國防部在今年1月15日至2月4日間推出漏洞懸賞計劃,測試國防部八個網絡系統的韌性。白帽黑客抓到的35個漏洞中,兩個的嚴重性屬于高等級,而中和低級別的有10個和23個。當局共發出近兩萬元獎金。
17名海內外“白帽黑客”攻破國防部網絡防線,三個星期裏抓到35個網絡安全漏洞,總共獲得近兩萬元獎金。
白帽黑客指的是那些利用自身黑客技術,來測試網絡及系統性能的一群善意黑客。
國防部在今年1月15日至2月4日間推出漏洞懸賞計劃(Bug Bounty Programme),測試國防部八個網絡系統的韌性,包括國防部網站和國民服役網站等。計劃由漏洞衆測公司HackerOne管理,共有264名白帽黑客參與。其中100人來自本地的白帽黑客社群,其余164人則來自美國、埃及和印度等國家,他們當中不乏世界頂級高手。
白帽黑客發現的漏洞按嚴重性可分成危急、高、中和低四個等級。在抓到的35個漏洞中,兩個屬于高等級,而中和低級別的有10個和23個,沒有人找出任何危急等級的漏洞。
國防部最後共發出了1萬4750美元(約1萬9470新元)的獎金。每個漏洞的獎金額介于250美元至2000美元,數額多寡取決于尋獲漏洞的複雜程度和嚴重性。獲得最高獎金的是一名新加坡人,他共獲得5000美元(約6600新元)獎金。這只是國防部預計發出的10萬元獎金的20%。
最嚴重的兩個漏洞來自國民服役網站,若不修補,部分用戶可能看到遭人篡改的頁面,或是讓黑客有機會盜取某些資料。
國防網絡署司長(運作)林漢強透露,那些較嚴重的漏洞已被修複,另一些則因需承包商配合,所以得花多一點時間。在修複前,國防部采取了一些措施確保漏洞不會對系統造成任何破壞。
國防部副秘書(特殊項目)許智賢昨天在公布結果的記者會上說,這次的計劃成功且有效,因爲這些白帽黑客找出了國防部過去不知道的漏洞,可見無論有關人員在推出系統前進行多少測試,漏洞還是不可能完全避免的。他形容,網絡防衛是一場持續進行的貓抓老鼠遊戲,不可能找到一個一勞永逸的方法讓網絡滴水不漏。
HackerOne的聯合創辦人萊斯(Alex Rice)說,在網絡防衛方面,新加坡國防部是首幾個願意接受這類前瞻性應對方式的政府機構,在亞洲更是首例。
目前其他政府機構尚未決定是否會跟進。新加坡網絡安全局副局長張振福說,國防部的計劃有許多可借鑒之處。那些可能成爲黑客目標的公司和機構,在資源允許的情況下也應該考慮那麽做。
網安經理找出最多漏洞
在國防部推行漏洞懸賞計劃的三個星期裏,本地白帽黑客晖智每天下班後都花一兩個小時嘗試侵入國防部各個網絡系統,看是否能找到漏洞。
這次漏洞懸賞計劃中,有34名白帽黑客呈交了97份漏洞報告,當中35個漏洞是有效的。其他的則因重複或不符合國防部設下的範圍而被視爲無效。
晖智(30歲)找到了九個有效的漏洞,獲得5000美元獎金(約6600新元),占了國防部發出的總獎金額三分之一。他因私人理由不願透露姓氏。
他擁有澳大利亞臥龍崗大學(University of Wollongong)電子系統安全文憑,目前在安永咨詢公司擔任網絡安全經理。
“這次參加漏洞懸賞計劃是因爲想知道相較于海外的白帽黑客,自己的水平有多高,同時賺取額外收入。”
晖智說,身爲新加坡人他能登入一些國防部的網站,因此比起外國參與者多了一些優勢。他認爲,國防部網絡有頗爲嚴密的防衛系統,他無法直接侵入國防部的伺服器,只能從其他方面下手。