猎云网3月24日报道(编译:竹点) ) )
猎云网注:新兴的创业潮流正在兴起。 例如,Synack等创业公司帮助大企业将安全漏洞的检查外包给世界各大“黑客”。 这些创业公司起到桥梁的作用,帮助大企业降低安全维护成本,利用庞大的众包黑客资源,同时也让有黑客精神的人开心,受益匪浅。
Shashank Kumar从7年级开始接触计算机黑客技术。 虽然一开始他很喜欢黑网站,对网站恶作剧的——现在很后悔。 后来他发现通过提交网站漏洞报告可以赚钱。 在名为@cyberboyIndia的官方推特上,他表示,他已经赚到了3万美元的“脆弱性奖励”,相当于在大学的巨额支出。
这些日子是期末考试,这位19岁的青年必须为此死记硬背。 但是,许多夜晚,他很晚才醒来,任凭笔记本电脑的轰鸣,寻找雅虎、PayPal、ATT等大公司运营的软件的漏洞。 在Twitter上,Shashank统计了发布漏洞报告所获得的报酬。 从免费帽子到新智能手机,1500美元的支票。 虽然赚了钱,但对他的学习成绩是致命的打击。
目前,更大的潮流席卷了网络安全行业,沙捞越是这一潮流的代表之一。 日前,谷歌声称正在改进他们的漏洞奖励计划,也就是著名的Pwnium黑客竞赛规则。 谷歌取消了迄今为止每年固定的相当多的270万美元现金奖励; 目前,该项目全年运营,奖金池将无限上升。 虽然谷歌有权随时取消这个项目; 但是,从某种意义上说,在这个项目中,金钱将永远流动。
谷歌扩大奖池,资金无限
如果谷歌想要保持竞争力,这种情况就很难发生。 过去,脆弱性奖励计划是没有正式奖励的工作。 感谢信,在线公告,免费t恤,或者几百美元。 这就是漏洞奖励计划的所谓奖励。 但是,在过去的五年中,它们出乎意料地在商机——的大部分主要技术公司都有这样的部门,不断扩大规模,投入了比以往更多的资金。
重要的是,在Crowdcurity、Bugcrowd、Synack、HackerOne等新互联网企业崛起后,各个行业都可以发布自己的漏洞奖励计划。 目前,这一市场规模的扩大备受瞩目。 近两年来,各行业脆弱性奖励计划规模急剧增长,无论企业规模如何,都只能以这些新兴网络公司搭建平台招聘人员、支付大额资金为报酬,而脆弱性检测已经不能由大企业进行
无尽战争中的新武器
“它改变了我们迄今为止关于安全的看法。 ”Vimeo首席技术人员Andrew Pile说,最近通过HackerOne发布了漏洞奖励计划。 “对我们来说,在组织内从零开始构建这样的项目几乎是不可能的。 ”
在Vimeo逐渐转型的这几年里,虽然有时会收到系统漏洞的意见和建议,但每次为了解决这些问题而花钱,Pile都会感到不舒服。 “我们唯一能感谢他们的方法就是给他们免费的账号或者免费的t恤,但这些东西并不能真正鼓励最优秀的人才长期固定地参与。 ”
和很多公司一样,Viemo也存在蛋的相生问题(也就是说,需要广泛的研究者和技术,需要研究者参与修复)。 要组建一个有很多值得信赖的成员的团队,需要很多钱。 而且,这些公司不愿意公开账目。 因为人们不理解,不信任。 特别是,和其他人不同,有时是一群匿名的青少年黑客。
提供漏洞奖励的新兴企业建立了信任和流动资金,起到了桥梁作用,使像Vimeo这样的较小企业能够利用全球黑客的资源。 “谢礼相当痛苦; 他们住在世界的每个角落,没有纳税申报表,需要互联网公司自行发行。 ”Pile说。 如果在HackerOne网站上招募的黑客遇到问题,HackerOne将处理法律和后续程序的问题。 HackerOne通过处理账单和支付漏洞报酬,可以利用黑客们报酬以外的20%的委托手续费获利。
由于这样的系统非常稳定,可以处理自己项目的大公司(如雅虎和推特)选择由第三方供应商(如HackerOne )经营漏洞奖励计划,而不是在公司内部启动项目, “在这样的漏洞上投入越来越多的硬件、软件的方法就像在伤口上贴胶布一样,明显没有效果。 我们最好直接交给这些第三方公司发现和修复这些漏洞的任务。 另外,这个方法已经被证实了。 ”HackerOne风险投资公司的Bill Gurley说:“漏洞奖励计划不仅防止了这些问题,还解决了这些问题。”
战胜欺骗
对于“洞猎人”来说,最大的风险是他们花大量的时间寻找洞,写报告说明洞是如何工作的,如何修复洞,但是那个洞已经被“对手”发现了,“对手”先发表了报告Shashank和他的朋友在这个行业发现“重复洞”时心境的讽刺漫画。
“这包含着巨大的信任。 ”Vimeo公司的Pile说。 “他们花了很多时间来识别和记录这些问题,所有提交的报告都进入了黑匣子等待审查。 需要处理大量的重复报告。 但是很遗憾,我们只能遵从先来后到的原委
则进行酬谢。”非常有趣的是,这6位来自漏洞奖励的“漏洞猎手”,没有一个是全职人员。这份工作的随机性让月收入悬殊巨大。虽然很多人第一次接触时都说这份工作的收入可观,但所有人都把它当作一种激情,一种爱好,或者是一个兼职。“我觉得漏洞奖励就像是网上扑克。”俄罗斯一名叫Andrew的黑客如是说,“你可能碰上好运,获得一个大奖励;也可能运气不够好,长时间没找到一个漏洞。”在某种程度上,强劲的研究人员市场可能让业务外包与众包差不多。在诸如印度与巴基斯坦这些地方,尽管这件事有浪费时间的风险,但还是有大量的天才少年愿意去寻找漏洞。
重复的或者是价值低的报告对于进入这个市场的公司来说也是个问题。“‘你给我们漏洞报告我们就会给你钱’的缺点是,你会得到很多垃圾报告。”最近发布Trello奖励计划的Daniel LeCheminant说道,“10天前,我们收到了200篇报告,但可能只有10篇是有价值的。”
正因为漏洞奖励没有什么效益,Synack就采用了一个小得多的开放模式。Synack公司是同类发布漏洞奖励的网络公司中资金最充足的,并且Synack是由美国国安局“老兵”建立的,他们常年寻找着可以为政府利用的网络漏洞。“我们正在从其他管理好的漏洞奖励提供者中采取一个不同的方法。”创立者Jay Kaplan说,“在发展中国家的人们亟待用钱,即使赚了50美元也能够吸引他们。”在Synack发布奖励计划的公司不把钱支付给黑客,但是Synack会向这些公司收取一定百分比的服务费。Synack让一群通过了三级测试的黑客审查所有报告,并给他们分配奖励,从而隔离了许多更保守、不懂技术的顾客。
避免负面效应
前Facebook安全部负责人,现任HackerOne首席技术师的伶俐的小霸王 Rice表示,即便得到的回报不是那么高,大部分黑客会在黑市中选择由官方出品的项目。“想要在黑市上推销东西,你必须要像宣传武器一般宣传东西,这样影响会持续数月时间。所以你必须允许大部分人参与这个项目——他们有技能而不是恶意目的。”
但是一些行业专家曾警告说,如果处理不当,这将会对运营奖励计划的公司有影响。“问题在于,这些公司认为漏洞奖励就是他们发布的公告,他们也认为这样就够了。”High-Tech Bridge安保公司的首席执行官、建立者Ilia Kolochenko在他的公司博客中这样说道。他举了一个提交了重复,但是还没修复漏洞的黑客的例子:“如果你对我们发现的东西不感兴趣,我们将会换掉我们的白色帽子去换取一顶灰/黑色的帽子,然后告诉其他那些可能愿意出更多钱的人。”
协助发起PayPal的漏洞奖励计划,如今在Synack工作的斯文的乌龟 Anagnos说:“我们不会过多提及那些自我感觉没有得到足够的钱,或者是他们发现了漏洞却没有及时公开的黑客所带来的负面影响。”这些黑客经常在公共场合爆料,说公司坏话,给涉及到的公司制造了公关危机。这导致了公司对每份提交的报告都有反应过激的态度,从而仔细审查。“当一个组织发现有危机,就会在不太重要、但是致命的弱点上开始浪费时间了。”
这些运营市场的新兴网络公司已经在某种程度上通过积分奖励制,建立黑客声誉来减少重复报告的问题。“你提交了一个重复的漏洞报告,他们会给你奖励积分。”Shashank在邮件中指出。这些积分意味着有更多人参与奖励更丰厚、竞争更小的私人项目。“所以在这里我们得到了提交重复漏洞报告的成果。”Shashank说道。他最近稳坐Bugcrowd与Crowdcurity的积分榜的榜首,这些积分榜每个月都会突出顶尖研究者。
私下查找漏洞对双方均有利。“大型技术公司要坦然面对眼前的混乱——一边吸引人们前来尝试,一边又要承担人们公然毁坏你的系统的风险。”Bugcrowd的首席执行官Casey Ellis说道,“一个公司,一个大零售商,他们不会像网络公司一样建立漏洞奖励计划,对风险的渴望也不会与之相同。”提供这些服务的新兴网络公司,有一个共同的特征:它们总是通过建立一个私人的项目,并通过招募一组特定的、可信的黑客加入项目,从而开始建立公司。慢慢地,公司摸索到运营的窍门,他们就会扩大规模,比如展开公共测试,或者在顾客自己的网站发起一个官方的奖励计划。
审时度势,变坏事为好事
几年前。一些不满于漏洞奖励扩大规模的安保专家已经改变了他们的看法。“我害怕公司会开启这些项目,因为人们会发送可怕的漏洞,以此为威胁要求公司付款,这些公司就会在他们身上浪费时间的同时,真正的安全漏洞却没有得到修复。”Dan Kaminsky如是说,“但是我对他们在这个领域的出色工作感到惊喜。目前在这一领域有严重的天才流失现象,像这样的项目,可以帮助公司,将开发这类专业人才的能力最大化。”
然而,仍然有许多人持怀疑态度。这些怀疑者觉得寻找漏洞大部分是治标不治本,不能从根本上解决系统漏洞问题。“寻找漏洞的过程有许多信息,这样我们才可以修复它。”安全分析师与OSSTMM的建立者Peter Herzog说,“相比于现实,它在市场上有更多的基础。一旦你挤入他们的市场,一个新人就会浮出水面。”
Herzog指出,像Sony Pictures遭遇的引人注目的黑客事件,可能开始于成员背叛公司,而不是真的出现了漏洞。“已发生的黑客攻击大多数通过社会工程(通过非计算机、非漏洞方式而非法获取信息)而完成。既然这样,我们要怎样去平息人们呢?”Herzog问道,“当这些人就是在下载、安装恶意软件的同时还要寻找漏洞,这样的意义是什么呢?”
就连这些新兴网络公司也很快承认,漏洞奖励不是处理安全困境的最佳方法。“运营一个漏洞奖励,和其它事情不一样——目前所有东西都是安全的。”Crowdcurity的合伙人,首席执行官Jacob 负责的小白菜如是说,“漏洞奖励计划是工具箱内的一个工具,只是一种途径。你还需要评审代码,保障物理安全、培训雇员。”
但是在谷歌Chrome与火狐的奖励项目的研究中,有人发现它们的计划比直接雇佣全职安全研究人员成本低。“这些组织们意识到到,过去的工具不能够延续到当今,成为发展应用的方法了。”Synack的Kaplan说道,“公司每天推10次代码。想要跟上黑客的脚步,你不能仅依赖于自动的方法或者临时的咨询。你需要一个大的项目组,项目组内有一群身怀不同技能的人,能够持续监测你的系统漏洞。”
Source:TheVerge
想要了解更多创业创新知识,快速添加猎云网微信号:ilieyun