為鼓勵安全研究人員積極向官方提交漏洞報告,美國國土安全部(DHS)發起了 #HackDHS 漏洞賞金計劃。不過隨著 Log4j 威脅的加劇,美國網路安全與基礎設施安全域性(CISA)的 Jen Easterly,又於 Twitter 上宣佈了 #HackDHS 專案的更新。
(via HotHardware)
起初大家只是將“Log4shell”當做《我的世界》這款遊戲中的聊天惡作劇,但這個安全漏洞迅速散播到了世界各地。
作為美國國防部(DHS)下屬的一個下屬機構,CISA 正在對相關漏洞利用保持高度密切關注。微軟等科技巨頭更是指出,全球許多有深厚背景的駭客,都在積極利用 Log4shell 漏洞。
在 Log4shell 漏洞公開披露數日後,DHS 就在上週設立了 #HackDHS 計劃,以期更好地應對相關事件。
與許多私營企業的漏洞賞金計劃不同,#HackDHS 並不是一個完全向公眾敞開的計劃,而是希望吸引更多透過稽核的網路安全研究人員加盟。
貫穿整個 2022 年,#HackDHS 將分三個階段進行。在第一階段,安全研究人員將對某些 DHS 外部系統展開虛擬評估。
到第二階段,他們將參與現場、面對面的駭客活動。最後的第三階段,DHS 將識別和審查資料,並規劃未來的漏洞賞金計劃。
(傳送門:Apache Log4j 漏洞指南)
本週三,CISA 主管 Jen Easterly 在推特上釋出了更新後的訊息。本質上,相關事項只是作為 #HackDHS 漏洞賞金計劃的一個補充。
儘管圍繞 Log4j 的主要漏洞已經實施了兩輪修復,但由於早期補丁本身也存在缺陷、許多 Log4j 應用程式未得到及時更新、且總有些系統未獲得正確修補,後續還有一系列考驗正在路上。
至於 #HackDHS 計劃的資質,首先你得被 DHS 挑中才有機會參與。後若順利找到一個漏洞,即可獲得 5000 美元的獎勵。
DHS 方面將在缺陷曝光 48 小時內予以驗證,並努力在 15 天內完成修復。但若漏洞更加複雜且嚴重,DHS 也可能需要耗費更長的時間。