漏洞赏金猎人:找别人茬,赚自己钱

造就 2017-10-19 2:02:00 阅读 • 来源: 自媒体圈 0

如今,似乎所有东西都存在遭到黑客攻击的风险,无论是工厂、医院,还是索尼(Sony)和雅虎(Yahoo)这样的大公司...

漏洞赏金猎人:找别人茬,赚自己钱-自媒体圈

如今,似乎所有东西都存在遭到黑客攻击的风险,无论是工厂、医院,还是索尼(Sony)和雅虎(Yahoo)这样的大公司,莫不如此。但是,这些黑客的另一批“同门”却在搜寻软件中的漏洞,将之上报厂商,并因此获得丰厚奖励。这些人,我们称之为“漏洞赏金猎人”。

从Facebook到苹果(Apple),大公司的“漏洞赏金”项目提供了大笔现金和其他战利品,奖励给那些能够找到安全漏洞并上报给受影响公司的黑客。

不过,并不是所有公司都深谙如何跟黑客群体打交道,而管理漏洞赏金项目、确保公平和安全性也绝非易事。这就是HackerOne的用武之地,它在公司和漏洞“猎人”之间扮演着类似于中间人的角色。“大多数公司在这方面都没什么准备,”HackerOne的联合创始人兼首席技术官亚历克斯·赖斯(Alex Rice)解释道,他将作为演讲嘉宾出席在10月20日举办的WIRED Security大会开幕式,“作为一名黑客,你其实面临着很大的风险。”

举例来说,过去有报道称,一些对安全漏洞进行标记的研究人员险些吃了官司。公司注册成为HackerOne的客户之后会制定互动规则,然后等待黑客社区的响应。一旦接到通知说其应用或网站发现漏洞,公司内部的工程师就能迅速展开调查——有时候在数小时之内就能完成修补。在通过HackerOne发布的600个项目中,有77%在上线一天之内就被发现存在新的漏洞。

包括电子前沿基金会(Electronic Frontier Foundation)在内的一些机构发布了在线指南,描述了他们希望黑客遵循的做法。其中可能包括禁止采用何种类型的渗透测试,以及如何就已发现的漏洞联系受影响的一方。

“必须做出那种程度的警告,这真的有些悲哀,”赖斯说道,但与此相对应的是,黑客将有机会参与得到精心管理的漏洞赏金项目——那正是大奖所在。

约伯特·阿布玛(Jobert Abma)是HackerOne的联合创始人之一,他曾表示自己每年通过漏洞赏金项目获得将近10万美元的收入。HackerOne还帮助把大笔的现金奖励分发给其他人。最近,该公司跟Uber合作的一个项目在100天内向研究人员发放了34.5万美元的奖金。

赖斯表示,Uber对这个结果“高兴得不得了”。该公司总共藉此发现并修复了161个安全问题。有一个例子很能说明问题,Uber应用的一个漏洞可以让用户逃避“峰时费”。

要利用这个漏洞,用户只需要在应用中切换上车地点,从执行峰时定价的区域切换到不执行的区域。“你看,用这个办法就不用承担额外的车费,”找出这个漏洞的工程师解释道。

这位工程师在两天内收到了Uber的感谢信,认可这个漏洞是“合乎奖励标准的”。又过了几天,漏洞被修复了,这位工程师则收到了3,000美元的奖金。

不过,金钱并不是唯一的激励因素,有时候上报漏洞还会有其他好处。“我们会定期举办活动,邀请黑客跟公司的安全团队会面,”赖斯说,“这是顶级黑客享有的一项特权。”高手中的高手将能跟自己所帮助公司的工程师展开密切合作,赖斯补充道。“他们真地把那些黑客当成公司安全团队的一分子,而不是什么外部人士。”这可能让公司跟黑客社群的部分成员建立一种纽带,他们将能建立起赖斯所谓的“在需要时就能动用的人才储备库”。

最近,一项针对HackerOne平台600名黑客进行的调查发现,他们参与漏洞赏金项目的动机五花八门:72%的人是为了钱;但有相近比例(70%)的人表示,他们做这件事也是因为“好玩”;略多于一半的人称,他们希望“做好事”。

不过也有一些奇特的问题案例。赖斯说,HackerOne不得不封杀少数黑客,因为这些人用不专业的方式通过这个平台跟公司接触。比如某个破坏分子没有“足够成熟的沟通技巧”,他补充道,“那是明白无误的粗鲁行为。”

但黑客凭借真才实学碰运气倒不会有太多问题。赖斯解释说,那些意图不良的黑客参与漏洞赏金项目并不会有太大的收获。他们还不如鼓捣自己从开放互联网上找到的东西,而那些东西大家都能找到。

赖斯认为,一种令人愉快的“黑客-客户”生态系统需要双方相互尊重。这种认知来源于他自己的工作经历。10年前,赖斯为一家名为Websense的公司效力,该公司开发的系统被用来在互联网上寻找漏洞。赖斯说,他后来跳槽到了Facebook,因为这家公司愿意接受外部黑客帮助,这样的开放态度给他留下了深刻印象。

漏洞赏金猎人:找别人茬,赚自己钱-自媒体圈

“太多公司把头埋在沙子里,认为自己可以独立解决安全问题,”赖斯说,“如果他们真能做到,那他们真可以说是创造了历史。”赖斯还补充道,一家公司应对安全问题的做法靠不靠谱,这甚至会成为吸引消费者的一个亮点。事实上,他自己就是这样在市场上甄选各种电子产品的。

就拿Chromebook来说,在这款笔记本电脑漏洞赏金项目启动的第一年,谷歌(Google)一开始向那些能够找到漏洞的安全研究人员支付数千美元的奖金。但随着寻找漏洞变得越来越困难,奖金的数额不断提高。目前,如果有人可以在Chromebook上面找到一个漏洞,就能获得10万美元的奖金。不过到目前为止还没有人成功过。

“他们已经有足够的自信,乃至宣称这款产品非常安全,他们可以拿10万美元打这个赌,”赖斯说,“我就是根据这一点做出个人消费决策的。”

当你下一次听说一家大公司遭到黑客攻击时,或者选购新手机或新电脑时,这些都是值得思考的事情。这家公司是否提供机会让外部黑客一展身手?他们在安全问题上持开放态度吗?

赖斯坦承,你无法防范一切,但至少已经有人开了头。

翻译:何无鱼

来源:Wired

造就:剧院式的线下演讲平台,发现最有创造力的思想

更多精彩内容及免费演讲门票,敬请关注:造就

漏洞赏金猎人:找别人茬,赚自己钱-自媒体圈

(本文系作者@ 授权自媒体圈发表,并经自媒体圈编辑,转载请注明出处和本文链接)

第一时间获取媒体狗新鲜资讯和深度商业分析,请在微信公众账号中搜索「2548648067 」或者「mon-sun」,或用手机扫描左方二维码,即可获得媒体狗每日精华内容推送和最优搜索体验,并参与编辑活动。

0条评论