国防部在今年1月15日至2月4日间推出漏洞悬赏计划,测试国防部八个网络系统的韧性。白帽黑客抓到的35个漏洞中,两个的严重性属于高等级,而中和低级别的有10个和23个。当局共发出近两万元奖金。
17名海内外“白帽黑客”攻破国防部网络防线,三个星期里抓到35个网络安全漏洞,总共获得近两万元奖金。
白帽黑客指的是那些利用自身黑客技术,来测试网络及系统性能的一群善意黑客。
国防部在今年1月15日至2月4日间推出漏洞悬赏计划(bug bounty programme),测试国防部八个网络系统的韧性,包括国防部网站和国民服役网站等。计划由漏洞众测公司hackerone管理,共有264名白帽黑客参与。其中100人来自本地的白帽黑客社群,其余164人则来自美国、埃及和印度等国家,他们当中不乏世界顶级高手。
白帽黑客发现的漏洞按严重性可分成危急、高、中和低四个等级。在抓到的35个漏洞中,两个属于高等级,而中和低级别的有10个和23个,没有人找出任何危急等级的漏洞。
国防部最后共发出了1万4750美元(约1万9470新元)的奖金。每个漏洞的奖金额介于250美元至2000美元,数额多寡取决于寻获漏洞的复杂程度和严重性。获得最高奖金的是一名新加坡人,他共获得5000美元(约6600新元)奖金。这只是国防部预计发出的10万元奖金的20%。
最严重的两个漏洞来自国民服役网站,若不修补,部分用户可能看到遭人篡改的页面,或是让黑客有机会盗取某些资料。
国防网络署司长(运作)林汉强透露,那些较严重的漏洞已被修复,另一些则因需承包商配合,所以得花多一点时间。在修复前,国防部采取了一些措施确保漏洞不会对系统造成任何破坏。
国防部副秘书(特殊项目)许智贤昨天在公布结果的记者会上说,这次的计划成功且有效,因为这些白帽黑客找出了国防部过去不知道的漏洞,可见无论有关人员在推出系统前进行多少测试,漏洞还是不可能完全避免的。他形容,网络防卫是一场持续进行的猫抓老鼠游戏,不可能找到一个一劳永逸的方法让网络滴水不漏。
hackerone的联合创办人莱斯(alex rice)说,在网络防卫方面,新加坡国防部是首几个愿意接受这类前瞻性应对方式的政府机构,在亚洲更是首例。
目前其他政府机构尚未决定是否会跟进。新加坡网络安全局副局长张振福说,国防部的计划有许多可借鉴之处。那些可能成为黑客目标的公司和机构,在资源允许的情况下也应该考虑那么做。
网安经理找出最多漏洞
在国防部推行漏洞悬赏计划的三个星期里,本地白帽黑客晖智每天下班后都花一两个小时尝试侵入国防部各个网络系统,看是否能找到漏洞。
这次漏洞悬赏计划中,有34名白帽黑客呈交了97份漏洞报告,当中35个漏洞是有效的。其他的则因重复或不符合国防部设下的范围而被视为无效。
晖智(30岁)找到了九个有效的漏洞,获得5000美元奖金(约6600新元),占了国防部发出的总奖金额三分之一。他因私人理由不愿透露姓氏。
他拥有澳大利亚卧龙岗大学(university of wollongong)电子系统安全文凭,目前在安永咨询公司担任网络安全经理。
“这次参加漏洞悬赏计划是因为想知道相较于海外的白帽黑客,自己的水平有多高,同时赚取额外收入。”
晖智说,身为新加坡人他能登入一些国防部的网站,因此比起外国参与者多了一些优势。他认为,国防部网络有颇为严密的防卫系统,他无法直接侵入国防部的伺服器,只能从其他方面下手。
