美陆军公布“入侵陆军”众测结果：修复118个漏洞，奖金超10万美元

美陆军公布“入侵陆军”众测结果

本文由国防科技要闻（ID:CDSTIC）授权转载

中国国防科技信息中心 吴海

　　

　　2016年底，美陆军和“黑客一号”在线网站共同发布一项名为“入侵陆军”（Hack the Army）的漏洞赏金计划，给成功入侵美国陆军的白帽黑客予以奖励。2017年1月下旬，陆军公布了“入侵陆军”计划众测竞赛结果。

众测结果

　　美陆军总共收到了416份漏洞报告，经确认，其中118份被认为是有效报告。美陆军分享了某些高危漏洞详情，比如研究人员发现了goarmy网站上存在两个漏洞，攻击者可以利用这两个漏洞通过开放的代理服务，在无需身份验证的情况下访问国防部内部网站。美陆军给予发现漏洞的白帽黑客总计超过10万美元的奖金。

　　

“入侵陆军”计划简介

　　该计划旨在发现和解决美陆军计算机和网络系统存在的安全管理隐患。实施办法是举办挑战赛，邀请黑客尝试渗透陆军在线资产和数据库。美陆军计划邀请500名黑客入侵其计算机系统，而本次“入侵”总共317人参与，据称第一个发现陆军网络系统漏洞的黑客仅用时5分钟。这是美国军方举办的第二届政府赏金活动，此前美国防部也曾组织过“入侵国防部”网络黑客挑战赛。

　　

“入侵陆军”计划的意义

　　美国陆军部长埃里克·范宁表示，全世界每天有大量的人尝试访问陆军的网站、数据和信息，陆军的计算机和网络系统时时遭遇不同的网络攻击。尽管陆军的网络团队经过了出色的训练，但靠他们的努力仍是不够的。通过这样的竞赛，核实并及时消除参赛人员发现的工作漏洞，有助于更好地完善陆军网络系统。

未来计划

　　美国防部透露，无论是“入侵国防部”计划，还是“入侵陆军”计划，都仅仅是个开始。国防部打算将此类活动确定为永久计划，并将扩大受邀参与者的范围和参与测试网站的数量，从而发现国防部网络系统的更多漏洞，以强化国防部网络、系统和信息的安全。

　　美国陆军公布“Hack the Army”竞赛结果：修复118个漏洞，奖金超10万美元

参考来源：forbes，FB小编bimeover编译

转载请注明来自Freebuf.COM

　　早在去年11月底，我们就报道过，美国国防部和HackerOne共同发布的一项漏洞赏金计划，名为Hack the Army，针对成功入侵美国陆军的白帽子予以奖励——采用邀请参与者的方式尝试渗透其在线资产和数据库。类似这样的政府赏金计划在美国也是第二个，先前还有Hack the Pentagon（针对五角大楼的）。而这次的Hack the Army计划寻找500名想要证明其黑客技能的人，来入侵美国陆军计算机系统。昨天，Hack the Army竞赛结果已经出炉。

美国陆军部长Eric Fanning展示给白帽子的奖励金币

　　Hack the Army计划就是要让美国陆军“把钱放进我们嘴里”，“向美军红队和DDS团队对其系统和网络所做的防护工作发起挑战”。而“挑战”就是由在HackerOne参与的“黑客”们发动的。本次“入侵”总共317人参与，据说仅5分钟时间就已经曝出了第一个漏洞。

　　美国陆军总共收到了416份漏洞报告，其中118份确认未有效报告，给予发现漏洞的白帽子们的总奖金超过10万美元。美国陆军还分享了某些高危漏洞详情，比如研究人员发现了 goarmy.com 网站上存在两个漏洞，攻击者可以利用这两个漏洞通过开放的代理服务，在无需身份验证的情况下访问国防部内部网站。

　　

　　美国陆军部长Eric Fanning表示，陆军“每天”都遭遇攻击，而那些攻击的黑客可不是为了赏金计划。Fanning接受国外媒体采访时说，“设立这样的竞赛，核实参赛情况，投入到参与者发现的工作中，是件很棒的事情”。

　　“我们早就意识到我们不能继续用我们的方法来做事，相比现如今科技世界发生的变化，我们还不够敏捷。全世界有那么多人尝试访问我们的网站、我们的数据和我们的信息。我们的团队经过了出色的训练，在军队和国防部之中都是合格的队伍，但这仍是不够的。”

　　显然从美国政府的这些行动来看，无论是Hack the Pentagon还是Hack the Army，都还不过是个开始。

　　欢迎“黑进军队”：美国陆军推出漏洞赏金计划

　　在政治组织遭黑客入侵引起人们担忧之时，美国陆军比以往任何时候都更加需要黑客。

　　

　　去年 12 月上旬，在浏览美国陆军一个面向公众的征兵网站时，一名黑客发现了一个漏洞，接着又有一个，直至他突然闯入了本应需要特殊访问凭据才能连接的美国国防部内网。在那个晚上，五角大楼的工作人员发疯一样互打电话，并考虑完全关掉被入侵的网络。

　　入侵事件是出人意料的，但更令人担心的事实是，这名黑客没有触发任何警报——国防部并不知道他已经进入内网，直至黑客自己报告了这件事。

　　发现漏洞的黑客正在参加美国陆军首次开放的漏洞赏金计划“Hack The Army”（黑进军队），该计划邀请安全研究人员一试身手，并向那些发现漏洞的人支付奖金。国防部的安全团队接受过专门培训，可以迅速对不明原因的网络流量做出反应。不过，该部门拥有 320 万名雇员，并不是所有人都知道有这么一项漏洞赏金计划正在进行，所以一些人的恐慌是可以理解的。美国陆军认可了这个漏洞，甚至对自家征兵网站被黑表示庆幸——这意味着，Hack The Army 漏洞赏金计划奏效了。

　　“坦白地说，我当时的反应是，‘好极了’。”美国陆军部长埃里克·范宁（Eric Fanning）解释说，“很多人对 Hack The Army 的第一反应是，‘你们为什么要邀请别人来黑自己？’好吧，我们每天都在被人黑，一天 24 小时不间断，而那些人可是不怀好意。所以，举行一场比赛，对参与者进行审核，并让他们把自己的发现告知给我们，这个想法非常好。如果他们没有找到漏洞，或者在某些情况下没有找到出乎我们意料的漏洞，那么我不认为这场比赛达到了我们的预期。”

　　范宁部长的反应代表着政府看待安全研究的方式发生了演变，而引领这种演变的是谷歌和 Facebook 这些科技公司。对于被黑客入侵，政府机构和私营行业巨头并不总是这样若无其事。在美国人事管理办公室（OPM）和民主党全国委员会（DNC）发生大规模数据被盗事件之后，对于外国黑客的恐惧曾经笼罩在国会山；而对于黑客主动上报的漏洞，私营公司也曾威胁对他们采取法律行动。尽管如今很多规模较大的公司已经建立了让黑客安全披露漏洞的计划，但黑客仍然有合理的理由怀疑，那样做会让他们遭遇起诉和牢狱之灾。

　　“那种阴影仍然在安全研究人员中间萦绕不去。”HackerOne的首席技术官亚历克斯·莱斯（Alex Rice）说， “风险是巨大的，这在私营行业和政府是实情，后者尤甚。”

　　HackerOne 是几家把漏洞赏金计划当成服务对外提供的公司之一，该公司可以让 Twitter、Uber 和 Dropbox 这些公司跟黑客进行匹配，让黑客测试这些公司的网站和服务，从中找出漏洞。HackerOne 的最新客户之一是美国国防部，后者在去年春天启动了自己的首个漏洞赏金计划：“Hack The Pentagon”（黑进五角大楼）；之后在 11 月，又有了我们现在看到的 Hack The Army。

　　在接受漏洞赏金计划这个概念方面，国防部一直相对迟缓，一直等到科技行业应用多年之后才付诸实施。

　　

　　漏洞赏金的创意据称起源于上世纪 90 年代中期的网景公司（Netscape），但莱斯进行了更进一步的回溯，他挖掘出 Hunter & Ready 公司在 1983 年打出的广告，其中邀请黑客为其 VRTX 操作系统查找漏洞，奖品是一辆大众甲壳虫汽车。广告语中写道：“找到一个虫，送你一辆甲壳虫”。

　　

　　漏洞赏金计划一直没有成为主流，直至谷歌在 2010 年开放了其首个大规模赏金计划。很快 Facebook、雅虎和其他科技公司纷纷效仿。苹果是后来者，该公司只在去年推出了一项邀请制的漏洞赏金计划。

　　国防部数字服务部门是美国数字服务部门设在五角大楼的分支机构，该部门鼓励国防部跟上科技行业的步伐。在医保网站 healthcare.gov 曝出灾难性的上线事件之后，美国数字服务部门也为政府机构配备了技术人员以提高其技术能力。

　　克里斯·林奇（Chris Lynch）是国防部数字服务部门的负责人，他支持五角大楼内部的漏洞赏金计划。一些黑客认为，林奇无法让这项计划获得通过。

　　“我们知道一个事实，即把各种各样的黑客置于一个宽泛的环境中将能带来一些有意义的成果。这是一个事实，我们无法网罗到所有优秀的黑客，并让他们为我们工作，但我们可以开展这些众包的漏洞赏金计划。”林奇说，“我已经受够了害怕知道我们的漏洞是什么，那很不好。”

　　通过 Hack The Pentagon——该计划邀请参与者对国防部面向公众的网站发起攻击——五角大楼试水了漏洞赏金计划。Hack The Pentagon 被认为是一次概念验证，它让林奇这样的倡导者能够向大家展示，漏洞赏金计划能够提升安全性，同时不用担心机密材料遭到泄露或重要系统被入侵。在该计划获得成功之后，人们对于向黑客发出攻击邀请的担忧开始消退。

　　“跟 6 个月前相比，人们如今的疑虑变少了。”陆军中将保罗·康弘（Paul Nakasone）说道，他是陆军网络司令部的长官，“我当时的第一个念头是，‘哇哦，只用 10 分钟就找出了一个漏洞，我们自己找要多久啊？’”（根据 Hack The Army 的官方统计，计划开放后仅 5 分钟就有人上报了第一个漏洞。）

　　康弘中将的团队负责协助修补由计划参与者发现的漏洞，他解释说，Hack The Army 把黑客攻击限定在事先协商好的网络之上，并让他们遵循既定的规则，这帮助缓解了一些人的担忧。作为伸出的橄榄枝，陆军没有要求对参与计划的黑客进行事先的背景审查，而一些私营公司倒是会强制进行背景审查。相反，Hack The Army 的参与者只有在领取奖金时才需要接受审查。

　　此外，除了在 Hack The Pentagon 计划开放期间接受攻击的公开网站之外，比如说 defense.gov，这次的 Hack The Army 还向黑客提供了一些更加令人兴奋的目标，比如存有个人数据的征兵网站和遍布全美的征兵站点。

　　“我们有意选择这组资产，因为我们知道它们是王冠上的宝石。”国防部数字服务部门的数字安全负责人丽莎·魏斯威（Lisa Wiswell）说，“应征者需要在那里输入自己的个人身份信息和各种东西，我们如今要做很多工作来保障它的安全。”

　　

　　即便有了这些防御措施，Hack The Army 的一名黑客只花了一天时间就找到了一条无人维护的通道，可以从陆军的征兵网站连接到内部网络。通过串联一系列小漏洞，这名黑客得以连接本应需要特殊访问凭据的内部网站。“他们显然很明智，立刻就把这件事报告给我们。我们认为，这里面没有任何恶意活动。”魏斯威说道。

　　她解释说，对很多政府人士而言，保护个人信息是一个痛点——魏斯威不希望人事管理办公室被黑的事件重演。她表示，当黑客把自己的发现报告给军方时，这件事引起的恐慌是一种自然反应。

　　“很多人仍然对这件事感到不自在，尤其是军方人士。当你的日常工作都依赖于网络，那么在关掉它跟冒着泄密风险使用之间，做出取舍是件很难的事。”魏斯威说，“但是，如果好人找到了它，那可能意味着坏人已经掌握了关于漏洞的信息，这个漏洞赏金计划开始创造出公平的竞争环境。毫无疑问，坏人会继续入侵我们，他们或许会在某个地方喝早茶时入侵我们。我们现在让好人也加入进来，让他们提供帮助。当你做成这件事，你就不用再坐以待毙了。”

　　

　　也许是料到有人会反对拿纳税人的钱奖励黑客，国防部曾把 Hack the Pentagon 标榜为一项削减开支的措施。该计划耗资 15 万美元，但国防部表示，委托一家私人公司进行类似安全审计，其成本将超过 100 万美元。Hack The Army 的成本尚不确定，因为军方还在评估黑客发现的漏洞。不过，康弘中将表示，预测表明这个计划仍然是一笔合算的交易。

　　漏洞赏金计划的支持者还认为，这个计划还能产生一种涓滴效应：研究人员很有可能在供应商提供的代码中发现问题，在那些问题得到解决后，跟那家供应商合作的所有机构都能提升自己的安全性。而且，这个计划还能为军事人员提供培训，因为他们也被允许以攻击者和防御者的身份参与进来。

　　不过，国防部数字服务团队并不只是专注于为漏洞赏金计划的优点提供辩护，他们还想进一步扩大它。

　　让五角大楼更加接受黑客只是第一步，数字服务团队希望漏洞赏金计划能够从根本上改变国防部思考网络安全的方式。魏斯威认为，如果使用自动化扫描工具，那些能够让黑客连接内网的系列漏洞是无法被发现的，这证明安全领域需要人类的聪明才智和经验。像国防部这样的大型机构，他们会花费数百万美元进行自动化漏洞扫描，这种技术承诺能够以高出人类工程师的速度和效率在大规模网络中发现问题。

　　“单自动化技术而言，它们很少能够胜任那些逻辑跳跃。”魏斯威说，“长久以来，我们一直把重点放在这些银弹技术之上，比如说自动扫描或诸如此类的东西，但它们并不是一套完整的安全战略。我们做了很多事来进行补救，但我们却没有花气力彻底调整自己思考安全问题的方式。”

　　林奇在过去曾表示，让黑客接触越来越敏感的数据集一直就是漏洞赏金计划的组成部分。他说，这一点并没有发生改变。林奇预计，漏洞赏金计划最终将延伸至机密网络。

　　然而，目前还不清楚，在特朗普上台之后，国防部数字服务团队的这些计划将演变成什么样子。 由奥巴马任命的范宁将离开五角大楼，他的继任者是由特朗普任命的文森特·维奥拉（Vincent Viola），后者是拥有一支佛罗里达州曲棍球队的亿万富豪。鉴于情报部门做出的评估，即俄罗斯通过黑客活动干扰了美国大选，特朗普可能希望对黑客展示强硬手段，反对国防部正在进行当中的漏洞赏金计划。

　　“我不知道新一届政府会做什么，但我不认为这种计划的需求和价值还存在什么争议。对敌人来说，网络的进入门槛很低，每个人都认为——”范宁停顿了一下，然后改口说，“有一种相当广泛的共识，我们让越多双眼睛来审查问题，我们就越有利。”

　　美国政府邀请黑客攻击美军网站 Hack the Army漏洞奖励计划启动

参考来源：Softpedia，本文作者：Sphinx

转载自FreeBuf（FreeBuf.com）

　　美国国防部(DoD)和HackerOne公司最近共同发布了一项漏洞赏金计划，主要是奖励那些成功入侵美国陆军网站，发现漏洞的黑客们。黑客们可以尽情进行安全测试而不用担心遭到迫害了。

　　这个漏洞奖励计划名叫Hack the Army，实际上最早是在11月11日就公布的。而从今天开始，黑客们就可以登陆网站注册参加第一期的漏洞项目。

　　原定第一期的参与人数为500人，但国防部称可能会根据情况增加更多参与者席位。

　　HackerOne没有公布奖金数量，但是公司提到成功攻破美军系统的黑客，能够赚到几千至几万美元的现金（to earn thousands of dollars in cash）。

　　

　　提高美军系统安全性

　　不过，HackerOne公司并没有提及期望收到的漏洞类型，但毫无疑问最重要的漏洞应该是那些能让黑客控制系统的远程执行漏洞。

　　国防部漏洞披露政策（DoD Vulnerability Disclosure Policy）提到，本次的漏洞奖励计划涉及所有面向公众的网站——那些国防部所有，并由国防部运营和控制的网站，另外黑客不应泄露任何发现的相关信息。

　　Hack the Army项目页面上称：

　　“这是一次让美军探索安全新方式，也是目前最成功最安全的软件公司采用的实践方案。通过这个项目，美国陆军可以保证其系统和士兵尽可能安全。”

　　项目的第一阶段从美国东部时间2016年11月30日（周三）中午开始，12月21日17点结束。

　　安全研究领域更大范围的合作

　　安全专家认为，这项奖励计划可能会促成整个安全研究领域更大范围内的合作。除了安全研究人员和白帽子、各种黑客之外，美国政府的文职人员和现役军人也是可以参与奖励计划的。而Hack the Army计划也将引入到上文提到的漏洞披露政策中。

　　Rapid 7高级安全研究经理Tod Beardsley则说：“这项政策对于开放的安全研究发展会有很大帮助，我对此持乐观态度。”“这项政策真正认识到了安全专家在漏洞发现和披露方面的价值，而不是因为其好奇心就判定他们有罪。”

　　“这项政策的普及，对于安全研究行为的合法化而言是很重要的一步。各种不同规模的企业组织，也能够认识到‘看到什么就说什么’这样的理念，对于互联网安全是有积极意义的。”

美国陆军“黑进军队”（Hack the Army） 网络漏洞悬赏计划 中文版

　　来源：E安全（ID:EAQapp）

　　通过“黑进军队”（Hack the Army）漏洞赏金计划，美国陆军部努力探索新的安全方法，并采用最成功安全软件企业使用的最佳实践。这样一来，美国陆军就能确保系统和军人尽可能安全。

　　“Hack the Army”漏洞赏金计划将于东部时间2016年11月30日12点（中午）开始，并于东部时间2016年12月21日17:00点结束。

　　参与挑战者需浏览所有参与和悬赏资格规定，并同意遵守所有挑战规则。

　　参与及悬赏资格

　　如果满足以下资格标准，普通个人均有资格参与。如果满足下方悬赏标准，还有资格收到赏金。美国政府承包商人员也被视为个人，如果满足标准，可以在私人时间参与并使用个人资源。

　　美国联邦文职雇员和现役军人（定义如下）如果满足标准，只能以官方身份参与。美国联邦文职雇员和现役军队没有资格得到赏金。

　　美国陆军人力资源司令部在职和前任员工，包括美国联邦文职雇员、现役军队和承包商，均没有资格参与。

　　500个符合条件的申请人将被邀请参与挑战本文由E安全译制。邀请函将在挑战期间定期发给符合条件的参与者。约70%的参与者将由HackerOne信誉系统（HackerOne Reputation System）选取，约30%的参与者将随机抽取。如果被抽中，参与者会收到电子信息进行确认。

　　请注意，注册截止时间为东部时间2016年11月28日17:00。

　　普通个人参与及悬赏资格

　　这里所指的普通个人包括美国政府承包商人员，只有满足以下所有条件，才有资格参与：

　　· 必须在安全页面成功注册成为参与者。

　　· 必须持有美国纳税人身份证号或社会保险号或雇主身份证号，并填写核查表。

　　· 必须有资格在美国境内工作，也即美国公民、美国非公民国民、合法永久居民或获批在美国境内工作的外国人。

　　· 不得居住在目前美国贸易制裁的国家。

　　· 不得为美国财政部特别指定国民名单成员。

　　如果提交合格有效的漏洞，通过安全和犯罪背景检查后，或许有资格获得赏金。

　　只有符合上述参与要求，才有参与资格。

　　联邦文职雇员和现役军人参与及悬赏资格

　　联邦文职雇员和现役军人的资格标准与普通个人不同：

　　联邦文职雇员只有满足以下所有标准才具备参与资格：

　　· 在安全页面成功注册成为参与者。

　　· 使用联邦政府电子邮箱注册。

　　· 为在职美国联邦文职雇员。

　　· 参与者上级决定参与者是否符合任务要求，并书面授权参与该计划。如果工资为补偿资助或特定拨款，上级将需要与组织确认是否有资格参加，因为资金来源也许会限制参与资格。

　　· 上级确定参与者不会使美国政府承担加班成本。

　　· 在公职期间参与，可以根据上级制定的标准使用政府资源、包括政府设备。

　　· 按照上级指示的方式参与，例如，上级也许会限制参与时间或禁止在电子办公期间参与挑战。

　　· 参与者不得接受工资以外的额外收入。联邦文职官员没有资格接受悬赏金。接受悬赏金可能会违反犯罪道德法规18 U.S.C. 209。

　　现役军人只有满足以下标准才能参与：

　　· 在安全页面成功注册成为参与者。

　　· 使用联邦政府电子邮箱注册

　　· 现役美国军人包括领薪水的后备军人、领联邦薪水以及警卫部队授权的国民警卫队队员，和主管当局授权的军校学员。

　　· 指挥官书面授权作为公职参与该计划。

　　· 按照上级建立的标准使用政府资源，包括政府设备。

　　· 按照司令官指示的方式参与，例如，司令官也许会限制参与时间。

　　· 参与者不得接受工资以外的额外收入。现役军人没有资格接受悬赏金。接受悬赏金可能会违反共同伦理法规DoD 5500.07-R。

　　只有满足上述标准的个人才有参与资格

　　合法

　　参与该挑战，参与者同意遵守所有适用联邦、州和当地法律。HackerOne随时保留更改或修改挑战条款的权利。若参与挑战，请随时关注挑战动态。

　　承诺

　　点击“申请该计划”参与“黑进军队漏洞赏金”挑战，确认你已阅读、理解并同意遵守这些规则与限制，你必须满足上述资格要求，并且理解，若不符合这些规则与限制，也许会承担民事或刑事责任。

　　项目地址：https://hackerone.com/hackthearmy

一网打尽系列文章，请回复以下关键词查看：

创新发展：习近平 | 创新中国 | 创新创业 | 科技体制改革 | 科技创新政策 | 协同创新 | 成果转化 | 新科技革命 | 基础研究 | 产学研 | 供给侧

热点专题：军民融合 | 民参军 | 工业4.0 | 商业航天 | 智库 | 国家重点研发计划 | 基金 | 装备采办 | 博士 | 摩尔定律 | 诺贝尔奖 | 国家实验室 | 国防工业 | 十三五 | 创新教育 | 军工百强 | 试验鉴定 | 影响因子 | 双一流

预见未来：预见2016 |预见2020 | 预见2025 | 预见2030 | 预见2035 | 预见2045 | 预见2050 |

前沿科技：颠覆性技术 | 生物 | 仿生 | 脑科学 | 精准医学 | 基因 | 基因编辑 | 虚拟现实 | 增强现实 | 纳米 | 人工智能 | 机器人 | 3D打印 | 4D打印 | 太赫兹 | 云计算 | 物联网 | 互联网+ | 大数据 | 石墨烯 | 能源 | 电池 | 量子 | 超材料 | 超级计算机 | 卫星 | 北斗 | 智能制造 | 不依赖GPS导航 | 通信 | MIT技术评论 | 航空发动机 | 可穿戴 | 氮化镓 | 隐身 | 半导体 | 脑机接口

先进武器：中国武器 | 无人机 | 轰炸机 | 预警机 | 运输机 | 战斗机 | 六代机 | 网络武器 | 激光武器 | 电磁炮 | 高超声速武器 | 反无人机 | 防空反导 | 潜航器 |

未来战争：未来战争 | 抵消战略 | 水下战 | 网络空间战 | 分布式杀伤 | 无人机蜂群 | 太空站 |反卫星

领先国家：俄罗斯 | 英国 | 日本 | 以色列 | 印度

前沿机构：战略能力办公室 | DARPA | Gartner | 硅谷 | 谷歌 | 华为 | 俄先期研究基金会 | 军工百强

前沿人物：钱学森 | 马斯克 | 凯文凯利 | 任正非 | 马云 | 奥巴马 | 特朗普

专家专栏：黄志澄 | 许得君 | 施一公 | 王喜文 | 贺飞 | 李萍 | 刘锋 | 王煜全 | 易本胜 | 李德毅 | 游光荣 | 刘亚威 | 赵文银 | 廖孟豪 | 谭铁牛

全文收录：2016文章全收录 | 2015文章全收录 | 2014文章全收录

其他主题系列陆续整理中，敬请期待……

　　“远望智库”聚焦前沿科技领域，着眼科技未来发展，围绕军民融合、科技创新、管理创新、科技安全、知识产权等主题，开展情报挖掘、发展战略研究、规划论证、评估评价、项目筛选，以及成果转化等工作，为管理决策、产业规划、企业发展、机构投资提供情报、咨询、培训等服务，为推动国家创新驱动发展和军民融合深度发展提供智力支撑。