為鼓勵安全研究人員積極向官方提交漏洞報告,美國國土安全部(DHS)發起了 #HackDHS 漏洞賞金計劃。不過隨着 Log4j 威脅的加劇,美國網絡安全與基礎設施安全局(CISA)的 Jen Easterly,又於 Twitter 上宣布了 #HackDHS 項目的更新。
(via HotHardware)
起初大家只是將“Log4shell”當做《我的世界》這款遊戲中的聊天惡作劇,但這個安全漏洞迅速散播到了世界各地。
作為美國國防部(DHS)下屬的一個下屬機構,CISA 正在對相關漏洞利用保持高度密切關注。微軟等科技巨頭更是指出,全球許多有深厚背景的黑客,都在積極利用 Log4shell 漏洞。
在 Log4shell 漏洞公開披露數日後,DHS 就在上周設立了 #HackDHS 計劃,以期更好地應對相關事件。
與許多私營企業的漏洞賞金計劃不同,#HackDHS 並不是一個完全向公眾敞開的計劃,而是希望吸引更多通過審核的網絡安全研究人員加盟。
貫穿整個 2022 年,#HackDHS 將分三個階段進行。在第一階段,安全研究人員將對某些 DHS 外部系統展開虛擬評估。
到第二階段,他們將參與現場、面對面的黑客活動。最後的第三階段,DHS 將識別和審查數據,並規劃未來的漏洞賞金計劃。
(傳送門:Apache Log4j 漏洞指南)
本周三,CISA 主管 Jen Easterly 在推特上發布了更新后的消息。本質上,相關事項只是作為 #HackDHS 漏洞賞金計劃的一個補充。
儘管圍繞 Log4j 的主要漏洞已經實施了兩輪修復,但由於早期補丁本身也存在缺陷、許多 Log4j 應用程序未得到及時更新、且總有些系統未獲得正確修補,後續還有一系列考驗正在路上。
至於 #HackDHS 計劃的資質,首先你得被 DHS 挑中才有機會參與。后若順利找到一個漏洞,即可獲得 5000 美元的獎勵。
DHS 方面將在缺陷曝光 48 小時內予以驗證,並努力在 15 天內完成修復。但若漏洞更加複雜且嚴重,DHS 也可能需要耗費更長的時間。