美国防部首次召集道德黑客应对数字危机

美国防部于2021年12月启动了一项正在进行的漏洞赏金计划，以追踪潜在数千个面向公众的军事网站上的Log4j漏洞，这是美国防部首次召集道德黑客社区应对新兴数字危机。

在公众于2021年12月的第二周发现Log4j漏洞几天后，美国防数字服务机构（DDS）扩大了与漏洞赏金平台HackerOne合作进行的测试自身系统和软件的竞赛范围，以帮助国防部更广泛地应对正在发生的威胁。

DDS代理主管凯蒂·奥尔森表示，“这是一项非常快速的工作，也是一个非常优雅的解决方案，使用我们已经与众包研究社区签订的合同来非常快速地扫描国防部内部什么资产可能受到影响。”

数天内，参与搜索的大约50名经过审查的网络安全研究人员被赋予了一项额外的任务：搜索所有.mil网站并报告由广泛使用的互联网软件引起的任何潜在弱点或漏洞。此次搜索是始于2016年的“黑掉五角大楼”计划系列的最新举措，该计划得美国防部去年扩大了其漏洞披露计划（VDP），以纳入所有可公开访问的国防部信息系统。

这一即时变化恰逢美国土安全部决定扩大首个漏洞赏金计划“黑掉国土安全部”（Hack DHS），以纳入Log4j漏洞。

大型科技公司和联邦官员已争先恐后地了解Log4j缺陷的全部范围，并警告称全球可能有数亿台设备能够被入侵。美国网络安全和基础设施安全局（CISA）于2021年12月发布一项紧急指令，要求所有民用联邦机构减轻威胁。不过CISA高级官员1月10日重申，他们没有看到恶意行为者利用该漏洞入侵联邦部门和机构。

CISA网络安全执行助理主管埃里克·戈德斯坦指出，研究人员帮助发现了17种以前无法识别的易受Log4j攻击的资产，“所有这些资产都在任何入侵发生前得到了修复。”他称，“它展示了众包研究界的非凡力量，不仅可以帮助美国政府，而且可以帮助更广泛的国家在对手利用前发现漏洞。”

美国五角大楼使用被动扫描软件和技术生态系统来持续监控其资产。但Log4j漏洞与之前的网络事件不同，它并不以特定类型的硬件或软件为中心，例如防火墙设备中的虚拟专用网络端点。

Log4j由非营利机构Apache软件基金会免费分发，并被下载数百万次，是世界上最普遍的数字工具之一。任何用Java编程语言编写的资产都可能受到该漏洞的影响，从Web服务器到应用程序。虽然自动化系统可能会成功地找出有问题的代码，但它无法判断它是否最终会被黑客利用。

DDS的数字服务专家兰斯·克莱格霍恩称，“这就是我们发现的困境。没有真正好的自动化解决方案来搜索并找出答案，‘嘿，这很脆弱，而且可以利用’。”他称，“这就是人群真正涌入并扭转危局的地方。他们不仅可以告诉你，‘嘿，我实际上去发现这很脆弱——绝对是。这是证据’。还有，‘它是可利用的，这是一个问题。’”

乍一看，面向公众的军事网站对黑客来说似乎不是有吸引力的目标。然而，美国防部内部长期以来一直担心，先进的威胁行为者可能会利用以前未知的漏洞来渗透其网络并在部门系统中立足，例如大规模的“非机密互联网协议路由器网络”（NIPRnet）。

HackerOne首席信息安全官兼首席黑客官克里斯·埃文斯在一份声明中表示，当漏洞赏金扩大到包括Log4j，黑客们“立即做出了有效的反应，在最初的几个小时内大量有效报告蜂拥而至。”

DDS为每个发现的漏洞向参赛人员支付500美元，如果证明该漏洞可以被利用，则额外再支付500美元。每个报告的发现都被提交给美国防部网络犯罪中心，该中心负责该国防部的漏洞披露计划（VDP）工作，然后与“联合部队总部-国防部信息网络”（JFHQ-DODIN）共享以进行补救。

凯蒂·奥尔森和兰斯·克莱格霍恩都拒绝透露在计划于1月14日结束的重组漏洞赏金计划中发现了多少漏洞。

克莱格霍恩称“我们已经支付了一大笔钱”，后来又表明可能开展某种搜索后续工作。他称，“这可能仍然会引起更大的国防部社区的兴趣。”

奥尔森称，希望这项工作能够促使更多的政府机构建立自己的漏洞赏金计划，并强调各机构必须先建立技术人才和合同机制，然后才有可能呼吁白帽研究人员帮助处理紧急事件。她开玩笑称，“漏洞被发现，三天后我们就可以启动这个计划。如果你对联邦承包有所了解，那是闻所未闻的。”奥尔森补充称，“这正在成为一个新现实。因此，拥有这样的东西，并能够快速接入我们的研究社区和承包工具，拥有适当的基础设施将变得越来越重要。”