漏洞赏金是指发现网络安全隐患的奖励机制。近年来,众测模式越来越流行。Oversecure的创始人SergeyToshin在一家网络安全公司兼职时,是被同事建议进入这个领域的。当时的同事声称,漏洞赏金将使他们每月的收入增加5,000美元——因此,Toshi说,他也试了一下。刚开始的时候,他几乎一无所获。“我95%的漏洞赏金报告都被退回了,”他回忆道。在个人层面,由于在知名漏洞赏金平台HackerOne上声名狼藉,Toshin的信心也受到了打击。Toshin说:“我认为我的性格是,当我失败时,我觉得自己一事无成。但也许一两周后,我会说‘不,我可以停止那样想了’!”在他看来,他随后的公路旅行帮助他的漏洞赏金活动取得了成功,因为他的命运发生了变化:一个接一个的报告被接受。“最高的漏洞赏金奖励是3,000美元,”他回忆道。“我拿了好几个赏金。当然,我旅行得很好。”直到谷歌在2019年进一步扩大了漏洞赏金名单,Toshin才终于成为一名全职漏洞猎人。“那是夏天,我在一家酒吧,”他回忆道。当他出去抽根烟时,Toshin瞥了一眼Google新闻:“我当时想‘我要发布那个’。”他是对的。仅在Google的漏洞赏金计划中,Toshin就赚了900,000美元——足够开办自己的公司而无需种子资金。像Toshin这样的故事正在增加。曾经是一小部分网络安全领域的漏洞现在正在爆炸式增长。大大小小的组织都在努力寻找他们代码中的错误。“现在,即使是那些小公司也在运行他们自己的漏洞赏金计划,”Toshi说。“有更多的地方可以找到错误。”提供赏金的漏洞猎人数量增加了143%。许多黑客最终确实赚了很多钱。然而,实际上,这是非常困难和冒险的——不仅对于漏洞猎人来说,对于提供赏金的公司来说也是如此。HackerOne、Bugcrowd等提供漏洞赏金的中介平台或多或少处于道德和法律的灰色地带;而对于那些提供赏金的软件供应商来说,延迟支付赏金或过低的赏金会激怒漏洞猎人的风险。漏洞赏金的起源自软件出现以来,漏洞就一直存在——1947年,哈佛大学的研究人员发现了导致他们的新超级计算机短路的罪魁祸首——一只死蛾子。从那时起,遍历代码以查找漏洞就成了程序员工作的一部分。但是,直到1983年,才出现了向外人提供这份工作以获得赏金的想法。当时,软件公司Hunter&Ready向任何能在其操作系统中发现错误的人赠送一辆大众甲壳虫。然而,直到十年后,这个想法才随着Mozilla的安全漏洞赏金计划进入主流。Mozilla安全工程总监LucasAdamski表示,外包渗透测试的逻辑很简单。“在我看来,任何安全系统的强度都取决于有多少聪明、有动力的人花时间在上面,”他说。有没有程序也没关系。”漏洞猎手JustinGardner认为,漏洞赏金也是一个成本效益问题:“我认为企业的投资回报率非常高。”有时,精心策划的漏洞赏金计划可能会发现漏洞。灾难性的脆弱性。他提到在一个案例中,他和另一位黑客SamCurry成功地破坏了一个拥有1亿条记录的星巴克客户数据库。他说,如果该漏洞被恶意攻击者发现,星巴克可能会损失数百万美元。加德纳自己的漏洞赏金之路颇为曲折,从遇到知名黑客Tommy或“dawgyg”开始。与Toshin一样,Gardner在成为一名全职漏洞猎人之前,也曾从事过几年稳定的编程工作。他很快发现,从零用钱的副业转为全职工作需要高度集中注意力。“有两个主要阶段,”加德纳解释道。“第一阶段需要获得渗透测试的相关专业知识,可以通过教程或文章学习。然后,需要一些必要的漏洞搜索程序,第二阶段是验收。现实:往往需要很长时间才能找到bug。作为一名黑客,你可能一直都在失败,因为其他人的工作就是阻止你做你想做的事。”漏洞猎人的职业风险如此之高失败的比例和赏金项目的质量参差不齐意味着大多数漏洞猎人都是兼职人员,但即使是这些黑客,根据ClémentDomingo的说法,也必须小心一些问题。在法国和猎虫期间,多明戈知道一些猎虫者如此投入,以至于“他们忘了见他们的朋友和家人”。有些人在这种深夜的生活方式中挣扎求存。对于加德纳本人来说,他认为这一切都是值得的,因为工作自由,薪水丰厚。尤其是对他来说,他用漏洞赏金还清了学生贷款,并和妻子搬到了日本。不过,他也承认,做到这一点并不容易。他还看到许多bug猎人放弃并回到他们正常的朝九晚五的生活。还有一些人的自我接纳度严重下降,以至于他们觉得自己一文不值。对于漏洞猎手来说,工作与生活的平衡只是故事的一部分。想成为漏洞猎手的人还需要一些基本的行为准则:最直接的一点就是按时向正式的赏金计划报告漏洞。任何其他问题都可能跨越道德红线——例如,一些人会直接联系公司,声称他们发现了一个严重的错误并要求付款。Gardener说,大多数这些情况被称为“乞求赏金”,可以安全地忽略。不仅未经授权的渗透测试是非法的,而且很多时候这些人只是“试图通过报告低风险甚至无影响的漏洞来赚钱”。相反,报告真正严重错误而不期望赏金的人应该受到公平对待,而不是罪犯。加德纳和多明戈都提到了密苏里州的一个案例。在那种情况下,一个人因在展示该网站如何显示教师证书时无意中泄露了他们的社会安全号码而受到起诉威胁。加德纳评论说:“这是一个悲惨的情况。”运行漏洞赏金计划的风险如果运行漏洞赏金计划的公司执行能力不足,也会存在风险。严重漏洞的奖励可高达数万美元,但对于大多数全职漏洞猎人来说,温饱都是中低危漏洞,一般金额在几百到上千不等.这种价格结构能够建立的前提是漏洞的快速识别和内部IT部门的快速支付。多明戈说,这种关系是建立在双向尊重的基础上的。“这些是一个好项目的关键,”他说,“这会激励你挖更多的洞,因为你知道那些人正在关注你在做什么。”运行不佳的项目——在加德纳和多明戈看来,大多数项目都会给托管公司带来额外的风险。延迟付款、低赏金和沟通不畅使黑客可以将发现的漏洞出售给出价更高的人。“人们感到受到侮辱并泄露内容?这是你必须一直处理的事情,”加德纳说。“作为一个群体,黑客有时会有点情绪化。加德纳对运行新漏洞赏金计划的公司提出了简单的建议:“尽量不要成为试图修复您系统的人的混蛋。”不过,他也承认,这些事情说起来容易做起来难:“IT部门往往不堪重负。”虽然他见过很多黑客通过第三方传递漏洞的案例,但总会有“某种方式越级,直接向企业报告”企业。”自动化能力的矛盾并不是所有人都相信漏洞赏金能够有效保障代码安全。”软件供应商可以方便地将消除软件漏洞的责任转移给漏洞猎手。与致力于维护安全的人员相比,这些漏洞猎手的人员成本更低。本古里安大学网络安全研究部门的首席创新官OlegBrodt说——在某些方面,对于购买此类软件的公司来说,这是一个相当危险的想法。Gardener持怀疑态度,因为大多数分支机构不会购买只需支付几千美元的漏洞赏金的软件。同样,他不认为一些黑客使用自动错误检测工具的趋势会结束专业的错误搜寻生涯。”)举个例子,“多年来,他每个月都在HackerOne的排名中名列前茅……他所做的一切都是基于外部攻击面监控和自动化。然而,加德纳认为,bughunting的成功更多是基于人类的聪明才智比使用的工具更重要。即使对于那些缺乏这些能力的漏洞猎手,加德纳认为新的机会无处不在,从社会巨头的AI问题到加密货币。智能合约:“以太坊上几乎所有东西都是开源的。所以攻击者很容易进去读取代码,然后找到漏洞。“然而,对于Toshi来说,最吸引人的领域是移动应用程序。在他看来,这个领域比网站更容易反编译。2020年,Toshin用他赢得的漏洞赏金资助推出了Oversecured,这是一家在iOS中提供自动化漏洞扫描的初创公司和Android应用程序。“现在,我们有一些欧洲银行和几家网络安全咨询公司作为客户。”他说。运行Oversecured的需要意味着Toshin现在基本上已经放弃了漏洞奖励,但这并不意味着他有任何“对这个行业的想法是新的、奇怪的。当Oversecured开始时,Toshin将其定价为每次扫描10美元。美元,因为他认为它会占领批量搜索漏洞的市场。”但没有人使用它。”他说。Toshin随后将价格提高到250美元,销量猛增。作为回应,他说,人们很可能不相信扫描仪的营销材料;在漏洞赏金的荒野中,“他们更相信价格”。给漏洞猎人的三点建议关于漏洞赏金的风险,WhiteOakSecurity的安全官BrettDeWall总结了漏洞赏金的三个问题和建议:(1)沟通当公司的渗透测试人员试图寻找漏洞时,缺乏沟通沟通机制的转变变成了“浪费时间的过程”。如果没有一个拥有完善的漏洞赏金计划的组织,研究人员可能会发现自己从LinkedIn跨渠道到其他社交网络,以发现电子邮件收件箱和销售渠道。如果供应商在他们的网站上没有正式的漏洞发布指南,那么开始沟通就会变得更加困难。“现在,公司仍然非常不愿意看到关于他们自己的产品或解决方案的安全新闻,”DeWalls说。这让我很沮丧。可能最大的感受就是继续努力。”(2)范围漏洞“范围内”和“范围外”也是披露过程中的常见问题。例如,一个组织可能会考虑远程代码执行漏洞,但不会考虑任何其他严重程度较低的漏洞——除非这些漏洞的可利用性或现实世界影响很大——例如渲染服务器不安全、SSRF攻击、不安全的直接对象引用(IDOR))漏洞等。DeWall表示,WhiteOak遇到过多次SSRF/IDOR漏洞超出范围的情况,因此漏洞提交不被接受。这可能出于多种原因,例如审阅者太少、无法验证报告以及处理漏洞所花费的时间。DeWall评论道:“组织可能没有支付赏金的预算,或雇用足够的员工来验证。如果发现高风险漏洞,但‘超出范围’,它是否仍有可能被利用?”漏洞呢?我会强烈敦促拥有漏洞赏金计划的团体接受任何‘超出范围’漏洞的提交(或至少提供联系表)。”(3)承认,根据DeWall的说法,漏洞披露“最多”之一挫折是无法获得错误报告的任何荣誉。研究人员希望他们的工作得到认可,并且可能希望将他们的发现列为他们证书的一部分;另一方面,组织不希望公众知道关于他们自己产品的安全问题。如果组织想鼓励研究人员继续花时间改进他们的产品,最好有一面“名人墙”——不需要提出具体的技术或漏洞问题。这对研究人员来说也是一个公平的安慰。“现在存在漏洞赏金或安全研究,而且它们不会很快停止——而且可能永远不会,”DeWall说。“然而,我们处理漏洞赏金的方式可以改变,研究人员说。依靠公司自己的安全人员来挖掘和维护审查系统的安全显然是不现实的:对于大多数企业来说,负担不起高额的人员安全研究人员的成本。漏洞赏金作为一种类似“安全外包”的方式,可以为企业节省大量成本,同时取得良好的安全效益。但是,漏洞赏金也处于法律的边缘,稍有不慎就有可能导致违法风险,无论是白帽还是漏洞赏金平台,都需要尽量规避这些潜在风险,提供优质的漏洞挖掘服务;健康成长的重要因素.
