黑客版“淘宝”:这些创业公司帮企业招募“漏洞猎手”



一个新兴的创业潮流正在兴起:诸如Synack等一批创业公司正在帮助大公司将安全漏洞检查外包给全球庞大的“黑客”。这些创业公司充当了桥梁的作用,既帮助大公司减轻了安全维护成本、利用庞大的众包黑客资源;同时也让那些具有黑客精神的人在助人为乐之余,挣得不错的收益。

Shashank Kumar从七年级开始接触电脑黑客技术。最初,他非常喜欢黑进网站,对网站搞恶作剧——虽然他现在对此表示很后悔。后来他发现可以通过提交网站漏洞报告赚钱。在其名为@cyberboyIndia的官方Twitter上,他表示他已经赚得3万美元的“漏洞奖励”,抵得上一大笔在大学的开销。

这些天正值期末考试,这个19岁的青年本应该为此而死记硬背。但有许多个晚上,他发现自己很晚才醒,任由笔记本轰鸣作响,寻找像雅虎、PayPal、AT&T这些由大公司运营的软件漏洞。在Twitter上,Shashank统计了一下因发布漏洞报告而获得的奖励:从一顶免费的帽子,到一个新智能手机、到一张1500美元的支票。虽然赚来了钱,但对于他的学习成绩,这是一个致命的打击。

目前,有一股更大的潮流正横扫网络安全行业,Shashank就是这股潮流中的一个代表。不久前,谷歌宣称,他们正在改进他们漏洞奖励计划(即著名的Pwnium黑客大赛)的规则。谷歌取消了以往每年固定的、可观的270万美元现金奖励;如今,这个项目将会全年运营,奖金池上升到无限。虽然谷歌机智地保留了在任何时候取消这个项目的权利;但就某种意义上说,在这个项目里,金钱永流动。

谷歌扩大奖池,资金达到无限

如果谷歌想要保持它的竞争力,这种类似情况不太可能发生。过去漏洞奖励计划是一份没有正式奖励的工作,一封感谢信、一个在线公告、一件免费T恤、又或者是几百美元,这就是漏洞奖励计划所谓的奖励。但在过去的5年里,它们又意外地成为了商机——几乎所有的主流技术公司都有一个这样的部门,并且持续扩大规模,投入了比以往更多的资金。

重点在于,这种诸如Crowdcurity、Bugcrowd、Synack与HackerOne的新兴的网络公司,它们兴起后,各行各业就可以发布自己的漏洞奖励计划。目前,这一市场规模的扩大引人注目:近两年,各行业的漏洞奖励计划,其规模都在急剧增长,无论企业规模大小,都能让这些新兴网络公司为其搭建平台招募人员,且只需要以支付大笔资金作为酬报,让漏洞检测不再是一个只有大公司才能去做的事。

无尽战争中的新武器

“它改变了我们之前关于安全的看法。”Vimeo首席技术师、近期通过HackerOne发布漏洞奖励计划的Andrew Pile说道。“对我们来说,在机构内部从零开始建立这样一个项目将近乎是不可能的。”

Vimeo逐步成型的这几年里,偶尔也会收到有关系统漏洞的意见与建议,但每当要花钱解决这些问题时,Pile感觉不舒坦。“我们唯一能够感谢他们的方法是给他们免费的账号或是免费的T恤,但是这些东西不能真正鼓励最优秀的人才长期固定参与其中。”

像许多公司一样,Viemo也有鸡蛋相生问题(即它同时需要广大的和研究者使用技术,又需要研究者参与修复)。建立一个有诸多可信成员的团队,需要花很多钱。并且这些公司也不愿意公开账目,因为人们不了解、不信任,特别是一群与众不同、有时匿名的青少年黑客。

提供漏洞奖励的新兴公司建立信任与流动资金,充当着桥梁的作用,这样诸如Vimeo这类规模相对小的企业能够利用全球黑客资源。“酬谢是相当痛苦的;他们生活在世界各个角落,他们没有报税表,需要网络公司自行开具。”Pile说道。当HackerOne网站招募的黑客遇到问题时,HackerOne将要处理法律与后续进程问题。HackerOne通过处理账单、支付漏洞奖励,可以靠黑客们每笔奖励以外20%的委托手续费获利。

这样一个系统运行十分稳定,以至于那些可以处理他们自己项目的大型公司,诸如雅虎、Twitter,已经选择启用诸如HackerOne这样的第三方供应商运营漏洞奖励计划而不是在内部自出项目。“这种在漏洞上投入越来越多的硬件、软件的方法,就如同是给伤口贴创可贴一样,明显不奏效。我们还不如直接把这些查找并修复漏洞的任务给这些第三方公司,况且这一方法已经得到证实。”HackerOne风险投资家Bill Gurley说,“漏洞奖励计划不只防止了这些问题,更处理了这些问题。”

战胜欺骗

对于“漏洞猎手”,最大的风险在于,他们投入大量时间寻找漏洞,书写解释漏洞怎么运行、怎么修复漏洞的报告,却发现那个漏洞早已被“对手”发现,且“对手”抢先一步发布了漏洞报告。Shashank与他的朋友制作了在这一行业中找到“重复漏洞”时心境的讽刺漫画。



“这其中包括了巨大的信任。”Vimeo公司的Pile说,“他们花费大量的时间辨认、记录这些问题,提交的每篇报告会进入黑匣子等待审核。我需要处理大量的重复报告。然而不幸的是,我们只能遵循先来后到的原则进行酬谢。”

非常有趣的是,这6位来自漏洞奖励的“漏洞猎手”,没有一个是全职人员。这份工作的随机性让月收入悬殊巨大。虽然很多人第一次接触时都说这份工作的收入可观,但所有人都把它当作一种激情,一种爱好,或者是一个兼职。“我觉得漏洞奖励就像是网上扑克。”俄罗斯一名叫Andrew的黑客如是说,“你可能碰上好运,获得一个大奖励;也可能运气不够好,长时间没找到一个漏洞。”在某种程度上,强劲的研究人员市场可能让业务外包与众包差不多。在诸如印度与巴基斯坦这些地方,尽管这件事有浪费时间的风险,但还是有大量的天才少年愿意去寻找漏洞。

重复的或者是价值低的报告对于进入这个市场的公司来说也是个问题。“‘你给我们漏洞报告我们就会给你钱’的缺点是,你会得到很多垃圾报告。”最近发布Trello奖励计划的Daniel LeCheminant说道,“10天前,我们收到了200篇报告,但可能只有10篇是有价值的。”

正因为漏洞奖励没有什么效益,Synack就采用了一个小得多的开放模式。Synack公司是同类发布漏洞奖励的网络公司中资金最充足的,并且Synack是由美国国安局“老兵”建立的,他们常年寻找着可以为政府利用的网络漏洞。“我们正在从其他管理好的漏洞奖励提供者中采取一个不同的方法。”创立者Jay Kaplan说,“在发展中国家的人们亟待用钱,即使赚了50美元也能够吸引他们。”在Synack发布奖励计划的公司不把钱支付给黑客,但是Synack会向这些公司收取一定百分比的服务费。Synack让一群通过了三级测试的黑客审查所有报告,并给他们分配奖励,从而隔离了许多更保守、不懂技术的顾客。

避免负面效应

前Facebook安全部负责人,现任HackerOne首席技术师的Alex Rice表示,即便得到的回报不是那么高,大部分黑客会在黑市中选择由官方出品的项目。“想要在黑市上推销东西,你必须要像宣传武器一般宣传东西,这样影响会持续数月时间。所以你必须允许大部分人参与这个项目——他们有技能而不是恶意目的。”

但是一些行业专家曾警告说,如果处理不当,这将会对运营奖励计划的公司有影响。“问题在于,这些公司认为漏洞奖励就是他们发布的公告,他们也认为这样就够了。”High-Tech Bridge安保公司的首席执行官、建立者Ilia Kolochenko在他的公司博客中这样说道。他举了一个提交了重复,但是还没修复漏洞的黑客的例子:“如果你对我们发现的东西不感兴趣,我们将会换掉我们的白色帽子去换取一顶灰/黑色的帽子,然后告诉其他那些可能愿意出更多钱的人。”

协助发起PayPal的漏洞奖励计划,如今在Synack工作的Gus Anagnos说:“我们不会过多提及那些自我感觉没有得到足够的钱,或者是他们发现了漏洞却没有及时公开的黑客所带来的负面影响。”这些黑客经常在公共场合爆料,说公司坏话,给涉及到的公司制造了公关危机。这导致了公司对每份提交的报告都有反应过激的态度,从而仔细审查。“当一个组织发现有危机,就会在不太重要、但是致命的弱点上开始浪费时间了。”

这些运营市场的新兴网络公司已经在某种程度上通过积分奖励制,建立黑客声誉来减少重复报告的问题。“你提交了一个重复的漏洞报告,他们会给你奖励积分。”Shashank在邮件中指出。这些积分意味着有更多人参与奖励更丰厚、竞争更小的私人项目。“所以在这里我们得到了提交重复漏洞报告的成果。”Shashank说道。他最近稳坐Bugcrowd与Crowdcurity的积分榜的榜首,这些积分榜每个月都会突出顶尖研究者。

私下查找漏洞对双方均有利。“大型技术公司要坦然面对眼前的混乱——一边吸引人们前来尝试,一边又要承担人们公然毁坏你的系统的风险。”Bugcrowd的首席执行官Casey Ellis说道,“一个公司,一个大零售商,他们不会像网络公司一样建立漏洞奖励计划,对风险的渴望也不会与之相同。”提供这些服务的新兴网络公司,有一个共同的特征:它们总是通过建立一个私人的项目,并通过招募一组特定的、可信的黑客加入项目,从而开始建立公司。慢慢地,公司摸索到运营的窍门,他们就会扩大规模,比如展开公共测试,或者在顾客自己的网站发起一个官方的奖励计划。

审时度势,变坏事为好事

几年前。一些不满于漏洞奖励扩大规模的安保专家已经改变了他们的看法。“我害怕公司会开启这些项目,因为人们会发送可怕的漏洞,以此为威胁要求公司付款,这些公司就会在他们身上浪费时间的同时,真正的安全漏洞却没有得到修复。”Dan Kaminsky如是说,“但是我对他们在这个领域的出色工作感到惊喜。目前在这一领域有严重的天才流失现象,像这样的项目,可以帮助公司,将开发这类专业人才的能力最大化。”

然而,仍然有许多人持怀疑态度。这些怀疑者觉得寻找漏洞大部分是治标不治本,不能从根本上解决系统漏洞问题。“寻找漏洞的过程有许多信息,这样我们才可以修复它。”安全分析师与OSSTMM的建立者Peter Herzog说,“相比于现实,它在市场上有更多的基础。一旦你挤入他们的市场,一个新人就会浮出水面。”

Herzog指出,像Sony Pictures遭遇的引人注目的黑客事件,可能开始于成员背叛公司,而不是真的出现了漏洞。“已发生的黑客攻击大多数通过社会工程(通过非计算机、非漏洞方式而非法获取信息)而完成。既然这样,我们要怎样去平息人们呢?”Herzog问道,“当这些人就是在下载、安装恶意软件的同时还要寻找漏洞,这样的意义是什么呢?”

就连这些新兴网络公司也很快承认,漏洞奖励不是处理安全困境的最佳方法。“运营一个漏洞奖励,和其它事情不一样——目前所有东西都是安全的。”Crowdcurity的合伙人,首席执行官Jacob Hansen如是说,“漏洞奖励计划是工具箱内的一个工具,只是一种途径。你还需要评审代码,保障物理安全、培训雇员。”

但是在谷歌Chrome与火狐的奖励项目的研究中,有人发现它们的计划比直接雇佣全职安全研究人员成本低。“这些组织们意识到到,过去的工具不能够延续到当今,成为发展应用的方法了。”Synack的Kaplan说道,“公司每天推10次代码。想要跟上黑客的脚步,你不能仅依赖于自动的方法或者临时的咨询。你需要一个大的项目组,项目组内有一群身怀不同技能的人,能够持续监测你的系统漏洞。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐