荷蘭黑客匯聚千名黑客搜羅企業漏洞
責編:mhshi |2015-06-12 14:04:432011年,兩個20歲出頭的荷蘭黑客列了100家他們打算黑掉的高科技公司。不久之后,他們就發現了Facebook、Google、蘋果、微軟、Twitter以及其他95家公司系統上的安全漏洞。他們把自己這個清單叫做Hack100。當他們就此警告這些公司的高管時,有三分之一的人選擇了忽略警告,另有三分之一的人簡單地感謝了他們,但從來沒有去修復漏洞,剩下的則趕著去把漏洞給修復了。由于心懷對兩位黑客的感激,沒有人去報警。
現在,這兩位黑客——MichielPrins和JobertAbma——成為了一家舊金山初創企業的四位創始人之一,這家公司致力于為那些有網絡安全問題的企業和像他們一樣的黑客之間的橋梁,這些黑客是來解決系統安全問題的,而不是來搞破壞的。他們希望這家叫HackerOne的公司能說服其他黑客負責任地報告安全漏洞,而不是利用它們,公司會讓這些“白帽黑客”和那些愿意為他們發現的漏洞支付賞金的公司對接起來。
2014年,這家創業公司已經說服了包括雅虎、Square和Twitter在內的知名科技公司,以及一些你可能永遠想不到的公司(比如銀行和石油公司)應用他們的服務。他們已經向風投資本家們證明,現在支持網絡運行的設備有幾十億臺,存在缺陷在所難免,因此HackerOne的服務有可能會非常賺錢。對于每一筆通過HackerOne支付的賞金,HackerOne平臺會抽取20%的傭金。
“所有公司都會使用這項服務,”為HackerOne投資了900萬美元的Benchmark公司合伙人BillGurley說。“不用它是很愚蠢的。”
這種變相的“漏洞發現獎勵計劃(moderatedbugbountyprograms)”采取的是現在流行的反向刺激模式(moderatedbugbountyprograms)。根據企業系統漏洞的嚴重程度,發現漏洞的黑客可以通過把漏洞信息賣給罪犯或者政府拿到數十萬美元的回報,而這些漏洞則被保存在了網絡武器庫里,往往永遠都得不到修復。而如果黑客把漏洞報告給企業、讓企業去修復這些漏洞,他們則常常被忽視,或者受到要被投進監獄的威脅。
大體上講,有能力修復互聯網安全問題的人更有理由把互聯網的漏洞留在那里,任由其受到攻擊。
“我們想讓這件事情變得容易,以后那些有能力的黑客能收到回報,從而讓他們有一個受保護的、可靠的職業,”HackerOne的首席政策官KatieMoussouris說。漏洞發現獎勵計劃是他首先在微軟實行起來的。“現在,我們是保持中立的。”
Prins,Abma和住在硅谷的荷蘭企業家MerijnTerheggen一起創辦了HackerOne。在他們建立起Hack100清單,并發郵件警告Facebook的首席執行官SherylSandberg說網站存在一個漏洞的過程中,他們遇到了公司的第四位聯合創始人。Sandberg不只感謝了他們,而且把他們的信打出來交給了Facebook當時的產品安全主管AlexRice,讓他修復漏洞。Rice請了這幾位黑客共進午餐,并和他們一起解決了那個問題,然后支付了4000美元的賞金。一年后,Rice加入了HackerOne。
“所有技術都有漏洞,如果你沒有一個公開的渠道讓負責任的黑客報告這些漏洞,那你就會在通過黑市發起的網絡攻擊中和他們照面,”Rice說。“而這是不可接受的。”
眾所周知,網絡罪犯們一直都在掃描企業系統的薄弱之處,以及那些正在收集這些漏洞的政府機構。網絡罪犯會利用空調服務中的此類漏洞,侵入目標企業的支付系統。而這些漏洞對政府的監護行為來說非常致命,而且會成為像Stuxnet工業蠕蟲病毒這樣的互聯網武器的關鍵部分。Stuxnet是美國和以色列聯合開發的一種電腦蠕蟲病毒,它利用了數個漏洞,發現并破壞了一家伊朗核設施的鈾離心機。
政府網絡武器庫的漏洞是如此關鍵,以至于一家美國政府機構向一名黑客支付了100萬美元,就為了獲得一個蘋果iOS操作系統中的漏洞信息。蘋果公司在知曉并修復這個漏洞之后,可能不會給他一分錢,而另一家公司可能已經報警了。
漏洞發現獎勵是為了推動黑客修復漏洞,并回報那些永遠不泄漏漏洞的黑客——而這也正是HackerOne想要改變的地方。
5年前,當Google開始向黑客支付3133.7美元來購買漏洞信息之后,科技公司開始回報黑客(31337是黑客界表示“精英”的行話)。自那以后,Google支付的最高單筆獎勵高達15萬美元,支付給黑客的總獎金也已經超過了400萬美元。Rice和Moussouris則在Facebook和微軟分別嘗試了漏洞發現獎勵計劃。
其他人則發現,只是簡單地給黑客榮譽上的獎勵,或者給他們送一些小玩意兒,已經沒有用了。雅虎的安全主管RamsesMartinez說,在兩個黑客批評雅虎公司拿T恤換4個價值數千美元的漏洞以后,他在2013年啟動了雅虎的漏洞發現獎勵計劃。現在Martinez說,他認為漏洞獎勵是件“不用動腦筋的事”。
“既然那么大、那么知名的公司都采用了這種方式,那么關于這種計劃的許多擔憂也就被打消了,”他說。
但大部分公司還是不會為黑客的發現付錢,其中就包括了蘋果公司——今年到現在,它已經出現了大約100個安全漏洞,一些漏洞非常嚴重,可以讓攻擊者劫持用戶的密碼。當然,蘋果公司一個漏洞的市價已經高達50萬美元,這相當于微軟支付給黑客的所有的獎金,所以蘋果公司的獎金要想趕上市場價格,那得非常非常高才行。
“許多公司都有黑客,它們只是不知道而已,”HackerOne的首席執行官Terheggen說,“壞人就在那兒,除非你邀請,否則好人是不會現身的。”
HackerOne是個18歲的黑客,他說,13歲的時候,他在好奇心的驅使下開始入侵PayPal和Facebook這樣的服務。他在PayPal發現了10個漏洞,在Facebook發現了一個漏洞,這些漏洞讓他掙到了將近5000美元。他一直堅持尋找漏洞,并且已經在HackerOne上發現了26家公司系統存在的漏洞,光賞金就賺了4萬多美元。
他也知道自己還有別的選擇。一個政府的中間人曾經提議為Wordpress博客平臺中的一個簡單漏洞付給他3000美元,并說更嚴重的漏洞給的錢更多。但他拒絕了。“你不知道他們會如何利用這個漏洞,或者都有誰會利用它,”Beg說。他還說,中間人想讓黑客永遠不要告訴別人他們發現的漏洞,這其實是減少了發現漏洞這個過程中的一部分樂趣。
HackerOne上匯聚了大約1500名黑客。他們已經修復了大約9000個漏洞,共收到300多萬美元賞金。對于剛剛開始考慮支付漏洞發現獎金的公司來說,HackerOne是一個匯集了聲譽良好的黑客的平臺,并且還幫助它們處理了整個過程里的文書工作,比如報稅和支付。
HackerOne并不是唯一一家做這個業務的公司。它還要和創立了這種獎勵計劃的Facebook、微軟和Google展開競爭(公司創始人也出自這些企業,HackerOne的顧問ChrisEvans也是Google的漏洞發現獎勵計劃的開創者。)一些公司,比如聯合航空(UnitedAirlines),最近也啟動了自己的漏洞發現獎勵計劃。一位安全研究人員在Twitter上發消息,公布了聯合航空飛機機上Wifi系統存在的一個漏洞,并且告訴FBI說他已經在坐飛機的時候仔細查看了飛機的網絡。隨后,聯合航空開始給發現漏洞的黑客贈送免費的常旅客優惠里程。
HackerOne的競爭對手還有Bugcrowd,它是一家類似的創業公司,向公司收取年費,幫助它們管理漏洞發現獎勵計劃。Bugcrowd的客戶都是些年輕的公司,比如Pinterest,還有像西聯匯款這樣的機構。
HackerOne和它的競爭對手們可能會在未來的幾個月里面臨一個重大的監管障礙。政府正在考慮對《瓦森納協定(WassenaarArrangement)》進行修改——它是由41國在20年前簽署的一個出口管制協定,簽署國包括俄羅斯、一些歐洲國家和美國,它要求研究人員在向簽署國以外國家的公司遞交漏洞信息之前,必須得到相關國家政府的許可。
“政府可能不會在乎嚴重性較低的問題,但關鍵的漏洞可就是另一回事了,”Bugcrowd負責安全運營的高級總監KymberleePrice說,“對于研究人員是否可以把漏洞信息告訴花旗銀行這件事,我們真的該讓俄羅斯政府參與決定嗎?”