【原】漏洞赏金猎人：找别人茬，赚自己钱

如今，似乎所有东西都存在遭到黑客攻击的风险，无论是工厂、医院，还是索尼（Sony）和雅虎（Yahoo）这样的大公司，莫不如此。

但是，这些黑客的另一批“同门”却在搜寻软件中的漏洞，将之上报厂商，并因此获得丰厚奖励。

这些人，我们称之为“漏洞赏金猎人”

 

从Facebook到苹果（Apple），大公司的“漏洞赏金”项目提供了大笔现金和其他战利品，奖励给那些能够找到安全漏洞并上报给受影响公司的黑客。

不过，并不是所有公司都深谙如何跟黑客群体打交道，而管理漏洞赏金项目、确保公平和安全性也绝非易事。

这就是HackerOne的用武之地，它在公司和漏洞“猎人”之间扮演着类似于中间人的角色。

“大多数公司在这方面都没什么准备，”HackerOne的联合创始人兼首席技术官亚历克斯·赖斯（Alex Rice）解释道，他将作为演讲嘉宾出席在10月20日举办的WIRED Security大会开幕式，“作为一名黑客，你其实面临着很大的风险。”

举例来说，过去有报道称，一些对安全漏洞进行标记的研究人员险些吃了官司。

公司注册成为HackerOne的客户之后会制定互动规则，然后等待黑客社区的响应。

一旦接到通知说其应用或网站发现漏洞，公司内部的工程师就能迅速展开调查——有时候在数小时之内就能完成修补。

在通过HackerOne发布的600个项目中，有77%在上线一天之内就被发现存在新的漏洞。

 

包括电子前沿基金会（Electronic Frontier Foundation）在内的一些机构发布了在线指南，描述了他们希望黑客遵循的做法。

其中可能包括禁止采用何种类型的渗透测试，以及如何就已发现的漏洞联系受影响的一方。

 

“必须做出那种程度的警告，这真的有些悲哀，”赖斯说道，但与此相对应的是，黑客将有机会参与得到精心管理的漏洞赏金项目——那正是大奖所在。

约伯特·阿布玛（Jobert Abma）

约伯特·阿布玛是HackerOne的联合创始人之一，他曾表示自己每年通过漏洞赏金项目获得将近10万美元的收入。

HackerOne还帮助把大笔的现金奖励分发给其他人。

最近，该公司跟Uber合作的一个项目在100天内向研究人员发放了34.5万美元的奖金。

 

赖斯表示，Uber对这个结果“高兴得不得了”，该公司总共藉此发现并修复了161个安全问题。

有一个例子很能说明问题，Uber应用的一个漏洞可以让用户逃避“峰时费”。

 

要利用这个漏洞，用户只需要在应用中切换上车地点，从执行峰时定价的区域切换到不执行的区域。

“你看，用这个办法就不用承担额外的车费，”找出这个漏洞的工程师解释道。

 

这位工程师在两天内收到了Uber的感谢信，认可这个漏洞是“合乎奖励标准的”。

又过了几天，漏洞被修复了，这位工程师则收到了3,000美元的奖金。

 

不过，金钱并不是唯一的激励因素，有时候上报漏洞还会有其他好处。

“我们会定期举办活动，邀请黑客跟公司的安全团队会面，”赖斯说，“这是顶级黑客享有的一项特权。”高手中的高手将能跟自己所帮助公司的工程师展开密切合作，赖斯补充道。

“他们真地把那些黑客当成公司安全团队的一分子，而不是什么外部人士。”这可能让公司跟黑客社群的部分成员建立一种纽带，他们将能建立起赖斯所谓的“在需要时就能动用的人才储备库”。

最近，一项针对HackerOne平台600名黑客进行的调查发现，他们参与漏洞赏金项目的动机五花八门：72%的人是为了钱；但有相近比例（70%）的人表示，他们做这件事也是因为“好玩”；略多于一半的人称，他们希望“做好事”。

不过也有一些奇特的问题案例。

赖斯说，HackerOne不得不封杀少数黑客，因为这些人用不专业的方式通过这个平台跟公司接触。

比如某个破坏分子没有“足够成熟的沟通技巧”，他补充道，“那是明白无误的粗鲁行为。”

但黑客凭借真才实学碰运气倒不会有太多问题。

赖斯解释说，那些意图不良的黑客参与漏洞赏金项目并不会有太大的收获。

他们还不如鼓捣自己从开放互联网上找到的东西，而那些东西大家都能找到。

 

赖斯认为，一种令人愉快的“黑客-客户”生态系统需要双方相互尊重。

这种认知来源于他自己的工作经历。

10年前，赖斯为一家名为Websense的公司效力，该公司开发的系统被用来在互联网上寻找漏洞。

赖斯说，他后来跳槽到了Facebook，因为这家公司愿意接受外部黑客帮助，这样的开放态度给他留下了深刻印象。

 

“太多公司把头埋在沙子里，认为自己可以独立解决安全问题，”赖斯说，“如果他们真能做到，那他们真可以说是创造了历史。”赖斯还补充道，一家公司应对安全问题的做法靠不靠谱，这甚至会成为吸引消费者的一个亮点，事实上，他自己就是这样在市场上甄选各种电子产品的。

 

就拿Chromebook来说，在这款笔记本电脑漏洞赏金项目启动的第一年，谷歌（Google）一开始向那些能够找到漏洞的安全研究人员支付数千美元的奖金。

但随着寻找漏洞变得越来越困难，奖金的数额不断提高。

目前，如果有人可以在Chromebook上面找到一个漏洞，就能获得10万美元的奖金。

不过到目前为止还没有人成功过。

 

“他们已经有足够的自信，乃至宣称这款产品非常安全，他们可以拿10万美元打这个赌，”赖斯说，“我就是根据这一点做出个人消费决策的。”

 

当你下一次听说一家大公司遭到黑客攻击时，或者选购新手机或新电脑时，这些都是值得思考的事情。这家公司是否提供机会让外部黑客一展身手？他们在安全问题上持开放态度吗？

赖斯坦承，你无法防范一切，但至少已经有人开了头。

翻译：何无鱼

来源：Wired