[科技思維] DICT 的漏洞賞金與道德駭客一覽

資訊通訊技術部於1月14日發布部門通函HRA-002,制定了關於漏洞披露以及國家安全港政策和漏洞賞金計畫的修訂及整合指南、規則和規定。

資訊通訊技術部部長Henry Aguda去年甚至親自前往Rootcon駭客大會宣傳這項發展,表示該國的駭客應該利用他們的技能「保護而非破壞」。

為此,安全港政策與漏洞賞金計畫(SHPBBP)的建立對於擁有正確技能的人來說應該是個好消息,因為它試圖激勵政府服務的負責任網路安全披露。

讓我們來看看這一切意味著什麼,特別是如果您還沒聽說過這項發展。

道德駭客、漏洞賞金和安全港政策

道德駭客是指網路安全專業人員(也稱為白帽駭客)在惡意的、不道德的或黑帽駭客利用漏洞之前,識別並協助修復應用程式、系統或技術中的漏洞的過程。

因此,道德駭客模擬真實世界的網路攻擊來評估系統的風險,以便改進或加強這些系統的安全性。

為了讓道德駭客對白帽駭客來說更有價值,漏洞賞金計畫是設立的組織結構,用於評估並為發現漏洞並負責任地將其交給被駭系統開發人員的工作提供經濟補償。這是為了改進這些系統的安全性。

漏洞賞金計畫通常會為駭客提供保護以便他們進行工作。

這些安全港政策旨在保護白帽駭客或安全研究人員在尋找漏洞過程中發現問題時免受行政、民事或刑事責任,只要他們根據特定漏洞賞金計畫的規定適當披露他們的研究。

資訊通訊技術部的SHPBBP通函是關於什麼的?

資訊通訊技術部的SHPBBP概述了參與資訊通訊技術部漏洞賞金計畫所需的保護措施和要求。

現在,您可能想知道是否任何人都可以參與漏洞賞金。

根據資訊通訊技術部通函的目的,您至少必須是專業的網路安全研究人員才能參與。您還必須通過認識您的貢獻者(KYC)程序註冊自己,才有資格從漏洞賞金中獲得獎勵。

具體而言,該通函表示適用於以下對象:

• 行政部門下的所有國家政府機構,包括政府擁有和控制的公司及其子公司、政府金融機構和州立大學及學院,包括*.gov.ph域名和資訊通訊技術部管理的平台;
• 強烈鼓勵菲律賓國會、司法機構、獨立憲法委員會、監察使辦公室和地方政府單位採用本通函;
• 自願參加資訊通訊技術部公私網路安全夥伴計畫的私營實體;
• 根據國家網路安全計畫(NCSP)確定的關鍵資訊基礎設施(CII)營運商;以及
• 負責識別和分析組織網路和系統潛在威脅的網路安全研究人員。

同時,安全港保護僅適用於以下情況:如果您是安全研究人員,只測試在漏洞賞金範圍內聲明的系統;您不進行任何未經授權的資料竊取、更改或服務中斷;您負責任且私密地向資訊通訊技術部或授權實體報告漏洞;並且您對發現保密,在發現的問題得到解決或獲准公開討論之前不予披露。

這一切是如何運作的?

您可能好奇這在實際中如何運作,所以以下是它通常的運作方式。

安全研究人員通過上述認識您的客戶程序申請加入資訊通訊技術部的計畫。他們必須完成整個流程並被接受才有資格獲得現金獎勵。利益衝突——例如資訊通訊技術部人員和資訊通訊技術部聘請的第三方服務提供商——會使潛在申請者失去參與這些漏洞賞金的資格。

漏洞賞金計畫的賞金將由參與實體設定,即需要幫助的政府機構,或想要設定自己賞金的政府合作夥伴。使本通函發揮作用的資金「應從所涵蓋機構或機關的現有預算中支付,以及預算管理部可能確定的其他適當資金來源,須遵守相關法律、規則和規定。」

這些賞金——包括哪些網站或服務以及這些網站和服務的哪些方面需要測試——列在漏洞披露計畫入口網站(VDPP)上,這是一個專門用於尋找漏洞並報告它們的網站。這由資訊通訊技術部的網路安全局主持和維護。

正確報告給VDPP的漏洞和問題可能屬於四種可能的安全情境,範圍從嚴重、高、中和低,根據報告及其嚴重程度,潛在賠付基於行業費率。

資訊通訊技術部的網路安全局將驗證報告,並將向那些獲得驗證報告的人「頒發適當的證書/表彰,以表彰研究人員在報告和/或
解決已驗證漏洞方面的貢獻。」私營部門參與實體在與資訊通訊技術部網路安全局協調後,可以根據VDPP中概述的結構化激勵機制給予適當的金錢獎勵或激勵。

除了金錢獎勵外,還有負責任披露在政府聚光燈下獲得關注的地位。根據通函,獎勵包括數位和印刷證書、在VDPP上的公開表彰,以及納入資訊通訊技術部的其他表揚。

急需的發展

一個具有明確參與流程規則的國家漏洞賞金計畫是好消息,也是網路安全領域急需的發展,因為它應該有助於長期激勵道德駭客,同時改進現在的政府系統。

如果您是一名新興的網路安全專業人員,這可能是進入該行業的好方法,只要您知道自己在做什麼並完成負責任披露所需的工作。

查看此處連結的通函以獲取詳細資訊並參與其中。您可能正在幫助改善政府安全以防範一些不良分子。– Rappler.com