信息來(lái)源:hackernews
周二,惠普宣布了第一個(gè)專門針對(duì)其打印機(jī)的bug賞金計(jì)劃�,為能夠在其機(jī)器上發(fā)現(xiàn)漏洞的黑客提供高達(dá)1萬(wàn)美元的獎(jiǎng)勵(lì)。Bug賞金是公司發(fā)現(xiàn)安全漏洞的常見方式�,對(duì)于嚴(yán)重漏洞酬金支付可高達(dá)10萬(wàn)美元��。在惡意使用漏洞之前��,黑客已經(jīng)能夠在大公司獲得一個(gè)全職工作來(lái)軟件并報(bào)告錯(cuò)誤�。像谷歌和Facebook這樣的公司已經(jīng)將漏洞獎(jiǎng)金作為加強(qiáng)其產(chǎn)品安全性的一種方式�����。
惠普在5月份悄然啟動(dòng)了計(jì)劃�����,有34名研究人員報(bào)名參加�����。該公司負(fù)責(zé)打印機(jī)安全的首席技術(shù)專家Shivaun Albright上周接受采訪時(shí)說(shuō)�����,它已經(jīng)向一名發(fā)現(xiàn)其打印機(jī)存在嚴(yán)重缺陷的黑客支付了1萬(wàn)美元�����。她說(shuō)��,由于物聯(lián)網(wǎng)設(shè)備的漏洞���,該公司專注于打印機(jī)安全性�����。 Albright說(shuō)�,雖然人們非常關(guān)注連接設(shè)備及其安全漏洞��,但它通常用于網(wǎng)絡(luò)攝像頭��,智能電視或燈泡�,而不是打印機(jī)?;萜占夹g(shù)專家指出,打印機(jī)可能是人們擁有的最古老�����,最常見的物聯(lián)網(wǎng)設(shè)備��。它們已經(jīng)存在了很長(zhǎng)一段時(shí)間��,甚至在“物聯(lián)網(wǎng)“一詞出現(xiàn)之前,問題是��,為什么客戶不將打印機(jī)視為物聯(lián)網(wǎng)�����?
2016年�����,Mirai僵尸網(wǎng)絡(luò) – 一個(gè)龐大的黑客攻擊設(shè)備網(wǎng)絡(luò)���,曾經(jīng)在網(wǎng)上造成嚴(yán)重破壞 – 導(dǎo)致網(wǎng)絡(luò)中斷��,導(dǎo)致Twitter�,Netflix和Reddit等熱門網(wǎng)站遭遇破壞��。 Albright說(shuō)���,僵尸網(wǎng)絡(luò)使用黑客入侵的物聯(lián)網(wǎng)設(shè)備��,如網(wǎng)絡(luò)攝像頭和DVR�����,但打印機(jī)也是這種組合的一部分��。
HP的bug賞金計(jì)劃將通過Bugcrowd運(yùn)行�����,這是一個(gè)促進(jìn)支付和邀請(qǐng)的平臺(tái)�。該程序目前是私有的�,邀請(qǐng)研究人員加入。奧爾布賴特表示惠普有意將其公開��,但目前仍在關(guān)閉狀態(tài)以更好地管理發(fā)現(xiàn)的漏洞�����。受邀研究人員可以從他們家里的電腦上遠(yuǎn)程訪問15臺(tái)打印機(jī)�����,這些打印機(jī)在惠普的辦公室中被隔離�,他們可以窺探這些打印機(jī),找到隱藏的漏洞��。Albright表示�,對(duì)于1萬(wàn)美元的支付,研究人員必須找到嚴(yán)重的缺陷,例如遠(yuǎn)程代碼執(zhí)行��,這將允許攻擊者完全控制打印機(jī)�。如果他們發(fā)現(xiàn)并報(bào)告任何缺陷,HP將支付他們的發(fā)現(xiàn)費(fèi)用���,然后在下次更新時(shí)開始修復(fù)�����。
