助全工作做得超級棒,與外部駭客社群合作可以更上一層樓。沒有一個組織或政府能夠強大到不需要外界協助尋找安全問題」。

魏斯威爾與團隊在計畫結束後訪問參與的駭客,10個人有9個人說,參加原因是感覺國家需要他們服務。她回憶道,「一人說『我連一哩都跑不了,不是當兵的料。但如果國防部需要我發揮專長,我樂意服務』。」魏斯威爾說,此人找出很多有趣的漏洞。

總而言之,這項計畫不單單是找出國防部公開網站的漏洞。魏斯威爾說,也希望讓政府明白,他們需要駭客幫忙。

魏斯威爾去年初啟動聯邦政府有史以來第一個發現電動床推薦漏洞獎勵計畫,付酬勞給找到軟體漏洞的駭客。

第一個發現漏洞獎勵計畫有超過1,400名駭客報名,是國防部官員原本預期的3倍。他們找出130多個漏洞,國防部支付酬勞7萬5千美元。估計,這樣子省下上百萬美元。之前,國防部曾在3年間付了500萬美元給一家公司,結果只找到不到10個漏洞。

而且她的想法開始實現。因為第一個計畫圓滿成功,國防部去年10月公布2個價值700萬美元的新計畫,與科技公司HackerOne與Synack合作,把漏洞獎勵計畫擴大。

美國國防部啟動一項前所未有的計畫:邀請駭客來找出其網站的漏洞。沒想到有上千名本國駭客報名參加,他們本著愛國心參與計畫。

該計畫的表面目標是協助國防部找出其公開網站的弱點,但魏斯威爾心中有個更遠大的目標:藉此改變駭客的形象。因為國防部的人多半把駭客與不法入侵電腦網路聯想在一起。她說,這麼做是想改變國家的安全文化。

師夷長技以制夷

魏斯威爾是美國國防部「國防數位服務」的數位安全部門負責人。她擁有與獨立資安專家長期合作的經驗,並認為應當把正直的國內駭客視為對抗網路攻擊的盟友。她回想與駭客對話時說,「所有人都說『聽著,我們不希望再發生像OPM這樣的事情,就找個合法管道讓我幫忙吧!」雖然駭客攻擊令科技公司、銀行、車商以及公共事業在守護電腦系統與軟體安全付出極大心力。但他們對此事件的反應,令魏斯威爾決定帶駭客進入國防部的懷抱。

駭客要求的回報,則是希望政府別把他們放進某個觀察名單。他們也要求國防部為入侵行為訂出明確的界限,讓他們知道哪些伺服器不能亂逛。這種事被稱為「駭客事件」(hack-cidents),可能讓駭客吃上官司。

工商時報【蔡致仁】

魏斯威爾說,「國防部是個有趣的機構,因為我們與任務相關的資產都是網絡化而且連線的。我們希望確保一些機密資產沒有漏洞。」

網羅人才電動病床化為己用

A2E81355B97B7F4C
arrow
arrow

    ozjy1hn060 發表在 痞客邦 留言(0) 人氣()