漏洞奖励是指近年来发现网络安全隐患的奖励机制。Oversecure的创始人Sergey Toshin当他在一家网络安全公司做兼职时,他的同事建议他进入这个领域。Toshi他说,当时的同事声称漏洞奖励每月可以增加5000美元的收入——所以他也试了试。
一开始,他几乎一无所获。我95%的漏洞奖励报告都退了。他回忆道。从个人角度来看,Toshin也是因为在知名漏洞悬赏平台上HackerOne名气不好,信心受到打击。Toshin说:我觉得我的性格是那种。当我失败的时候,我会觉得我一事无成。但也许一两周后,我会再想一次‘不,我可以停止使用这种想法’!在他看来,他随后的公路旅行帮助了他成功的漏洞奖励,因为他转移了:他的报告一个接一个地得到了认可。最高的漏洞奖励是3万美元。他回忆说:我得到了几个这样的奖励。当然,我旅行得很好。
直到谷歌在2019年进一步扩大了其漏洞悬赏清单,Toshin终于成了全职漏洞猎人。那是夏天,我在酒吧。他回忆道。当他出去抽烟时,Toshin扫了一眼谷歌的消息:我当时就想‘我要发了’。”他是对的。仅仅在谷歌的漏洞悬赏计划中,Toshin赚了90万美元——让他在没有种子资金的情况下创办自己的公司。
像Toshin这样的故事越来越多。它以前只是网络安全的一个小领域,但现在漏洞奖励正在爆炸性增长。大大小小的组织都试图找出他们代码中的漏洞。现在,即使是那些小公司也在经营自己的漏洞奖励项目。Toshi现在有更多的地方可以找到漏洞。HackerOne最近的一项研究发现,自2018年以来,通过漏洞奖励赚钱的漏洞猎人数量增加了143%。
许多黑客最终赚了很多钱。然而,现实中,这是非常困难和危险的——不仅是漏洞猎人,也是奖励公司。HackerOne和Bugcrowd这种漏洞奖励的中间人平台在道德和法律的灰色地带游离;对于那些奖励软件供应商来说,如果奖励延迟,奖励太低,就有激怒漏洞猎人的风险。
漏洞悬赏的起源
自从软件出现以来,就存在漏洞——1947年,哈佛大学的研究人员发现了他们新的超级计算机短路罪魁祸首——一只死蛾。从那时起,遍历代码已经成为程序员工作的一部分,以发现脆弱性。然而,直到1983年才以奖励的形式将工作交给外部人员。当时,软件公司Hunter & Ready奖励任何能在操作系统中励任何能在操作系统中发现漏洞的人。
但直到十年后,这个想法才随之而来Mozilla的Security Bug Bounty Program进入主流视野Mozilla安全工程主任Lucas Adamski外包渗透测试的逻辑似乎很简单。在我看来,任何安全系统的强度只取决于有多少聪明和积极的人花了多少时间。他说:仅此而已,这与谁写了这个程序无关。
漏洞猎人Justin Gardner认为漏洞悬赏也是一个成本效益问题:我认为,对企业来说,ROI非常高。有时,一个完整的漏洞奖励项目可能会发现灾难性的漏洞。他提到,在一个案例中,他和另一个黑客Sam Curry一起,星巴克客户数据库有1亿条记录。他说,如果恶意攻击者发现这一脆弱点,可能会给星巴克造成数百万美元的损失。
Gardner自己的漏洞悬赏之路曲折,从遇到知名黑客开始Tommy,或者又称“dawgyg,开始Toshin一样,Gardner在成为全职漏洞猎人之前,他花了几年时间在稳定的编程工作上。他很快发现,从一个赚零花钱的副业转变为全职需要极大的专注。
主要阶段有两个。Gardner解释说:第一阶段需要通过教程或文章获得渗透测试的相关专业技术。然后,需要一些必要的程序来捕捉漏洞,第二阶段是接受现实:通常需要很长时间才能找到漏洞。作为一个黑客,你可能会失败,因为别人的工作是阻止你做你想做的事。
漏洞猎人的职业风险
这种高失败率和奖励项目质量水平不均意味着大多数漏洞猎人仍然是兼职的,但即使是这些黑客也在Clément Domingo也要小心一些问题。当他在法国和进行漏洞狩猎时,Domingo我知道一些漏洞猎人太投入了,他们都忘了见朋友和家人。
有些人在这种熬夜的生活方式中生存。Gardner就他自己而言,他认为工作的自由和收入的可观性是值得的。特别是对他来说,他通过漏洞奖励支付了学生贷款,并与妻子搬到了日本。然而,他也承认这并不容易。他还看到许多漏洞猎人最终选择放弃,回到了正常的9到5岁的生活。有些人,他们的自我意识严重下降,觉得自己一无是处。
对于漏洞猎人来说,工作和生活的平衡只是其中的一部分。那些想成为漏洞猎人的人也需要一些基本的行为准则:最直接的是向正式的奖励项目报告漏洞。任何其他问题都可能跨越道德红线——例如,一些个人会直接联系公司,声称他们发现了一个严重的漏洞,并要求付款。
Gardener大多数这种说法被称为寻求赏金(beg bounties)这个例子可以被安全地忽略。不仅因为未经授权的渗透测试是非法的,而且因为很多时候,这些人只是试图通过报告低风险甚至没有影响的漏洞来赚钱。
相比之下,那些不期望赏金报告真正严重漏洞的人应该得到公平对待,而不是作为罪犯。Gardner和Domingo都提到了密苏里州的一个案例。在这种情况下,一个人被威胁起诉,因为他在展示网站如何显示教师凭证的过程中无意中泄露了他们的社保号码。Gardner评价:这种情况,让人感到难过。
运营漏洞悬赏项目风险
如果经营漏洞奖励公司缺乏执行能力,也将面临风险。严重漏洞的奖励可以高达数万美元,但对于大多数全职漏洞猎人来说,这是一个中低风险的漏洞,一般金额从数百到数千不等。建立这种价格结构的前提是快速识别漏洞和内部IT部门快速支付。Domingo这意味着这种关系是基于双向尊重的。这些都是好项目的关键。他说,这会刺激你挖掘更多的漏洞,因为你知道那些人在关注你在做什么。
那些经营不善的项目——在Gardner和Domingo似乎大多数项目都会给主办公司带来额外的风险。延迟付款、低奖金和糟糕的沟通会让黑客向更高的投标人出售他们发现的漏洞。人们感到被侮辱,然后泄露内容?这是你必须面对的。Gardner黑客有时候有点情绪化。
Gardner对概率运行新漏洞奖励项目公司有一个非常简单的建议:对于那些试图修复你的系统的人,试着不要成为混蛋。然而,他也承认,这些事情很难说:IT这个部门经常不知所措。虽然他也看到了许多黑客通过第三方传递漏洞的案例,但他总是有一些方法可以直接向企业报告。
自动化能力的矛盾
并不是每个人都相信漏洞奖励可以有效地确保代码的安全。对于软件供应商来说,将消除软件中漏洞的责任转移给漏洞猎人是非常方便的。这些漏洞猎人的人员成本低于专门维护安全的人员。古里安大学网络安全研究部首席创新官Oleg Brodt在某种程度上,对于那些购买此类软件的公司来说,这是一个相当危险的观点。
Gardener我对此表示怀疑,因为大多数公司不会购买只花费数千美元奖励漏洞的软件。同样,他也不认为一些黑客使用自动漏洞检测工具的趋势会使专业的漏洞狩猎职业生涯结束。在这项惊人的工作中,有许多优秀的程序员和黑客。他说,他引用了它Eric Head(更多以“todayisnew例如,他每个月都在HackerOne排名第一已经持续了好几年了……他所做的一切都是基于外部攻击面的监测和自动化。Gardner认为漏洞狩猎的成功是基于人类的创造力。
即使是缺乏这些能力的漏洞猎人,Gardner从社会巨头的角度来看,新的机会随处可见AI问题是加密货币的智能合同:以太坊上几乎所有的东西都是开源的。因此,攻击者很容易进去阅读代码,发现漏洞。
但是,对于Toshi移动应用是最吸引人的领域。在他看来,这个领域比网站更容易反编译。2020年,Toshin用他在漏洞悬赏中获得的资金建立Oversecured,一个提供在iOS在Android应用程序中提供自动漏洞扫描服务的初创公司说:现在,我们有一些欧洲银行和许多网络安全咨询公司作为客户。
运营Oversecured需要意味着Toshin现在已经很大程度上放弃漏洞悬赏,但这不代表他对这个职业有了新的奇怪思考。当Oversecured成立时,Toshin每次扫描定价10美元,因为他认为这样可以抓住批量搜索漏洞但没人用。Toshin之后,价格上涨到250美元,然后销量飙升。他说,很可能人们不相信扫描器的营销材料;在漏洞奖励的荒野中,他们更相信价格。
给漏洞猎人三个建议
针对漏洞悬赏的风险,White Oak Security的安全人员Brett DeWall总结了三个问题和建议:
(1) 交流
当公司的渗透测试人员试图发现漏洞时,缺乏沟通机制将成为一个浪费时间的过程。如果组织没有完善的漏洞奖励项目,研究人员会发现他们需要从LinkedIn到其他社交网络跨频道发现电子邮件邮件邮件和销售频道。
如果制造商在他们的网站上没有正式的漏洞发布指南,就更难打开相关的沟通。
现在,公司仍然不愿意看到自己产品或解决方案的安全新闻。DeWalls说到这里,大多数交流最终都没有以下内容。这对一个试图以最合适的方式传递敏感信息的研究人员来说非常沮丧。最大的感觉可能是一直在尝试。
(2) 影响范围
“范围之内”与“不在范围之内”的漏洞也是披露流程的常见问题。举个例子,组织可能会考虑远程代码执行漏洞,但是不考虑任何其他严重性在其之下的漏洞——除非这些漏洞的利用率或者现实影响很大——比如导致服务器不安全、SSRF引用不安全的直接攻击和直接对象(IDOR)漏洞等。
DeWall说White Oak遇到了很多例子,当SSRF/IDOR漏洞不在范围内,因此提交的漏洞不被采纳。这可能有很多原因,比如审查员太少,无法验证报告,处理漏洞需要很多时间。
DeWall评论说:组织可能没有足够的预算来支付奖金,或者雇佣足够的员工来验证工作。如果发现了高风险的漏洞,但又发现了‘不在范围内’,它还能被利用吗?我将强烈敦促有漏洞悬赏项目的团队接受任何东西‘不在范围内’提交漏洞(或至少提供一个联系表)。
(3) 认可
根据DeWall漏洞披露的最大挫折之一是无法从漏洞报告中获得任何荣誉。
研究人员希望他们的工作得到认可,也可能想把他们的发现列表作为他们的资格;但另一方面,组织不希望公众知道他们产品的安全。
如果组织想鼓励研究人员继续花时间改进他们的产品,最好有一堵名人墙——不需要呈现特定的技术或漏洞。这对研究人员来说也是一种公平的安慰。
漏洞悬赏或安全研究现在已经存在,短时间内不会停止——也可能永远不会结束。DeWall然而,我们处理漏洞悬赏的方式是可以改变的,研究人员和组织必须一起工作。
点评
系统的安全性仅靠企业自身的安全人员去挖掘维护显然是不现实的:对大部分企业而言,是无法承担安全研究人员高昂的人员成本的。漏洞悬赏作为一种类似“安全外包”的方式,能给企业节省大量的成本,同时取得不错的安全效益。但是,漏洞悬赏同样处在法律的边缘,稍不注意就可能引发违法的风险。无论对于白帽子,还是漏洞悬赏平台,都需要尽力规避这些潜在的风险,同时提供优质的漏洞挖掘服务;同时,对于企业以及监管机构,如何平和地看待漏洞的挖掘与披露,也是这个领域能否健康成长的重要因素。