白帽黑客指的是那些利用自身黑客技術,來測試網絡及系統性能的一群善意黑客。他們每找出一個獨特的程序錯誤能獲150元至2萬元獎金,總金額取決于尋獲漏洞的多寡、複雜程度和關鍵性。
國防部下個月邀請約300名海內外高手“入侵”屬下數個網絡系統,以測試其防衛能力。這群白帽黑客每抓到一個漏洞可獲高達2萬元獎金,國防部估計發出的總獎金額約10萬元。
國防網絡署署長許智賢昨天到設在史達蒙軍營的網絡防衛測試中心(Cyber Defence Test and Evaluation Centre,簡稱CyTEC)參觀時,公布這項漏洞懸賞計劃(Bug Bounty Programme)。這是我國政府機構首次推行這類計劃。
受雇的漏洞衆測公司HackerOne將在明年1月15日至2月4日三個星期內,安排白帽黑客“攻擊”國防部八個連接互聯網的重要系統,占其所有電腦網絡系統約一半。
這包括國防部網站、國民服役網站及使用I-net系統讓國防部和新加坡武裝部隊人員上網的電郵服務。
白帽黑客指的是那些利用自身黑客技術,來測試網絡及系統性能的一群善意黑客。他們每找出一個獨特的程序錯誤能獲150元至2萬元獎金,總金額取決于尋獲漏洞的多寡、複雜程度和關鍵性。而居中連接白帽黑客和企業的HackerOne,則是衆測業界中最大、成名最早的平台之一。它去年和今年分別“入侵”五角大樓、陸軍和空軍系統,美國國防部發出的獎金介于7萬美元(約9萬5000新元)至13萬美元(約17萬6000新元)。
雇用商業網絡評估公司 費用高達百萬元
許智賢也是國防部副常任秘書(科技),他估計這次懸賞發出的獎金應在10萬元左右,若雇用一般的商業網絡安全評估公司費用可高達百萬元。
許智賢強調:“推行計劃的主要原因並非因爲費用問題,而是覺得漏洞懸賞計劃更有效……大批技能各異的黑客以具創意的方式攻擊國防部系統,找出不足之處。”
“沒有任何一個機構,甚至是政府有足夠資源隨時檢查自己的網絡和系統,並堵上所有缺口……推行漏洞懸賞計劃是要借用群體力量解決問題。”
本地的白帽黑客社群也受邀參與,約300名參與者中有三分之一來自本地。
今年2月,國防部I-net電腦系統曾遭人入侵,約850名服役人員、戰備軍人和職員的基本個人資料被盜取。
許智賢形容這是個“大膽”嘗試,而且並非毫無風險,例如白帽黑客可能反過來把漏洞放上暗網售賣牟利。國防部的內部團隊須保持警惕,采取防範措施。
網絡安全局等政府部門或效仿
他說,確保網絡不受攻擊是重要的,因爲“新加坡武裝部隊是個高度靠網絡連接的部隊,軍事行動依賴海陸空三軍間的網絡銜接。我們必須防守軍事和作戰網絡,使它們免受幹擾和網絡襲擊。”
至于其他政府機構是否會采納類似計劃,新加坡網絡安全局副局長張振福說,這是一個創新的做法,該局目前已和其他表示有興趣的關鍵信息基礎設施部門商討。
我國的關鍵信息基礎設施包含銀行與金融、資訊通信、能源和水資源等11個領域。
業界如何看待政府踏出的這一步?網絡安全公司Quann執行董事符祥智告訴《聯合早報》,以新加坡的環境而言這確實是個大膽嘗試,希望其他企業在鞏固網絡安全方面也抱持開放態度。
計劃此次不涉及國防部的機密系統,符祥智認爲,只要當局從尋獲的漏洞中學習,就可以把經驗用在機密的內部系統上,關鍵是必須學會從黑客的角度出發更好地加強防護。