美国国土安全部对众测白帽子的要求
51CTO社区编辑加盟指南,欢迎关注!
美国国土安全部(DHS)邀请安全研究人员寻找漏洞并侵入其系统,以期加强自身面对恶意攻击的防御能力。
美国国土安全部启动“黑掉国土安全部”(Hack DHS)漏洞赏金计划,意图“发现国土安全部某些系统中的潜在网络安全漏洞,提升部门的网络安全弹性。”
美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在彭博技术峰会上宣布了该计划,称“黑掉国土安全部”将分为三个阶段:
- 黑客对国土安全部某些外部系统进行线上虚拟评估。
- 黑客亲身参与现场攻击活动。
- 国土安全部识别和审查暴露出来的问题,规划未来的漏洞赏金。
美国国土安全部部长马约卡斯表示,将根据漏洞的严重程度,为所发现的每个漏洞支付500~5000美元的赏金。想要获得奖励,安全研究人员必须向国土安全部披露漏洞的全部细节,包括漏洞利用方式,以及恶意黑客会怎么利用此漏洞来窃取信息。
当然,漏洞赏金也不是什么近些年才出现的新鲜事物。许多私营部门公司开展漏洞赏金计划推动负责任的漏洞披露,近年来,美国陆军和国防部等机构为预先批准的安全研究人员参与漏洞搜寻提供了经济奖励。
“黑掉国土安全部”漏洞赏金计划不打算重新发明轮子,而是似乎想要吸取此类漏洞众测计划的经验,确保制定强有力的指导方针,防止随之而来的混乱。
因此,预期“黑掉国土安全部”会跟随“黑掉五角大楼”(Hack the Pentagon)漏洞赏金计划的脚步,参考以下规则:
- 白帽子黑客必须预先注册,并获得批准,才能参与此项计划。
- 参与者必须具有在美国工作的资格。如果你居住在目前正遭受美国贸易制裁的国家或地区,那你就不具备参与该计划的资格。所以,该计划不欢迎叙利亚黑客和朝鲜黑客!
- 参与者不能出现在美国财政部的涉恐、涉毒、涉其他犯罪的邪恶个人与团伙黑名单上。
- 每个参与者都必须同意接受背景调查。
此外,美国国土安全部将就纳入众测的系统范围和接受报告的漏洞类型设置严格的条件。
视野放宽,最高5000美元的漏洞赏金并不算特别慷慨,尤其是考虑到企业为其他漏洞搜寻计划支付的赏金时。但可以想见,如果能够帮助美国国土安全部消除其系统中潜藏的高危安全漏洞,一些安全研究人员应该会珍视由此获得的荣誉和成就感。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> 根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。"我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,"微软的安全研究员罗斯·贝文顿说。 "77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。"他在 微软 担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的样本数据中,只有7%的暴力攻击尝试包括一个特殊字符。此外,39%的人实际上至少有一个数字,而且没有一个暴力尝试使用包括空格的密码。 研究人员的发现表明,包含特殊字符的较长密码很可能在绝大多数暴力攻击中是安全的,只要它们没有被泄露到网上,或者已经成为攻击者暴力攻击字典的一部分。 此外,根据截至今年9月针对微软蜜罐服务器网络尝试的140多亿次暴力攻击的数据,对远程桌面协议(RDP)服务器的攻击与2020年相比增加了两倍,出现了325%的增长。网络打印服务也...
- 下一篇
就五眼联盟发布Log4j漏洞联合公告的一点联想
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> 众所周知,以美国为首集合英国、澳大利亚、加拿大、新西兰组建的情报共享联盟,也就是我们常说的“五眼联盟”。上周三,五眼联盟的网络安全机构发布了一份联合公告,目的是共同应对恶意对手广泛利用 Apache Log4j 软件库中的多个漏洞。 在这里,阴谋论一下。曾经美国的情报机构被维基解密公布了大量的网络武器,在一段时间内我一直关注着维基解密这个网站,其中对美国CIA开发存储的Vault 7系列网络武器进行了报道。所以,在网络武器研发与保有量上,我们有理由相信,五眼联盟的成员国每一个都是大户,在其共享的基础上,我们更有理由相信,他们组成了最大的黑客合法“黑帮”。 有时,五眼联盟个别成员还时不时的拉上以色列,玩不完的猫腻。其中大家耳熟能详的“震网”蠕虫病毒,就是美以杰作。 回到Log4j漏洞,在最近工信部对阿里的处罚中,我们看到其实这次阿里某种意义上,为国外的情报机构递了把刀,让国外的情报机构整整在中国的网络中肆无忌惮半个月。西方情报组织是否早就掌握这个漏洞未尝可知,毕竟高端的网络...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Linux系统CentOS6、CentOS7手动修改IP地址
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS关闭SELinux安全模块
- Red5直播服务器,属于Java语言的直播服务器
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长