国防部正在计划其“黑掉五角大楼”计划的第三次迭代,重点是找出维持标志性建筑和地面运行的操作技术中的漏洞。
国防部于 2016 年启动了黑客入侵五角大楼计划,供应商 HackerOne 协调了该部门公共网站上的漏洞赏金计划。
超过 1,400 名黑客参加了第一轮,发现了 138 个独特的漏洞并获得了 75,000 美元的赏金奖励。
该计划在 2018 年扩大到包括另外两家供应商:Synack 和 Bugcrowd。
在发布的征求意见稿中,国防部宣布了第三次尝试的计划,并对管理该项目的供应商提出了期望。
在入侵五角大楼(Hack the Pentagon) 3.0 下,负责管理五角大楼和部分国防部后台资源的华盛顿总部服务部希望在设施相关控制系统 (FRCS) 网络上释放白帽黑客。
该网络用于管理五角大楼保留区内的机械操作,例如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。
总体目标是通过众包获得一批创新信息安全研究人员的支持,以进行漏洞发现、协调和披露活动,并评估 FRCS 网络当前的网络安全状况,找出弱点和漏洞,并提供改进和加强的建议总体安全态势;根据绩效工作说明草案。
该文件草案指出,黑客将只能访问未分类的 IT 和 OT 系统。
由于该计划的第三阶段将侧重于操作技术,因此实际的黑客攻击将在持续不超过 72 小时的“挑战阶段”中亲自进行。
虽然 Hack the Pentagon 计划在技术上是关于利用大型开源社区,但国防部行动的敏感性意味着该队列必须仅限于“一个由熟练且值得信赖的研究人员组成的私人社区,这可能仅限于美国人参与且只有符合国防部制定的资格标准。
获胜的供应商将能够聚集和组织这样一个社区,并为黑客提供平台以安全的方式调查和记录任何发现的漏洞。
漏洞赏金框架在已故国防部长阿什卡特领导下的政府中开始已经传播到其他政府机构,包括服务部门、国土安全部和总务管理局。
破解五角大楼 3.0 草案全文在线阅读:
https://kdocs.cn/l/cu1yNSYywn5G
扫一扫
943
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
