Tại sao chính phủ Hoa Kỳ cần bạn hack nó
Tin tặc mũ trắng rất quan trọng đối với an ninh vì chúng có thể phơi bày lỗ hổng trước khi những kẻ lừa đảo có thể khai thác chúng.
Hệ thống máy tính của chính phủ chúng tôi rất không an toàn. Chúng tôi đã thấy điều này trong nhiều báo cáo, bao gồm tin tặc Nga can thiệp vào cơ sở hạ tầng bầu cử của chúng tôi , các lỗ hổng được tìm thấy trong các hệ thống vũ khí quân sự của Hoa Kỳ và các vi phạm dữ liệu liên quan đến hồ sơ của khách du lịch qua biên giới của chúng tôi .
An ninh cấp quân sự của chính phủ chúng tôi được sử dụng để làm ví dụ cuối cùng về thực tiễn tốt nhất về an ninh. Các bảng đã chuyển, và bây giờ chính phủ của chúng tôi phải học hỏi từ khu vực tư nhân. Đó là lý do tại sao Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) gần đây đã công bố một dự thảo chỉ thị yêu cầu các cơ quan liên bang, bao gồm tất cả các cơ quan dân sự, thiết lập chính sách tiết lộ lỗ hổng hoặc VDP.
Nếu bạn thấy điều gì đó, hãy nói điều gì đó về lỗi bảo mật trong thế giới kỹ thuật số, chính sách tiết lộ lỗ hổng cho phép tin tặc và công dân có thiện chí tìm kiếm và báo cáo các lỗ hổng bảo mật mà không sợ hành động pháp lý, với mục tiêu cuối cùng là xác định an toàn bảo mật các vấn đề trước khi tội phạm mạng có thể khai thác chúng.
Các chính sách công bố lỗ hổng là một thực tiễn tốt nhất về an ninh mạng được khuyến nghị bởi các tổ chức như Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và đã có tại các công ty như Google, Chase, Goldman Sachs, General Motors và Ford. Cộng đồng tin tặc hoan nghênh chỉ thị này và hy vọng rằng bất kỳ ai quan tâm đến cơ sở hạ tầng kỹ thuật số của chính phủ chúng tôi đều coi đây là thời điểm mà an ninh mạng của quốc gia chúng tôi thay đổi tốt hơn.
LỊCH SỬ CỦA HACK
Vào năm 2015, một vi phạm của Văn phòng Quản lý Nhân sự Hoa Kỳ đã tiết lộ hàng triệu hồ sơ giải phóng mặt bằng bảo mật của nhân viên chính phủ cho tin tặc Trung Quốc. Đã có một chính sách tiết lộ lỗ hổng được đưa ra sau đó, một hacker đạo đức có thể đã phát hiện ra những lỗ hổng này trước khi chúng có thể bị bọn tội phạm khai thác.
Năm ngoái, tôi đã tiết lộ một lỗ hổng bảo mật cho Bộ Quốc phòng trong một hệ thống chia sẻ tệp được sử dụng rộng rãi trên toàn chính phủ liên bang. Hệ thống này được sử dụng để chia sẻ các tệp nhạy cảm như hồ sơ y tế quân sự và đáng chú ý là dữ liệu cử tri chi tiết cho Ủy ban Liêm chính Bầu cử của Trump. Lỗ hổng cho phép mọi người bỏ qua mật khẩu và tải trực tiếp bất kỳ trong số 15 triệu tệp được tải lên trên trang web. Được trang bị thông tin trong báo cáo của tôi thông qua chính sách tiết lộ lỗ hổng hoạt động của họ, quân đội đã có thể giảm thiểu lỗ hổng an ninh trước khi có thể khai thác.
Mối quan hệ của chính phủ Hoa Kỳ với tin tặc không phải lúc nào cũng suôn sẻ. Chỉ một thập kỷ trước, chính phủ đã xem hầu hết các tin tặc là kẻ thù của nhà nước. Năm 2002, hacker tuổi teen Tommy DeVoss đã bị bắt vì hack vào các mạng máy tính quân sự và bị cấm sử dụng máy tính trong 5 năm. Nhận thức đó đã thay đổi. Bây giờ, khi DeVoss hack quân đội như một phần của các chương trình tiền thưởng lỗi hợp pháp như Hack Lầu năm góc, họ viết cho anh ta một lá thư cảm ơn và một tấm séc để khởi động .
Ngày nay, một số cơ quan chính phủ rất thành thạo trong việc làm việc với các tin tặc đạo đức. Ba năm trước, tôi là một trong những tin tặc bên ngoài đầu tiên được mời hack chính phủ Hoa Kỳ với sự ra mắt của chương trình tiền thưởng lỗi Hack the Pentagon . Sau khi tham gia thêm một vài thử thách về an ninh mạng này, tôi đã tham gia Dịch vụ kỹ thuật số quốc phòng của Lầu năm góc để giúp lãnh đạo công việc của quân đội với các tin tặc đạo đức vào mùa hè năm 2018.
Một trong những nỗ lực của Bộ Quốc phòng là chính sách tiết lộ lỗ hổng của nó , đã nhận được hơn 11.000 báo cáo lỗ hổng hợp lệ từ các tin tặc có thiện chí trên toàn cầu chỉ trong ba năm. Đó là ít hơn 11.000 cách mà kẻ tấn công có thể xâm nhập hệ thống Lầu năm góc. Bộ Quốc phòng ước tính các biện pháp như vậy đã tiết kiệm được 64 triệu đô la , chưa kể đến hậu quả của một số lượng vi phạm tiềm ẩn chưa biết.
Chính phủ Mỹ thấy giá trị mà cộng đồng hacker bên ngoài cung cấp và đang chọn hợp tác với họ thay vì chống lại họ. Các quan chức chính phủ Hoa Kỳ hiện đang đóng vai trò tích cực tại DEF CON , hội nghị hack lớn nhất thế giới. Được tổ chức trong cái nóng mùa hè của Las Vegas mỗi năm và thu hút 25.000 người tham dự hàng năm, tin tặc đã tham gia vào các trò chơi vui nhộn của Fed tại Fed, họ, nơi họ sẽ cố gắng xác định các đặc vụ chính phủ ẩn.
Giờ đây, các thành viên của Quốc hội và các quan chức quân sự hàng đầu đang nói chuyện thường xuyên tại DEF CON về việc thu hẹp khoảng cách giữa tài năng an ninh mạng công cộng và tư nhân. Mùa hè vừa qua, Will Roper, trợ lý thư ký của Không quân, Công nghệ và Hậu cần, đã cam kết rằng Không quân sẽ mở một vệ tinh hiện đang trên quỹ đạo cho các tin tặc đạo đức vào năm tới.
CƠ HỘI PHÍA TRƯỚC
Khi các cơ quan chính phủ nổi tiếng đấu tranh để thuê và giữ chân nhân tài kỹ thuật , làm việc với các tin tặc bên ngoài cung cấp một cơ hội để giúp thu hẹp khoảng cách đó. Với những quan điểm, cách tiếp cận và kinh nghiệm đa dạng vô tận, tin tặc có thể cung cấp phản hồi quan trọng và chỉ ra những lỗ hổng bảo mật rõ ràng mà không ai khác trong chính phủ tìm thấy. Hơn nữa, nó phơi bày những tin tặc như tôi với các vai trò làm việc trong chính phủ, mà cá nhân tôi, sẽ không bao giờ xem xét.
Bằng cách thiết lập các kênh để tin tặc báo cáo các lỗ hổng và đảm bảo sự bảo vệ pháp lý cho các tin tặc chơi theo luật, các cơ quan liên bang có thể tạo mối quan hệ với các tin tặc rất cần thiết. Thành công từ Bộ Quốc phòng phải được nhân rộng trên tất cả các cơ quan chính phủ để ảnh hưởng đến an ninh ở quy mô rộng hơn.
Thay đổi sẽ không đến dễ dàng. Nhưng giống như việc chữa một căn bệnh đòi hỏi phải chẩn đoán nó, chính phủ của chúng ta phải biết về các lỗ hổng của chính nó. Chỉ thị CISA gần đây sẽ thúc đẩy sự thay đổi này ở quy mô, trao quyền cho mọi cơ quan chính phủ tìm hiểu và giải quyết các mối đe dọa an ninh mạng thực sự. Các chính sách công bố thông tin dễ bị tổn thương sẽ cho phép chính phủ của chúng tôi bảo vệ tốt hơn các hệ thống mà quốc gia chúng tôi phụ thuộc vào nhân dân và vì người dân.
Hệ thống máy tính của chính phủ chúng tôi rất không an toàn. Chúng tôi đã thấy điều này trong nhiều báo cáo, bao gồm tin tặc Nga can thiệp vào cơ sở hạ tầng bầu cử của chúng tôi , các lỗ hổng được tìm thấy trong các hệ thống vũ khí quân sự của Hoa Kỳ và các vi phạm dữ liệu liên quan đến hồ sơ của khách du lịch qua biên giới của chúng tôi .
An ninh cấp quân sự của chính phủ chúng tôi được sử dụng để làm ví dụ cuối cùng về thực tiễn tốt nhất về an ninh. Các bảng đã chuyển, và bây giờ chính phủ của chúng tôi phải học hỏi từ khu vực tư nhân. Đó là lý do tại sao Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) gần đây đã công bố một dự thảo chỉ thị yêu cầu các cơ quan liên bang, bao gồm tất cả các cơ quan dân sự, thiết lập chính sách tiết lộ lỗ hổng hoặc VDP.
Nếu bạn thấy điều gì đó, hãy nói điều gì đó về lỗi bảo mật trong thế giới kỹ thuật số, chính sách tiết lộ lỗ hổng cho phép tin tặc và công dân có thiện chí tìm kiếm và báo cáo các lỗ hổng bảo mật mà không sợ hành động pháp lý, với mục tiêu cuối cùng là xác định an toàn bảo mật các vấn đề trước khi tội phạm mạng có thể khai thác chúng.
Các chính sách công bố lỗ hổng là một thực tiễn tốt nhất về an ninh mạng được khuyến nghị bởi các tổ chức như Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và đã có tại các công ty như Google, Chase, Goldman Sachs, General Motors và Ford. Cộng đồng tin tặc hoan nghênh chỉ thị này và hy vọng rằng bất kỳ ai quan tâm đến cơ sở hạ tầng kỹ thuật số của chính phủ chúng tôi đều coi đây là thời điểm mà an ninh mạng của quốc gia chúng tôi thay đổi tốt hơn.
LỊCH SỬ CỦA HACK
Vào năm 2015, một vi phạm của Văn phòng Quản lý Nhân sự Hoa Kỳ đã tiết lộ hàng triệu hồ sơ giải phóng mặt bằng bảo mật của nhân viên chính phủ cho tin tặc Trung Quốc. Đã có một chính sách tiết lộ lỗ hổng được đưa ra sau đó, một hacker đạo đức có thể đã phát hiện ra những lỗ hổng này trước khi chúng có thể bị bọn tội phạm khai thác.
Năm ngoái, tôi đã tiết lộ một lỗ hổng bảo mật cho Bộ Quốc phòng trong một hệ thống chia sẻ tệp được sử dụng rộng rãi trên toàn chính phủ liên bang. Hệ thống này được sử dụng để chia sẻ các tệp nhạy cảm như hồ sơ y tế quân sự và đáng chú ý là dữ liệu cử tri chi tiết cho Ủy ban Liêm chính Bầu cử của Trump. Lỗ hổng cho phép mọi người bỏ qua mật khẩu và tải trực tiếp bất kỳ trong số 15 triệu tệp được tải lên trên trang web. Được trang bị thông tin trong báo cáo của tôi thông qua chính sách tiết lộ lỗ hổng hoạt động của họ, quân đội đã có thể giảm thiểu lỗ hổng an ninh trước khi có thể khai thác.
Mối quan hệ của chính phủ Hoa Kỳ với tin tặc không phải lúc nào cũng suôn sẻ. Chỉ một thập kỷ trước, chính phủ đã xem hầu hết các tin tặc là kẻ thù của nhà nước. Năm 2002, hacker tuổi teen Tommy DeVoss đã bị bắt vì hack vào các mạng máy tính quân sự và bị cấm sử dụng máy tính trong 5 năm. Nhận thức đó đã thay đổi. Bây giờ, khi DeVoss hack quân đội như một phần của các chương trình tiền thưởng lỗi hợp pháp như Hack Lầu năm góc, họ viết cho anh ta một lá thư cảm ơn và một tấm séc để khởi động .
Ngày nay, một số cơ quan chính phủ rất thành thạo trong việc làm việc với các tin tặc đạo đức. Ba năm trước, tôi là một trong những tin tặc bên ngoài đầu tiên được mời hack chính phủ Hoa Kỳ với sự ra mắt của chương trình tiền thưởng lỗi Hack the Pentagon . Sau khi tham gia thêm một vài thử thách về an ninh mạng này, tôi đã tham gia Dịch vụ kỹ thuật số quốc phòng của Lầu năm góc để giúp lãnh đạo công việc của quân đội với các tin tặc đạo đức vào mùa hè năm 2018.
Một trong những nỗ lực của Bộ Quốc phòng là chính sách tiết lộ lỗ hổng của nó , đã nhận được hơn 11.000 báo cáo lỗ hổng hợp lệ từ các tin tặc có thiện chí trên toàn cầu chỉ trong ba năm. Đó là ít hơn 11.000 cách mà kẻ tấn công có thể xâm nhập hệ thống Lầu năm góc. Bộ Quốc phòng ước tính các biện pháp như vậy đã tiết kiệm được 64 triệu đô la , chưa kể đến hậu quả của một số lượng vi phạm tiềm ẩn chưa biết.
Chính phủ Mỹ thấy giá trị mà cộng đồng hacker bên ngoài cung cấp và đang chọn hợp tác với họ thay vì chống lại họ. Các quan chức chính phủ Hoa Kỳ hiện đang đóng vai trò tích cực tại DEF CON , hội nghị hack lớn nhất thế giới. Được tổ chức trong cái nóng mùa hè của Las Vegas mỗi năm và thu hút 25.000 người tham dự hàng năm, tin tặc đã tham gia vào các trò chơi vui nhộn của Fed tại Fed, họ, nơi họ sẽ cố gắng xác định các đặc vụ chính phủ ẩn.
Giờ đây, các thành viên của Quốc hội và các quan chức quân sự hàng đầu đang nói chuyện thường xuyên tại DEF CON về việc thu hẹp khoảng cách giữa tài năng an ninh mạng công cộng và tư nhân. Mùa hè vừa qua, Will Roper, trợ lý thư ký của Không quân, Công nghệ và Hậu cần, đã cam kết rằng Không quân sẽ mở một vệ tinh hiện đang trên quỹ đạo cho các tin tặc đạo đức vào năm tới.
CƠ HỘI PHÍA TRƯỚC
Khi các cơ quan chính phủ nổi tiếng đấu tranh để thuê và giữ chân nhân tài kỹ thuật , làm việc với các tin tặc bên ngoài cung cấp một cơ hội để giúp thu hẹp khoảng cách đó. Với những quan điểm, cách tiếp cận và kinh nghiệm đa dạng vô tận, tin tặc có thể cung cấp phản hồi quan trọng và chỉ ra những lỗ hổng bảo mật rõ ràng mà không ai khác trong chính phủ tìm thấy. Hơn nữa, nó phơi bày những tin tặc như tôi với các vai trò làm việc trong chính phủ, mà cá nhân tôi, sẽ không bao giờ xem xét.
Bằng cách thiết lập các kênh để tin tặc báo cáo các lỗ hổng và đảm bảo sự bảo vệ pháp lý cho các tin tặc chơi theo luật, các cơ quan liên bang có thể tạo mối quan hệ với các tin tặc rất cần thiết. Thành công từ Bộ Quốc phòng phải được nhân rộng trên tất cả các cơ quan chính phủ để ảnh hưởng đến an ninh ở quy mô rộng hơn.
Thay đổi sẽ không đến dễ dàng. Nhưng giống như việc chữa một căn bệnh đòi hỏi phải chẩn đoán nó, chính phủ của chúng ta phải biết về các lỗ hổng của chính nó. Chỉ thị CISA gần đây sẽ thúc đẩy sự thay đổi này ở quy mô, trao quyền cho mọi cơ quan chính phủ tìm hiểu và giải quyết các mối đe dọa an ninh mạng thực sự. Các chính sách công bố thông tin dễ bị tổn thương sẽ cho phép chính phủ của chúng tôi bảo vệ tốt hơn các hệ thống mà quốc gia chúng tôi phụ thuộc vào nhân dân và vì người dân.
Nhận xét
Đăng nhận xét