美国州政府利用漏洞奖励强化防护体系,安全众测成为联合防御最佳实践
美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。 该漏洞赏金计划于7月30日正式启动,最初仅限于评估该州少数几个数字“资产”。随后,计划的范围扩大,涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间(截至8月28日),通过州政府和网络安全公司HackerOne的共同审查,黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前,州政府已迅速完成修复。 州政府根据发现的漏洞严重程度向参与者支付了奖金,但未公开具体的支付金额。 官员们表示,此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系,这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。 许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿,马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目,该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前,Katie Savage曾负责领导国防数字服务部,该部门成功运行了“黑掉五角大楼”(Hack the Pentagon)等漏洞赏金计划。 Savage在新闻稿中表示:“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划,马里兰州能够更快速地发现漏洞,建立与安全研究人员社区的强大长期联系,并确保我们的州更加安全。” 该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示,该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。 Rogers在新闻稿中提到:“州安全管理办公室正在通过采用最新的战略、创新和政策框架,来实现全州范围内的网络安全防御,并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系,我们正在建设一个不仅能自我保护,还能保护其公民的安全州,不论现在还是未来。” 参考资料:https://statescoop.com/maryland-state-bug-bounty-program-2024/ 转自安全内参,原文链接:https://www.secrss.com/articles/71270 封面来源于网络,如有侵权请联系删除
苹果启动 2024 年 SRDP 计划:邀请安全专家使用定制 iPhone 寻找漏洞
苹果公司昨天(8月31日)正式宣布开始接受2024 年iPhone安全研究设备计划的申请,iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。 SRD设备是专门向安全研究人员提供的iPhone14Pro,该设备具有专为安全研究而设计的特殊硬件和软件,以便更容易地发现 iOS 系统的关键漏洞。只要是使用SRD发现的漏洞,苹果方面都会考虑给予一定的安全漏洞赏金。 研究人员在拿到为期12个月(可续借)的SRD后,可以使用它进行以下操作: 安装和启动自定义内核缓存 使用任何权限运行任意代码,包括以平台和 root 身份在沙盒外运行 设置 NVRAM 变量 为 iOS 17 中新增的安全页面表监控器(SPTM)和可信执行监控器(TXM)安装和启动自定义固件 苹果方面补充称,通过 “安全研究设备计划 “提供的 iPhone 只能由授权人员使用,且不得离开安全研究机构的场所。 设备申请截止至10月31日 从即日起至10月31日,苹果邀请安全研究人员申请 2024 年 iPhone 安全研究设备计划 (SRDP)。与苹果安全团队通力合作,帮助保护用户,找出漏洞即可获得苹果安全赏金奖励。 每年苹果都会通过申请程序挑选出数量有限的安全研究人员获得 SRD,该程序主要基于他们在安全研究方面的记录,包括在 iPhone 以外的平台上的研究记录。 苹果还允许大学申请访问 2024 年 iPhone 安全研究设备计划,将其用作计算机科学课程的教学辅助工具。 所有提交的申请将在今年年底前接受全面评估,并计划在 2024 年初公布中选的参与者名单。 你可以在苹果安全研究设备计划页面上找到更多有关该计划资格的信息,并提交安全研究设备申请。 苹果安全研究计划(SRDP)最早于2019 年启动 苹果安全研究计划(SRDP)于 2019 年上线,研究人员已通过该计划发现了 130 个高影响力的安全漏洞。苹果公司表示,研究人员帮助他们实施了“新颖的修补措施”,以保护 iOS 设备。 在过去的六个月里,计划参与者获得了 37 个 CVE 信用点,为 XNU 内核、内核扩展和 XPC 服务的改进做出了贡献。 参与 SRDP 的研究人员有资格获得苹果安全奖金。苹果公司已经奖励了来自 SRDP 研究人员的 100 多份报告,并表示“多个奖项”达到了 50 万美元,中位数奖金接近 1.8 万美元。 转自Freebuf,原文链接:https://www.freebuf.com/news/376697.html 封面来源于网络,如有侵权请联系删除
美国国土安全部推出“黑客 DHS ”漏洞赏金计划
据The Record报道,美国国土安全部(DHS)当地时间周二宣布,该机构的负责人已经启动了一项漏洞赏金计划,允许黑客报告其系统中的漏洞,以换取金钱奖励。 美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在出席彭博科技峰会时说:“我们不仅关注保护和加强私营部门和整个联邦政府的网络安全,当然,我们作为一个部门也必须以身作则。” 他补充说,这项被称为“黑客DHS”的工作将为每一个被发现的漏洞支付500到5000美元的黑客费用,“这取决于漏洞的严重程度”。 作为硅谷和私营部门的一个固定项目,漏洞赏金项目未能在华盛顿获得吸引力,直到国防部在2016年推出联邦政府的第一个项目。 “Hack the Pentagon”(入侵五角大楼)项目在该部门的一些网站上发现了近140个以前未发现的漏洞,并迅速被各军事部门效仿。 五角大楼的成功促使美国国会立法者试图在其他联邦机构(包括国务院)复制它。在美国前总统特朗普签署一项两党法案成为法律后,国土安全部于2019年建立了第一个漏洞赏金试点项目。 该法案的共同提案人–参议院国土安全委员会的最高共和党人罗布·波特曼和担任该小组的新兴威胁小组委员会主席的参议员玛吉·哈桑在单独的声明中说,他们“很高兴”国土安全部正在将漏洞赏金计划永久化。 波特曼表示,这项工作将“确保我们的联邦政府为保护自己做更好的准备”。 哈桑说,国土安全部的系统能够抵御网络攻击是“当务之急”。 美国国土安全部在一份声明中说,该赏金计划将在整个2022财政年度分三个阶段进行。 在第一阶段,黑客将进行 “对某些国土安全部外部系统的虚拟评估”。下一阶段,参与者将参加一个现场的、亲自参与的黑客活动。该部门将在最后阶段确定和审查所学到的经验教训,并为未来可能的漏洞赏金做计划。 据该部门称,该计划将在网络安全和基础设施安全局(CISA)创建的平台上运行,并将受若干参与规则的制约,由国土安全部首席信息官办公室监督。国土安全部将在48小时内核实任何报告的弱点。 马约卡斯说,该计划的未来将“由新政府决定”。他说:“我们将看看我们从中学到了什么,我们从中汲取了什么价值。事实上,如果价值主张如此证明,我们将尽可能地继续该计划。” (消息及封面来源:cnBeta)
大疆威胁起诉后:安全研究人员决定放弃 3 万美元的漏洞赏金
今年 8 月份的时候,大疆发起了一个 “漏洞赏金” 项目,旨在吸引安全研究人员提交相关漏洞。根据 bug 的严重程度,参与者可获得 100 到 30000 美元不等的奖金。活动开始没几天,研究人员 Kevin Finisterre 就立即联系该公司,汇报了一个相当严重的问题 —— 大疆的 SSL 证书和 AES 加密密钥已被公开在 GitHub 上。在新密钥被创建和部署之前,当前的加密措施将形同虚设。 据 Finisterre 所述,其汇报的问题理应包含在大疆的漏洞奖赏项目之内。在经过了长时间的电子邮件沟通之后,大疆提出了要对此事严格保密的协议要求。虽然大疆此举是为了防止漏洞被公开利用,但对安全研究人员来说,被认可和获得金钱奖励一样重要。要领取这笔奖金,Finisterre 不得不签署这份对他而言不公平、未对其未来的法律行动提供保护的协议。更遗憾的是,大疆还向他发出了“计算机欺诈和滥用行为”的威胁。 在与多名律师讨论后,Finisterre 决定放弃奖金以远离是非,并将其发现公之于众。感兴趣的网友们可以自由地阅读他披露的全部信息,并得出自己的结论。大疆有关此事的回应,称该研究人员通过大疆未公开的密钥以不当方式获得数据,这并不符合大疆安全响应中心的初衷与规则。 稿源:cnBeta,封面源自网络;
谷歌推出 Android 应用漏洞赏金计划,至少可获 1000 美元
为了清除 Google Play 商店的漏洞,谷歌将向能够发现 Android 应用漏洞的安全专家提供奖金。 根据本周四发布的这个项目,每发现一个漏洞至少可以获得 1000 美元奖励,他们希望借此对自动检查系统形成补充,以便封堵恶意应用和其他问题。安全专家认为,这个上线 8 年的应用商店受到恶意应用感染的程度远高于苹果 App Store。 谷歌 2015 年 6 月曾经针对 Android 操作系统启动了漏洞奖励计划,头两年总共针对数百个漏洞报告发放了 150 万美元奖金。 谷歌将与漏洞奖励项目管理网站 HackerOne 展开合作,希望瞄准一系列应用和漏洞,包括那些允许黑客将用户跳转到钓鱼网站的漏洞,或者感染设备的病毒。Google Play 应用和游戏产品管理总监温尼特·布赫(Vineet Buch)表示,软件扫描已经无法帮助个人用户发现 “真正新颖的攻击”。 Google Play 安全奖励项目相当于资助安全专家对其他公司开发的应用展开研究。微软、苹果和 Alphabet 此前的漏洞奖励项目仅针对自家应用的漏洞。布赫表示:“我们不止关心自己的应用,还关心整个生态系统的健康状况。这就像你并不认识某个失踪人士,但却悬赏寻找此人”。谷歌并未披露该项目的资金,但该公司表示,最初的规模并不大。 稿源:cnBeta、,稿件以及封面源自网络;
无人机制造商大疆(DJI)推出漏洞赏金计划,最高可达 3 万美元
美国军方于 8 月初宣布了一份内部备忘录,称因为存在网络安全漏洞,下令停止使用所有中国企业大疆创新(DJI)生产的无人机设备。近期,无人机制作商 DJl 推出漏洞赏金计划,旨在确保产品安全问题。 深圳市大疆创新科技有限公司(DJI)于 2006 年成立,是全球领先的无人飞行器控制系统及无人机解决方案的研发和生产商,客户遍布全球100多个国家。 调查显示,DJI 对漏洞赏金参与者的赏金从 100 美元起步,详细金额依据漏洞的潜在影响而定,最高可达 30000 美元。DJI 技术总监 WalterStockwell 称:“ 安全研究人员、学者和独立专家常常会帮忙剖析 DJI app 和其他软件产品的代码并提供有价值的服务。我们一直努力提高产品的安全性,为此我们乐意嘉奖他们的发现。” 目前,为进一步检测产品的安全性能,DJI 还将实行一种新 “ 内部多步审批流程 ”(即在软件发布或更新之前必须经多部门安全审查),以确保客户使用稳固牢靠的 DJI 产品。 稿源:巴中新闻网、搜狐,封面源自网络;
神秘漏洞众测平台 Bugcrowd 将为虚拟机越狱漏洞计划悬赏 25 万美元
HackerNews.cc 8 月 9 日消息,神秘漏洞众测平台 Bugcrowd 将于 9 月开始为期 8 周的漏洞赏金计划,旨在招募更多高级安全专家寻找产品虚拟机( VM )越狱漏洞。据悉,该平台为此项计划悬赏高达 25 万美元。 据悉,Bugcrowd 推出的漏洞赏金计划并非任何黑客均能参加,其仅限安全专家邀请。此外,该计划还要求参与者提交一份关于此项目的研究报告、潜在想法以及任何其他相关信息(不管他们是否达到既定目标)。Bugcrowd 表示,如果安全专家均未能找到虚拟机越狱漏洞,其部分黑客将有机会获得 1 万美元的奖励作为工作补偿。目前已有 27 位安全专家被邀请加入该项计划。 微软于上月推出 Windows 漏洞赏金计划,允许任何一名黑客通过该公司虚拟化软件 Microsoft Hyper-V 寻找管理程序与主机内核远程代码执行漏洞,其最高悬赏 25 万美元。此外,苹果公司也曾于去年 Black Hat 大会上宣布一项 20 万美元的私人漏洞赏金计划,用于寻找 iOS10 远程越狱漏洞。 安全专家表示,25 万美元的赏金阵容足以反映漏洞赏金计划在当今互联网时代的发展趋势,此类项目正日益成为微软、谷歌、Facebook 与苹果等公司用于招募白帽黑客寻找关键漏洞的主流模式。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。