白帽黑客指的是那些利用自身黑客技术,来测试网络及系统性能的一群善意黑客。他们每找出一个独特的程序错误能获150元至2万元奖金,总金额取决于寻获漏洞的多寡、复杂程度和关键性。
国防部下个月邀请约300名海内外高手“入侵”属下数个网络系统,以测试其防卫能力。这群白帽黑客每抓到一个漏洞可获高达2万元奖金,国防部估计发出的总奖金额约10万元。
国防网络署署长许智贤昨天到设在史达蒙军营的网络防卫测试中心(Cyber Defence Test and Evaluation Centre,简称CyTEC)参观时,公布这项漏洞悬赏计划(Bug Bounty Programme)。这是我国政府机构首次推行这类计划。
受雇的漏洞众测公司HackerOne将在明年1月15日至2月4日三个星期内,安排白帽黑客“攻击”国防部八个连接互联网的重要系统,占其所有电脑网络系统约一半。
这包括国防部网站、国民服役网站及使用I-net系统让国防部和新加坡武装部队人员上网的电邮服务。
白帽黑客指的是那些利用自身黑客技术,来测试网络及系统性能的一群善意黑客。他们每找出一个独特的程序错误能获150元至2万元奖金,总金额取决于寻获漏洞的多寡、复杂程度和关键性。而居中连接白帽黑客和企业的HackerOne,则是众测业界中最大、成名最早的平台之一。它去年和今年分别“入侵”五角大楼、陆军和空军系统,美国国防部发出的奖金介于7万美元(约9万5000新元)至13万美元(约17万6000新元)。
雇用商业网络评估公司 费用高达百万元
许智贤也是国防部副常任秘书(科技),他估计这次悬赏发出的奖金应在10万元左右,若雇用一般的商业网络安全评估公司费用可高达百万元。
许智贤强调:“推行计划的主要原因并非因为费用问题,而是觉得漏洞悬赏计划更有效……大批技能各异的黑客以具创意的方式攻击国防部系统,找出不足之处。”
“没有任何一个机构,甚至是政府有足够资源随时检查自己的网络和系统,并堵上所有缺口……推行漏洞悬赏计划是要借用群体力量解决问题。”
本地的白帽黑客社群也受邀参与,约300名参与者中有三分之一来自本地。
今年2月,国防部I-net电脑系统曾遭人入侵,约850名服役人员、战备军人和职员的基本个人资料被盗取。
许智贤形容这是个“大胆”尝试,而且并非毫无风险,例如白帽黑客可能反过来把漏洞放上暗网售卖牟利。国防部的内部团队须保持警惕,采取防范措施。
网络安全局等政府部门或效仿
他说,确保网络不受攻击是重要的,因为“新加坡武装部队是个高度靠网络连接的部队,军事行动依赖海陆空三军间的网络衔接。我们必须防守军事和作战网络,使它们免受干扰和网络袭击。”
至于其他政府机构是否会采纳类似计划,新加坡网络安全局副局长张振福说,这是一个创新的做法,该局目前已和其他表示有兴趣的关键信息基础设施部门商讨。
我国的关键信息基础设施包含银行与金融、资讯通信、能源和水资源等11个领域。
业界如何看待政府踏出的这一步?网络安全公司Quann执行董事符祥智告诉《联合早报》,以新加坡的环境而言这确实是个大胆尝试,希望其他企业在巩固网络安全方面也抱持开放态度。
计划此次不涉及国防部的机密系统,符祥智认为,只要当局从寻获的漏洞中学习,就可以把经验用在机密的内部系统上,关键是必须学会从黑客的角度出发更好地加强防护。
新闻热点
新闻爆料
