您当前的位置:周末画报 > 商业 > 财富 > 黑客正义联盟

黑客正义联盟

阅读数 24539

评论
摘要: 黑客形象一直被冠以“坏人”固化标签,但其实黑客也有“白帽”和“黑帽”好坏之分。HackerOne就是全球最大的“白帽”黑客社区,他们正通过漏洞众测为黑客正名。
发表评论
文章评论
目前尚无评论,欢迎发表

黑客给人的印象,大多是躲藏在阴暗的屋子里,不怀好意地敲打着键盘。他们的帽衫遮住眼睛,露出狡黠的笑容,因为他们瞬间就可以窃走企业或政府的重要机密,以此牟取暴利。


不过,接下来两位黑客的故事,却和这样的不法分子形象,大相径庭。


Jobert Abma 和Michiel Prins是两个90后“黑客”。他们成长于荷兰德拉赫滕市,是同一条街上的邻居,自幼相识。


他们和生在20世纪90年代的大多数男孩一样,在成长过程中喜欢上了电子游戏,迷恋“升级打怪”。只是,他们比同龄人多出一份好奇心,想要搞懂游戏背后那一串串代码的奥秘。于是,他们转而又对编程和因特网产生了浓厚的兴趣,并一起学会了建立网站。


十几岁时,正是调皮捣蛋的年纪。两人已经不满足于只是做做网页、打打游戏。精通计算机的他们,有了新的爱好——当黑客。


他们的第一个“实验对象”是一家当地电视台。他们破解了电视台内部系统的用户名和密码,侵入了电视台系统,掌握了电视台的“播出权”,最后居然让电视台播出了他们自己的节目。


老师后来对他们的这次“黑客行为”进行了教育。作为责罚,两人被迫做了25小时的社区服务。


几年后,两个男孩长大成人。他们考入荷兰格罗宁根的汉泽大学。在学习之余,他们仍然喜欢当黑客,只是长大了的他们,明白非法侵入他人计算机的法律风险,因此只是“黑入”别人的系统看看,并不做什么其它动作。


有一次,他们在学校系统里“闲逛”,突然发现大学用来管理学生信息的软件存在漏洞,会泄露个人数据和成绩信息。


Jobert Abma 和Michiel Prins立刻把此事报告了软件公司。尽管没有得到报酬,但软件公司依照他们所说的修补了漏洞——当然,他们也因此免除了未经许可进入学校系统的惩罚。


“利用漏洞来窃取数据并参与犯罪活动,这从来都不是我想要的。我对于‘破坏东西’很好奇,但是我总是想把数据信息掌握在正义的人手中。”Michiel Prins 告诉《周末画报》。


参与漏洞悬赏的女性白帽黑客:Katie Moussouris(左一),Alyssa Herrera(右一)

参与漏洞悬赏的女性白帽黑客:Katie Moussouris(左一),Alyssa Herrera(右一)


创立黑客社区

经此一事,两人意识到,发现企业的安全漏洞,完全可以当成一门生意来做。道理很简单:互联网天生就不安全,而且所有的软件系统都会存在或大或小的安全漏洞。


企业大部分的漏洞是在遭到黑客攻击之后才发现的。而一旦被黑客攻击,数据遭到破坏,其成本就难以估量。卡巴斯基实验室一项研究显示,对于大型企业,一次网络安全事故单次损失额在86万美元;而中小型企业,单次网络安全事故损失额在9万美元。而根据美国华盛顿战略与经济研究中心的一份研究数据,每年网络遭黑客攻击造成的损失,保守估计约为3750亿美元至5750亿美元。


而如果开发一个平台,招募一群黑客,提前发现系统漏洞,并为黑客提供一定奖赏,那岂不是两全其美?


到2011年时,Jobert Abma 和Michiel Prins已经开了一家做相关业务的咨询公司,有了一些这方面的客户。这时,有朋友建议他们,应该去硅谷闯一闯。


Abma 和Prins于是向谷歌和Facebook 等科技公司发出电子邮件,希望和这些科技巨擘聊一聊它们的安全问题。


当时的Facebook产品安全主管亚历克斯·赖斯(Alex Rice)信心满满地回复了他们的邮件,让他们大可在其安全系统中一试。


“Facebook是我们打算‘侵入’的一批大型科技公司之一。我们的目的,是证明它们 还需要进一步的安全测试。”Prins 表示。


在得到许可之后,Jobert Abma 和Michiel Prins 仔细检查了Facebook 的安全系统,果然发现了一个很大的漏洞,并将此事报告给Facebook。赖斯很惊讶两人的才华,于是双方见了面,畅谈了一番。


这件事让Jobert Abma 和Michiel Prins两人意识到,如果Facebook 能够接受第三方为他们寻找漏洞,硅谷的其他公司也会接受。


“ 于是我们列出了100家在硅谷的‘潜在客户’,并且对每家企业进行了‘黑客攻击’,找出了它们的安全漏洞。”Abma说。


拿着漏洞给‘潜在客户’看, 这或许是最能戳到客户痛点的做法了。亚历克斯· 赖斯也对这个想法兴致勃勃。因此,他离开了Facebook,和这对荷兰人建立了一家新公司,名叫HackerOne。


如今,HackerOne已经是一个拥有超过28万个黑客的社区,并服务于超过1200个客户项目。Prins 介绍,到目前为止,他们已经帮助客户解决了超过85000个漏洞,并在此过程中为黑客带来了超过3900万美元的收益。


“HackerOne为客户提供了黑客群体最大的漏洞发现社区,并为黑客提供了最多的赚钱机会。”Prins 表示。


投资者也已经看到了HackerOne 的巨大发展前景。该公司近年已经从Salesforce 公司的Marc Beniof f、俄罗斯企业家Yuri Milner、Dropbox 的Drew Houston和Yelp 的Jeremy Stoppelman等天使投资人那里,融资共计7400万美元。


目前HackerOne已经发展成为全球最大的白帽黑客社区。HackerOne 作为早期的试水者,走在这种商业类型的前端。


HackerOne 漏洞众测挑战者与美国国防部工作人员合作众测项目

HackerOne 漏洞众测挑战者与美国国防部工作人员合作众测项目


HackerOne 联合创始人兼产品经理Michiel Prins

HackerOne 联合创始人兼产品经理Michiel Prins


众测“招安”黑客

HackerOne 是开放式作业平台模式:企业将安全任务放到众测平台上后,黑客们会自行认领,发现漏洞。HackerOne仅靠对成功的单子进行抽佣来营利。这样的方式被称为“众测”。


其实,近几年来,众测已经成为信息安全界一个比较热门的话题,并形成了一种新的商业形态。


众测的英文为Bug Bounty,直译为“漏洞悬赏”。因此,寻找系统中的安全漏洞的黑客,有点像在过去美国西部,通过完成雇主的高难度任务,来获得高额赏金的“赏金猎人”。


众测的历史可以追溯到上世纪90年代。该概念由美国计算机服务公司网景通信公司首次创造。该公司提出,可以通过物质方式鼓励公司内部人员或外部人员,向网景通信公司递交漏洞发现情况,并正式于1995年启动了“Bug Bounty”项目。


不过,众测的概念真正开始普及是随着HackerOne 公司的“攻击五角大楼项目”(Hack the Pentagon Program)带来的。


2016年4月,美国国防部迈出了大胆的一步:启动联邦政府历史上第一个众测计划。国防部选择HackerOne 作为合作伙伴,为五角大楼招募黑客,“开黑”五角大楼的安全系统。该方案旨在通过众测,来识别和解决国防部网站存在的安全漏洞。


“ 我们需要了解我们的弱点是什么,以便修复它们,没有比向全球黑客社区开放这些弱点更好的方法了。”国防数字服务小组组长克里斯·林奇如是介绍。


最终,HackerOne上来自美国44个州,甚至还有日本、德国和英国的共1410名黑客,注册参与了该项目。年龄跨度从14岁到53岁。


在提交的安全报告中,有138份是“有效且有资格获得奖金的”。美国国防部最终为这些黑客合计发放了75000美元的“赏金”。平均每位黑客获得奖金为588美元,收入最高的黑客到手15000美元。


获益的不只是黑客。通过“攻击五角大楼项目”,美国国防部超过138个软件漏洞得到了修复,其中最快发现的漏洞在项目启动后13分钟就得到了解决。


时任美国国防部长阿什·卡特表示:“我们知道,一些不法黑客想要挑战和利用我们的网络。但在这次众测计划之前,我们完全没有意识到的是,原来有这么多善良的黑客想要有所作为,他们想帮助我们的人民,维护国家的安全。”


虽然只是为期一个月的项目,但它是美国其他政府机构一系列类似活动的开始。2016年之后,美国许多政府机构都加入到众测平台,诸如联邦贸易委员会、美国食品与药品管理局和美国空军等不同机构,都推荐众测平台这样的新兴安全系统。


白帽黑客与普通程序员收入对比


为企业节省成本

时至今日,众测这种方式也早已走出政府机构,被一些企业所认可。


“每个企业都应该有一个通过众测平台实施的安全策略。每个组织应当有一个安全和开放的渠道,使第三方在发现漏洞时能够即时报告这些弱点。”Prins 告诉《周末画报》。


像微软、Google 或者Facebook 这样的大企业,已经与HackerOne 等公司合作,拥有了自己的众测机制。利用这套机制或系统,这些大企业可以在软件漏洞曝光之前,未雨绸缪。


此外,使用众测也比企业内部主动发现漏洞节省更多开支。


加州大学伯克利分校的研究人员早在2013年众测平台初露头角时,已经确定它是比雇用员工专事安全漏洞检测更好的投资。


当年,谷歌和Mozilla分别在他们的Chrome和Firefox 浏览器中,通过众测平台发现并修复了数百个漏洞。为此,谷歌支付了58万美元,Mozilla支付了57万美元。而研究人员调查发现,在北美,聘请一位安全维护人员的平均年成本在10万美元以上。与此进行比较不难发现,谷歌和Mozilla使用众测平台的成本,和聘请5人的浏览器安全团队的成本相当(实际团队人数远不止5人)。而众测还能发现更多的漏洞。


根据另一家众测平台Bugcrowd2016年对客户的统计,其中71.93%用户选择众测的首要原因,就是能节约成本。


2018年,惠普公司与Bugcrowd 达成合作,其很大原因正是因为众测平台的经济成本。


“无论你什么时候投资,你都需要考虑投资的回报。所以,我们每花一美元,我们都会问,我们会得到什么好处?采用众测平台来识别安全漏洞,是一种高成本效益的方法。”惠普印刷安全首席技术专家Shivaun Albright 表示。


白帽黑客职业分布


建立互信机制

但起初,并不是每家公司都乐于将自己的安全系统展示给外界的。这就好比动物把自己最脆弱的腹部暴露在危险丛生的大自然面前一样。


不过事实是,HackerOne 等公司已经和 Uber、Twitter等大公司建立了良好的关系。它们是如何一步步建立起和大公司的信任关系,让它们信任黑客的?


首先,HackerOne 平台不仅有黑客,还有安全专家参与其中。这确保了HackerOne 提供平台服务的时候,能够站在公司和黑客的平衡点,使得HackerOne 能同时获得社区中的黑客和客户的信任。


这种互信,是基于HackerOne 的“漏洞公布策略”(VDP)提出的。


“漏洞披露政策”旨在呼吁企业或组织为道德黑客提供明确的准则,让他们提交潜在的有害安全漏洞。这些准则要求企业对黑客尽可能地信任,开放尽可能多的系统权限。简而言之,就是要“用人不疑”。


而针对黑客,HackerOne 也要求,必须在企业规定的安全范围内运作。未经允许,不能访问或销毁其他用户的数据。此外,还要及时报告所有发现的漏洞,不得隐瞒。


通过这一双向策略,两者实现了共赢。黑客可以使客户免于安全危机。而相应的,客户也会为黑客“敞开友善大门”,并提供相应报酬。


通用汽车(General Motors)就是典型的受益者。


2017年,通用汽车在全球交付了900万辆汽车,每辆车装配有电子通信系统。其中860万辆带有4G网络的汽车,都内置有智能系统。2018年的凯迪拉克CT6中还发布了“超级巡航系统”(Super Cruise)。这是目前唯一的半自主驾驶系统,司机可以完全将手从方向盘上移开。


这些智能系统在带来便利的同时也意味着,一旦汽车的安全系统被“黑”,危及的将是司机和乘客的生命安全。因此,通用汽车这家传统的非高科技公司,由此产生了巨大的安全问题,亟待解决。


通用汽车其实早已意识到了网络安全的重要性,率先创建了全球网络安全小组,专门负责解决该问题。


2016年,通用汽车又与HackerOne展开合作。


“利用HackerOne 与其黑客社区的关系,我们可以查看它们提供的安全检查结果。这是非常令人鼓舞的,”通用汽车公司全球网络安全副总裁杰·马西米拉介绍说,“黑客已经成为我们安全生态系统的重要组成部分。”


两年后,通用汽车通过HackerOne 取得了巨大的成绩。黑客通过通用汽车的众测平台,帮助其识别并解决了700多个系统漏洞。


今天,通用汽车还在扩展他们的黑客安全防御系统。通用汽车筛选了一批黑客进入其名为“红色团队”的内部实验室。该计划的目的,是把那些拥有高超专业知识的黑客,直接加入到通用汽车的联网系统。这样“大尺度”地对黑客开放安全系统,在过去是不可以想象的。


如果企业仍然对黑客存有戒心,希望多一重防范,怎么办呢?同样致力于打造众测平台的Synack公司,也有自己博得客户信任的妙招。该公司会对黑客有审核机制,同时会根据不同黑客的专长来对其进行分类。如此一来,在针对不同目的的测试项目中,既保证了“术业有专攻”,也确保了测试效果。该企业CEO杰伊·卡普兰表示,由于平台上的黑客均是经过认证的,因此一旦出现问题时,可以追责,让客户更安心。


2014年 - 2018年中国信息安全市场规模及增长率


从“黑帽”到“白帽”

同为黑客,却有“白帽”和“黑帽”之分。“白帽”指的是安全研究人员,他们在发现软件漏洞之后,通常会将这些漏洞报告给厂商,以便厂商即时针对漏洞发布补丁。


从某种意义上来讲,“白帽”被认为是“ 好人”。“黑帽”通常就是罪犯,他们用自己的实力来寻找或开发软件漏洞和攻击方式,或者是开发其他的恶意工具,来侵入用户的机器去窃取数据。


许多时候,“黑帽”黑客通过一些非法手段,可以获得比“白帽”更可观的“不义之财”。


杰克·凯布尔(@CableJ)是HackerOne上排名最高的黑客之一。对他来说,他生命中第一次“开黑”,就差点误入歧途。在破解进入一家金融机构的内部系统后,他发现自己居然可以给该金融机构的银行账户持有人,发送负额的钱款。这实际上就意味着,他可以从这些账户上偷钱。


当时,他只有十几岁。但他知道,如果利用这个漏洞“大发一笔”,那么很可能就此走上不归路。于是,他主动将这个漏洞报告给了该金融机构。由此,该机构也给了他一笔奖金。


而这样的做法让凯布尔觉得,当一名正义的“白帽”黑客,比做“黑帽”黑客去偷钱,更有成就感。毕竟,想让世界更美好的同时,也想有一个获利丰厚的回报,这样利己与利他的共存,其实并不矛盾。


不过,成为“黑帽”还是“白帽”,除了取决于个人的价值观,像HackerOne 这样的平台是否能真正为黑客说话,也很重要。


事实上,一些黑客虽然有心帮助企业寻找漏洞,但企业却并没有那么诚实。比如,一位匿名的HackerOne 黑客就有过这样的遭遇。他在众测平台上,发现了一家企业的漏洞,并向企业提交了报告,但该公司却背着他偷偷修复了漏洞,并声称企业没有漏洞。


对此,HackerOne 也有应对之道。通常来说,众测是基于信任和市场效应的,这就意味着如果一家公司不想支付更高赏金或是响应太慢,那么黑客就会对其失去兴趣,其项目也就失去存在价值。


但HackerOne 在企业和黑客之间又增加了一套协调机制。付赏金的高低和时间,可以由企业自己决定。但如果黑客对此有异议,可以点击“申请调解”,由HackerOne 介入之后,给出对双方最好的建议。由此,将企业和黑客之z产生矛盾的可能性降到最低。


作为黑客和公司之间的中介,HackerOne 会为客户处理税务表格、背景调查和其他法律文件。为此,HackerOne从黑客那里收取占每笔奖金20%的佣金。


不过许多黑客都表示,他们不介意把他们收入的一部分交给HackerOne,因为如果没有这个平台,和大公司做生意很难。


黑客杰克· 凯布尔表示:“在HackerOne的众测平台上寻找企业漏洞,你知道自己最后一定会得到报酬。HackerOne 会让那些公司遵守诺言。”


据Michiel Prins 介绍,目前在HackerOne上注册的黑客已经超过28万。根据发现漏洞的严重程度,HackerOne 平台上的黑客,可以获得从几百美元到10000美元的奖金。


此外,HackerOne 致力于让工作更符合个人取向,也是其“白帽”黑客数量日益增长的原因。


人们经常认为,黑客不擅长社交,性格古怪。但HackerOne 的CEO马特恩·米克斯不这么认为。他说:“这是企业的问题。太多的企业把人当作机器人,告诉他们该穿什么、做什么,甚至是想什么。黑客的技术水平越高,他们就越不愿意受约束。高智商的人通常都有强烈的独立感。给予他们做自己的自由,这是他们能够非常优秀的原因。如果你试图强迫他们按某种固定模式做事情,你就限制了他们。”米克斯在采访中表示。


因此,HackerOne从不强迫旗下黑客做某种业务。多年来,它一直维持着社区模式,鼓励社区里的黑客自由自在地从事自己想做的事。


当然,恶意黑客和道德黑客之间的界限仍然很模糊——即使是出于“白帽”的意图,众测平台也曾陷入是非。


2017年,美国媒体爆出,一名黑客对优步公司(Uber)主导了一次大规模数据泄露。据悉,这名黑客窃取了5700万优步用户和司机的个人信息,并威胁公开。优步公司不得不向这名黑客支付了10万美元,以求删除他威胁要发布的数据,息事宁人。


但事实上,这名黑客2016年时还被认为是优步的“功臣”。因为他在HackerOne 的众测平台上,为优步发现了服务系统中的一个漏洞。谁能料想,这位“白帽”黑客一夜间“黑化”成了数据泄密者。


2017年8月,接替优步创始人特拉维斯· 卡兰尼克(Travis Kalanick) 担任首席执行官的达拉· 科斯罗沙希(Dara Khosrowshahi)在一篇博客文章中针对向黑客支付“赎金”向公众致歉:“这些都不应该发生,我也不会为之找借口。”为此,他还解雇了优步的两名高级安全官员。


虽然HackerOne 在本案中被黑客利用,因此没有被指责有任何不当行为,但该公司的CEO 马特恩·米克斯还是到国会作证,并被要求解决平台中的缺陷。


此次事件引发了外界对于众测这一新兴事物的关注。黑客到底是正是邪?人们到底是否应该相信他们?在这一点上,HackerOne 创始人Jobert Abma 和Michiel Prins一直在做出努力。


如今的他们并没有走到公司经营的一线,他们仍然担任着公司工程师这样的幕后职务。在采访中,他们甚至不愿提及太多关于企业未来发展的战略,因为这不是他们关心的。他们所做的,仍然是时不时地到众测平台上,为客户发现安全漏洞。


Prins 和Abams 表示,他们最热衷的,是改变社会和商业世界看待黑客的方式。这需要自己通过实际行动,为客户发现一个一个漏洞,并帮助他们修复。


“当我们还是孩子的时候,当黑客是违法的,我们也曾差点犯了法,”Prins 表示,“但我们创立HackerOne 最大的使命之一就是改变黑客的固化形象,让人们可以把黑客视为好人。”


国内市场空间大

Michel Prins 告诉《周末画报》,HackerOne在亚太地区也正在获得极大关注,并计划在未来几年内扩张。


“虽然我们在中国的黑客社区只占很小的一部分(不到总社区的5%),但在中国,我们的顶级黑客的年收入大约是当地软件工程师年收入的3.7倍。”Prins 表示。


而事实上,中国网络安全产业也正在蓬勃发展。2015年,中国《信息安全产业发展白皮书》发布。白皮书中显示,国内信息安全市场从2013年到2016年基本上呈现线性上升的趋势。2013年的国内信息安全的市场规模在300亿左右,在2016年整个信息安全市场容量达到2000亿左右。2017年,我国信息安全市场增长步伐较2016年增长率略有放缓,但仍维持了23%左右的增速,市场规模达到419.1亿元人民币。


因此,类似HackerOne 这样的“白帽”众测平台也在国内不断涌现,比较著名的有斗象科技、乌云众测、威客众测等。


在“白帽”资源方面,斗象科技已经沉淀了35000个“白帽子”资源,其中大部分来源于其旗下的安全网站社区Freebuf。作为国内最为知名的安全网站社区,Freebuf一方面利用其宣传面广的优势,为斗象科技吸引了大部分“白帽”资源,另一方面,也通过培训和“漏洞检测”大赛的模式,提高“白帽”黑客的技术水平。


今年,斗象科技更是派出旗下最专业的黑客团队,前往英国伦敦参加由全球互联网巨头与Hackerone 平台联合主办的“h1-4420”漏洞挖掘大师赛。斗象科技凭借优秀的技术能力在众多国际顶尖“白帽”黑客中脱颖而出,包揽“The Exterminator”(全场最佳漏洞提交者)和“The Assassin”(全场得分最高纪录保持者)两项大奖。


撰文— AL 编辑— Ruby Xu 设计— Lero

相关推荐 更多>
请填写评论内容
确定