美国国防部公布漏洞披露政策 黑客可访问政府系统

本周一,美国国防部公布“漏洞披露政策”,允许自由安全研究人员通过合法途径披露国防部公众系统存在的任何漏洞。这项“漏洞披露政策”(Vulnerability Disclosure Policy)旨在允许黑客在不触犯法律的前提下访问并探寻政府系统。国防部长Ash Carter在博文中表示,“我们希望该项政策使漏洞源源不断披露,从而便于我们迅速发现并修复漏洞。最终使国防部、服务人员以及公众会更为安全。”该项目由HackerOne公司管理。今年早些时候,Hackerone曾负责管理国防部“黑掉五角大楼”试点项目。

上月,HackerOne和Redwood City赢得该项目合同。按照合同规定,众包安全研究人员可以使用国防部的应用程序、网站和网络,寻找漏洞。

周一也是Hackerone悬赏项目“黑掉军队”(Hack the Army)的首个注册日。该项目针对面向公众的军队网站。

Carter写到,“漏洞披露政策”和“黑掉军队”项目表明国防部致力创新并采用商业最佳实践。国防部一直专注于安全现代化,并寻求方式挖掘人才资源。

军队不是采用漏洞赏金计划的唯一政府部门。上周,美国国税局宣布与Synack达成协议,在允许黑客进入并探索政府系统之前,会进行审查。Synack称,与传统大众漏洞赏金项目不同的是,该项目会严厉审查并追踪白帽子黑客,确保客户对所有Synack“红队”活动持续可见并进行管理。

该项目可谓顺应趋势。技术行业外的组织机构也允许自由黑客发现系统漏洞,并进行悬赏。

美国国防部安全漏洞披露政策

目的

此项政策的目的在于为安全研究人员的漏洞发现活动提供明确的指导方针,契合美国国防部的网络属性并将所发现的漏洞结论提交至国防部。

概述

在美国国防部,维持网络安全性是一项高优先级事务。我们的信息技术为美国军方服役人员、军人家属以及国防部员工及承包商提供多种关键性服务。最终,我们的网络安全性能够确保我们得以完成自身使命并保卫美利坚合众国。

安全研究人员社区定期为组织及广泛的互联网安全领域作出宝贵贡献,而美国国防部亦意识到与该社区的密切合作将有助于提升自身安全性水平。因此,如果您从美国国防部网站或者其他Web应用当中发现了安全漏洞,我们希望能够得到您的协助!

基于此项政策被提交至国防部的信息将被用于防御性举措——旨在缓解或者修复存在于网络、应用乃至供应商应用当中的安全漏洞。

这是美国国防部首次尝试在研究人员与国防部之间建立起积极的反馈流程体系——如有不尽人意之处,请您耐心等待,我们会随时调整并更新这一流程。

请在对国防部网络进行任何测试以及提交报告之前,查阅、了解并同意以下条款与说明。谢谢您。

范围

任何由美国国防部拥有、运营或者控制的面向公众之网站,包括托管于此类网站之上的Web应用。1

如何提交报告

请提供与漏洞相关的详尽信息,具体包括:问题类型; 包含该bug的软件产品、版本与配置; 可重现此问题的分步指令; 概念验证(POC)说明; 问题影响; 以及您据此给出的适当缓解或者补救措施。

通过点击“提交报告”,您同时表明您已经查阅、了解并同意此份政策当中描述的各项适用于对国防部信息系统内漏洞或者安全研究发布指标相关的指导意见,且同意将当前及后续通信内容存储于美国政府信息系统当中。

指南

美国国防部认为发现、测试并提交安全漏洞2或者漏洞指标的安全研究人员遵循以下指导意见:

· 您的行动受限于——

测试以检测安全漏洞或者发现与安全漏洞相关的指标;3 与美国国防部共享或者接收来自国防部的安全漏洞信息,或者与安全漏洞相关的指标。

· 您不会危害亦不会在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞。

· 您会房间避免访问任何存储在国防部信息系统内的通信、数据或者信息内容——除非信息与安全漏洞直接相关,访问信息为验证安全漏洞存在的必要步骤。

· 您不会在任何情况下泄露任何数据。

· 您不会故意侵害美国国防部人员(例如文职人员或者军事人员)或者第三方相关者的隐私及人身安全。

· 您不会故意危害与任何国防部人员、职能实体或者其它第三方相关的知识产权或者其它商业或财务利益。

· 除非收到美国国防部发出的明确书面授权,否则您不会公开透露关于安全漏洞的任何细节信息、安全漏洞指标或者提供与特定漏洞内容相关的信息。

· 您不会进行拒绝服务测试。

· 您不会针对国防部人员或者承包商执行社交工程攻击,包括鱼叉式钓鱼攻击。

· 您不会提交篇幅冗长但质量低下的报告。

· 如果您无法确定是否应继续进行测试,请与我们的团队进行联系。

我们的配合工作

我们将认真对待每一项漏洞披露报告,且诚挚感谢安全研究人员为此付出的努力。我们将调查每一项披露内容,力争采取适当步骤以减轻风险并修复漏洞。

美国国防部拥有一套独特的信息与通信技术设施,其中各项要素紧密交织且实施全球性部署。国防部内有大量技术部署在作战区域,并各自以不同程度支持着当前正在进行的军事行动本文由E安全译制。美国国防部系统与应用的正常动作可能决定着现役军人及美国的国际盟友与合作伙伴的生命财产安全。美国国防部必须在高度谨慎的前提之下调查安全漏洞的影响,同时寻求实现修复的方法,在此期间请您保持耐心,等待我们的后续反馈。

美国国防部致力于公开且尽快与研究人员进行协调,具体举措包括:

· 在三个工作日内,我们将确认收到您提交的报告。国防部的安全团队将调查此份报告并可能与您联系以了解更多信息。

· 我们将尽自身所能确认安全漏洞的存在,并向研究人员提供后续信息以及当前的漏洞修复工作进度。

· 我们希望各位研究人员能够公开承认自己的贡献——如果与个人意愿不相违背的话。我们将努力允许研究人员将发现与其自身联系起来。注意,只有经过美国国防部的局面同意之后,漏洞相关信息方可进行公开披露。

根据此项政策提交至国防部的信息将被用于防御性目的——包括缓解或者修复存在于我方网络或应用乃至供应商应用中的安全漏洞。

法律

您必须遵守所在地联邦、州及当地法律,以确保您的安全研究活动或者其它漏洞披露计划参与行为不与法律条文相违背。

美国国防部不会授权、许可或者以其它方式批准(明示或者默示)任何人,包括任何个人、团体、联盟、合作伙伴或者其它商业或者法律实体执行任何与本政策或者法律相抵触的安全研究或者漏洞或威胁情报公开行为。如果您参与了任何与本项政策或者法律条文相违背的活动,则可能因此承担相关刑事及/或民事责任。

对于任何涉及非国防部实体(例如其它政府部门或者机构; 州、地方或者乡镇级政府; 私营企业或者个人; 任何职能实体的员工或者个人; 或者其它任何第三方)内网络、系统、信息、应用、产品或者服务的安全研究或者安全漏洞发现活动,各非国防部第三方皆可自主决定是否采取法律行动或者补救措施等加以应对。

如果您的安全研究以及漏洞发现行为充分符合本项政策中的限制与指导规定,(1)国防部不会发起或者支持任何指向您的执法及民事诉讼活动,且(2)如果除国防部之外的某方对您进行执法或者民事诉讼,国防部方面将采取措施以证明您的行为拥有依据且并不与政策相违背。

美国国防部可能在任何时候对这一政策中的条款内容加以修改或者终止此项政策。

1 这些网站共同构成由6 U.S.C. 1501(9))所定义的“信息系统”概念。

2 关于本项政策当中提及的安全漏洞,请参考6 U.S.C. 1501(17)当中定义的“安全漏洞”概念。

3 如果与此项政策中的条款相一致,则相关行为即符合6 U.S.C. 1501(7))当中定义的“防御性措施”概念。

本文转自d1net(转载)

时间: 2024-04-06 15:38:10

美国国防部公布漏洞披露政策 黑客可访问政府系统的相关文章

NSA漏洞披露政策:攻击和防御间的权衡

美国国家安全局(NSA)公布了有关其漏洞披露政策的一些统计数据以及指导原则,但有专家表示他们没有公布重要的细节. 网站详细介绍了NSA的漏洞披露政策,这又引出了这样一个问题:NSA是否会披露其发现的漏洞?根据NSA表示,这个问题的答案在大部分时候是肯定的,因为负责任的披露"显然符合国家利益".但NSA也声称,披露的决策其实非常困难和复杂. "对于披露漏洞的决定,既有优点又有缺点,并且,在及时披露和在有限时间内不公布某些漏洞之间的权衡会带来显著的后果,"NSA写道,&

黑客入侵智利政府系统 600万公民资料外泄

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 新华网圣地亚哥5月11日电 据智利媒体11日报道,黑客侵入智利政府电脑系统,致使600万名公民个人资料外泄. <信使报>报道说,黑客侵入智利教育部.军方和选举部门电脑系统,盗走大量公民个人资料,并于9日将大约600万人的身份证号码.住址.电话号码.电子邮件地址和教育背景在网上张贴. 这些个人资料很快被有关部门从网上删除,报道援引警

漏洞披露究竟怎么做更”合适“?看看美国相关部门怎么看

当安全研究者发现一个软件产品漏洞后,最好的漏洞披露方式是什么?软件供应商又应该如何接收和响应漏洞披露?这类问题的解答正凸显关切和重要,因为伴随着信息软件商品的涌现,随之而来就是各种网络安全漏洞.而在实际中,作为事件相关方,处理类似问题,或许需要更多的支撑数据和参考观点. 因此,在美国国家电信与信息管理局(NTIA)的发起下,我们就"多方利益"相关的漏洞披露处理态度和方法,对一些安全研究者和技术运营商开展了调查.调查分三个工作组,作为成员单位,我们Rapid7负责关注漏洞披露处理的采用方

政府安全资讯精选 2017年第十二期 中国网络安全漏洞披露平均效率远超美国; 美国美国国土安全部发布指令,要求联邦机构强化Web和电子邮件安全

  [国内政策分析] 安徽合肥开出首张<网络安全法>罚单 点击查看原文   概要:合肥市公安局高新分局对某企业的门户网站被植入木马病毒的案件进行调差.同时,对该单位网络安全负责人和负责维护合肥某信息产业有限公司的负责人开出了合肥市首张违反<网络安全法>处罚决定,对未落实网络安全保护责任的行为下达整改通知书,并处以警告处罚.   点评:该企业违反了<网安法>第二十一条,"网络运营者应当按照网络安全等级保护制度的要求,采取防范计算机病毒和网络攻击.网络侵入等危害网

研究称 OpenSSL 漏洞公布前未遭受黑客攻击

美国安全研究人员表示,目前还没有任何证据能证明"心脏流血"漏洞对外公布前已经被黑客利用. 自从"心脏流血"漏洞上周曝光后,所有人都在问同一个问题:是否有人在谷歌研究人员发现该漏洞前利用其发动过攻击. 从OpenSSL出现这一漏洞到被研究人员披露,中间时隔长达两年.而由于美国联邦调查局(FBI)和谷歌等众多政府机构和互联网公司都在使用这套免费软件,因此倘若黑客提前获知该漏洞,便可利用其窃取密码和用于破解加密数据的密钥. 除此之外,与常规攻击方式不同的是,利用该漏洞窃取

美国国防部“黑掉空军”漏洞奖励计划即将启动

  雷锋网(公众号:雷锋网)消息,据外媒 the Hacker News 报道,近日,美国国防部(DoD)宣布,在去年成功举办"Hack the Pentagon"和"Hack the Army"活动后,宣布即将举办"Hack the Air Force"(黑掉空军)漏洞奖励计划项目.该项目除了向本土专家开放之外,还邀请了英国.加拿大.澳大利亚.新西兰等"五眼联盟"成员参与.该漏洞奖励计划通过 HackerOne 平台进行,旨

美国国防部黑客大比武 “白帽黑客”受邀请

美国国防部举行首次黑客大比武,悬赏邀请民间高手寻找五角大楼网站漏洞,结果找到超过上百处隐患.五角大楼计划今后继续这类活动并扩大范围. 政府开先河 这种做法在企业界不新鲜:"白帽黑客"受邀,抢在真正黑客发动恶意攻击之前发现并堵住网络漏洞.而这是美国防部及美国联邦政府首次进行这种尝试.比赛名为"来黑五角大楼",赛期从4月18日至5月12日,吸引超过1400人参加,在五角大楼5个对外开放网站中寻找安全隐患. 美国防部17日宣布,竞赛结束后,参赛者共报告1189项薄弱点,其

美国国防部网络也不安全 安全漏洞破百

技术变革是推动社会进步的原动力,其为人们带来了先进的科学技术,可是同时这些科学技术也是一把双刃剑,互联网技术也不例外.它给我们生活带来巨大便利的同时,随之也带来了很大的安全隐患,而这也成为困扰各行业安全团队的一大考验. 面对意想不到的安全漏洞,即时如美国国防部这样处于全球高级别安防体系下的政府部门,同样也会遭受到网络安全挑战.据知情人透露,美国国防部管理着488个网站,但是其中111个网站都遭受过在线攻击.仅仅在去年,美国2.15亿选民的个人信息就曾遭到过泄露.而几个月前,两万名FBI雇员信息,

美国征信巨头Equifax遭黑客入侵,1.43亿公民身份数据泄漏

本文讲的是美国征信巨头Equifax遭黑客入侵,1.43亿公民身份数据泄漏, Equifax公司泄漏1.43亿个人数据 近日,美国3大老牌征信企业之一的Equifax公司披露称,公司网站遭遇黑客攻击,1.43亿美国公民的个人信息泄露,危及用户的社会保障号码.出生日期.住址以及部分驾驶执照号码等. Equifax公司在一份新闻稿中表示,公司于7月29日发现了"未经授权的访问行为",之后迅速雇佣一家网络取证公司展开调查.Equifax表示,目前,调查仍在进行中,但此次数据泄漏事件可能已经危