来源：E安全

12月23日，白帽黑客与美国军事网络专家联合组织了长达9小时的黑客马拉松Bug赏金活动——最新的空军黑客入侵计划H1-212。

来自美国、加拿大、英国、瑞典、荷兰、比利时以及拉脱维亚的25名超一流黑客，配合多位军事网络专家，再次渗透至美国空军的关键网络当中，探寻各类可能给美军300多个分支机构的在线操作造成风险的安全漏洞。

网络安全平台HackerOne负责支撑这一活动，并将从参与者中挑选出来自全球的50强。

H1-212赏金计划成果

参赛者们在比赛开始的前30秒内即发现了两项安全漏洞，并在其后的9小时内共发现55项安全漏洞，总计发出26883美元赏金。其中一项高危安全漏洞让两名黑客发现者直接获得了10650美元的奖金——这也是迄今为止美国政府所发出的最大一笔单独Bug赏金。在赏金活动之后的几个星期内，又有多位参与者先后报告了在H1-212活动期间未被发现的相关安全漏洞。

美国空军首席信息安全官彼得-金在一份声明中指出，“此次Bug赏金活动让美军大开眼界，美空军以及伙伴国家的人才资源保卫防御体系这种合作带来了极为宝贵的成本效益。”

参与者如何评价此次活动？

第一届挑战赛——“黑进空军“（Hack the Air Force）”——的冠军杰克-凯伯此次也参加了比赛，他曾以17岁年纪成为活动中最年轻的黑客。凯伯在采访中表示，像Hack the Air Force 2.0这样的活动能够吸引来自世界各地的人们共同参与同一项目; 而除此之外，其还能够实现另一些特殊的收益。此次他与专家组进行了交流，并感到这些“共享知识”使他受益匪浅，这些最终显著提升了入侵速度。

凯伯表示，“在第一届空军赏金计划当中，所有任务都通过网上完成，因此可能需要几个小时甚至几天时间才能得到空军方面的回应。在H1-212当中，工作人员的反应更为敏锐。而且由于能够同这些工作人员进行直接接触，参与者也更有动力去寻找与Bug有关的蛛丝马迹。”

美空军首届Bug赏金计划

美国空军首个Bug悬赏计划“黑进空军“（Hack the Air Force）”计划于2017年6月结束。当时，美国国防部邀请安全研究人员、军人、“五眼”（美国、英国、加拿大、澳大利亚和新西兰）情报联盟白帽子黑客 “入侵”空军网络。272名白帽子黑客在空军网络中共发现207个有效漏洞，比国防部和美国陆军多。

国防部“黑进五角大楼”（Hack the Pentagon）计划共发现138个漏洞。

美国陆军“黑进陆军”（Hack the Army）共找出118个漏洞。

美国军方Bug赏金计划成就

所谓Bug赏金计划，是指招募“道德黑客（实为模拟黑客攻击的网络安全专家）”或者白帽黑客在相关组织机构的计算机网络当中寻找安全漏洞。安全漏洞的具体属性不作要求，因此可涵盖从低风险漏洞到可能导致整体网络瘫痪甚至敏感信息泄露的高危风险在内的各类隐患。

累计发现3000多项安全漏洞

HackerOne首席技术官阿历克斯-赖斯表示，“此次由美国国防部与HackerOne联合举办的活动通过Bug赏金挑战以及后续安全漏洞发现计划，总计解决了面向公众系统中所存在的超过3000项安全漏洞。黑客们凭借着自身贡献总计获得了30多万美元奖金，这一回报不仅超出参与者预期，同时也为美国国防部节约下数百万美元安全保障经费。”

HackerOne方面迄今为止已经负责组织四轮政府Bug赏金计划，其中包另一轮更大规模的Bug赏金计划的——Hack the Air Force 2.0（即将开始）。

HackerOne公司首席执行官马汀-麦考斯在采访中表示，他认为白帽网络专家这部分“人才系统”拥有巨大的应用潜力。Bug赏金计划能够为那些无法及时发现自身安全漏洞的组织机构带来新的审视眼光。通过立足潜在犯罪分子的角度来看待软件方案，参与者们将能够快速找到其最有可能加以利用的安全缺陷。过去，人们以小组方式秘密寻求安全方案。现在我们正在努力证明，为了进一步提升安全水平，大家必须邀请来自外部世界的力量作为援军。”

规模更大的Bug赏金计划即将启动

本次H1-212事件亦拉开了一轮规模更大的Bug赏金计划Hack the Air Force 2.0的帷幕。

Hack the Air Force 2.0将于2018年1月1日正式启动。不同于原本的空军Bug赏金计划，2.0版本将面向五眼联盟各国公民开放——具体包括澳大利亚、加拿大、新西兰、英国与美国，外加各北约国家以及瑞典。这使得2.0计划成为有史以来最为开放的Bug赏金计划。