本文作者史中,雷锋网主笔。关注网络安全,希望用简单地语言解释科技的一切。
HackerOne是美国著名的漏洞众测公司,它最早开创了一种模式:汇集众多的黑客,一起为企业找漏洞。
目前,全球致命的互联网公司 Yahoo、Twitter、Adobe、Uber、facebook 等都会在 HackerOne 上发布漏洞奖励计划,欢迎白帽子(致力于网络安全的黑客)们测试自己的网络安全。
HackerOne 的商业模式,在全世界得到了推广,中国的众多漏洞平台也依靠这种方法吸引到了众多喜爱网络安全技术的白帽子,为各大企业寻找安全漏洞。
HackerOne 的 COO 王宁是一位旅美华人,她30年前于北大毕业,获得李政道奖学金,并且攻读了博客里大学物理学博士。最近她来到中国参加漏洞平台补天举办的白帽大会,雷锋网(公众号:雷锋网)宅客频道采访到了她,在她看来,漏洞平台只要运行在明确的规则之下,就可以获得众多公司和白帽子的信任,从而快速发展。
【HackerOne COO 王宁】
以下是雷锋网宅客频道采访整理:
1、听说在 HackerOne 发展的早期阶段,发现的漏洞并不受到企业重视,有关这个情况有怎样的故事可以分享?
Michiel Prins 和 Jobert Abma 是我们四个联合创始人中的两个,他们都是黑客。他们是发小,从童年时代就一直是最好的朋友,高中的时候他们开始学习黑客技术。
在他们成立 HackerOne 之前,曾经开过一家安全咨询公司。在运营这家咨询公司时,他们产生一个想法:为什么不能找一找硅谷百强科技公司的安全漏洞呢?
他们觉得,如果可以向这些科技公司提交一些真正的漏洞,就可以从他们那里得到一些安全咨询业务。但是,实际情况有点坑爹:
这100家公司中有 1/3 的公司根本不理他们,另外 1/3 的人回答说“谢谢,我们不需要”,最后 1/3 的人回邮件说想和他们聊聊,有的甚至聘请他们。这家想雇佣他们的公司就是 Fackbook。
现在 HackerOne 的 CTO,也是另外一个联合创始人 Alex Rice,当时是 Facebook 的产品安全团队负责人。Alex 邀请 Michiel 和 Jobert 到 Facebook 见面聊聊,并聘请他们来做一个项目。这个经验使 Michiel 和 Jobert 意识到:
建立一个平台,使得白帽黑客更容易向企业公司提交安全漏洞,这件事是有价值的。
在 Faceboo k首次会议一年后,Alex 离开了 Facebook,并与 Michiel 和 Jobert 合作创业,这就是HackerOne 成立的故事。
2、在中国存在这样的情况:白帽子在对企业进行漏洞检测的时候,没有获得完整授权,从而产生法律问题。在 HackerOne 的早期阶段,遇到过这样的问题吗?
由于我们的创始团队包括白帽子黑客(Michiel和Jobert)、安全专家(Alex)和有经验的经理人(Merijn Terheggen),他们在很早的阶段就设定了我们的平台规则:
只有公司授权之后,白帽子才能寻找并且提交漏洞。
从成立的早期,我们的团队就一直建议公司制定明确的漏洞奖励计划,明确寻找漏洞的范围,还有披露政策和将近支付方法。 所以,我们的平台并没有遇到黑客和公司产生纠纷的情况。
3、在漏洞价格方面,是否存在公司和白帽子对同一个漏洞的价值判断非常不同的情况?遇到这种情况,作为平台如何妥协做到各方都满意?
黑客和客户之间有时候会有一些误解。
一般情况下,是因为漏洞鼓励计划没有写得很明确,因此白帽黑客误解了一些测试规则或赏金准则或披露政策。
当这种情况发生时,可以在我们平台上申请“调解”。我们的安全专家和客户经理就会介入,详细审查情况,并和黑客和公司的安全团队一起讨论,寻找最佳解决方案。
例如,有一次黑客发现了一个严重漏洞,一般情况下这样的漏洞可以获得丰厚的奖金。然而,客户却不愿意付出高额奖金。这个黑客非常失望,于是让我们介入协调。我们发现客户不愿意付高额奖金的原因是:这个漏洞属于它的第三方营销网站,他们觉得这个网站不应该在奖励范围之内。
但是,在企业一开始提交给我们的漏洞奖励计划中,并没有明确说明营销网站不符合奖励条件。所以我们建议企业修改计划页面,避免这种扯皮的事件发生。最后我们又建议企业给黑客另外支付一些小额奖金。
这件事情就这样相对友好地解决了。
4、对于 HackerOne 上很多政府和官方服务的漏洞,提交方式是否会和商业公司有所不同?对于挖漏洞的白帽子来说有什么需要特别注意的地方?
在 HackerOne的平台上,所有的漏洞奖励计划都从前面说到的漏洞奖励计划页面的起草开始。这个页面包括了所有详细的规则。这一点上来说,政府机构和所有的公司是一样的。
但是如果你为政府机构或者大型公司寻找漏洞,建议你得仔细读一下漏洞奖励计划页面,甚至你可能还得阅读一下这些组织的法律部门的规定。这样才能保证你在寻找漏洞的过程中能得到最好的效果。
举例来说,我们平台上有一个项目:黑掉五角大楼。
这个项目只有美国公民才能才与,如果想获得奖金,黑客还要接受背景调查。
总之,无论是政府机构还是大公司,清楚界定范围和规则是非常重要的,只要黑客们清楚地明白了参与的规则,就不会出现问题。
5、漏洞保密和漏洞公开一直是一个矛盾,对于某些不重视自身漏洞的企业,也许最终公开是最好的方法。是否存在企业对于 HackerOne 漏洞公开政策不满意的情况?这种情况如何被解决?
披露政策其实非常重要。在 HackerOne,我们面对漏洞披露时特别小心。
我们平台上有一个披露指南,一般情况下,企业和黑客都按照这个来进行。但每个独立的奖励计划都可以确定自己的披露政策,如果与我们的披露建议相冲突,会议客户的披露政策为准。我们很鼓励黑客和公司披露已经修复的漏洞,这样其他人就可以避免在未来产生类似的漏洞。
但我们也理解,有些企业不想透露任何漏洞信息。
所以对于漏洞披露,最终的发言权还是在企业。无论公司是不是重视它们自身的安全,我们都绝不会私自披露别人的漏洞。
这一点在我们看来是非常重要的。
6、众测的漏洞检测模式越来越受到追捧,在 HackerOne 发展的过程中,有没有传统安全测试公司和你们产生过冲突,最终又是如何解决的呢?
我之前说到,在建立HackerOne之前,我们的两个联合创始人有一家安全咨询公司。他们的公司做了许多不同类型的咨询项目。实际上,HackerOne 与传统的安全测试服务并没有太多的冲突。
相反,在 HackerOne 的早期,当我们的客户需要安全测试时,我们会把需求转交给了一些传统的安全咨询公司。自2016年以来,我们自己也有了安全测试服务。当然如果客户喜欢自己寻找安全测试服务商,我们也没有问题,不会强求。
我们只是告诉我们的客户,我们同样提供全面的安全测试服务,这也有助于漏洞奖励计划的实施。
7、现在 HackerOne 已经和 Uber、Twitter 等大公司建立了良好的关系,请问 HackerOne 如何一步步建立起和大公司的信任关系?
HackerOne 由黑客和安全专家组成。 这确保了当我们提供平台服务的时候,能够站在公司和黑客的平衡点。
这种中立的观点使得我们获得了社区中的黑客和客户的信任。我们觉得黑客的成功可以客户受益。所以我们精心设计了平台上的许多功能和工作流程,并且经常听取黑客和客户的改进建议,让他们都可以信任我们。
例如我之前说到的“调解”功能,就是我们的客户企业 Uber 和黑客一起贡献的。
8、众测模式是由 HackerOne 开创的,这种模式有没有被竞争者迅速复制? HackerOne 是如何应对这种竞争的?
Google,微软和Facebook开创了“漏洞赏金计划”。 我们的联合创始人受到这些计划的启发,发明了众测平台模式。
自从我们建立 HackerOne 以来,全球有很多公司复制了我们的平台功能和业务模式,包括中国。
对于我们来说,为了保持发展,就必须更快创新,保持领先。今天这个时代,靠防守是不可能守住自己的优势的。我很欣赏亚马逊的 AWS,你看他们创新的速度有多快。正是依靠创新,他们才能一直领先对手,占据市场份额。
9、作为熟悉中国和美国文化的人,你认为中美两国在漏洞文化上有什么差异?
所有公司和组织对他们的安全漏洞都非常敏感,例如:谁可以查看这些漏洞,如何公开披露漏洞。 中国和美国的公司和组织在这个问题上的敏感性非常相似。
我所看到的不同之处在于:
在美国,许多公司都很乐意在漏洞平台上公布漏洞奖励计划,他们觉得这对公司的美誉度来说是一件好事。大多数美国公司不会单独审查每个黑客的背景。
在中国,似乎大多数漏洞计划都是“暗箱操作”的,每个黑客在参与漏洞计划之前都需要被公司单独审查背景。
所以在我看来,在中国运行的漏洞奖赏计划似乎标准更严格。
10、听说很多知名的色情网站都和 HackerOne 有合作,请问和色情网站合作的过程中,有什么有趣的故事?例如 Pornhub ,他们对于安全有什么独特的诉求吗?
成人视频行业是一个很大的行业,它们会产生巨大的互联网流量。 在成人网站 Pornhub 宣布他们的漏洞奖励计划的当天,给我们的网站也带来了巨大的流量,这是我们网站流量最高的一天!
但是他们的漏洞奖励计划和我们平台上的其他计划一样,没有任何特殊要求。我觉得 Pornhub 在我们的平台上的漏洞奖励计划运行很顺利,我希望有更多像 Pornhub 一样的企业来 HackerOne 发布他们的漏洞计划。
本文由雷锋网宅客频道首发,更多网络安全内容欢迎关注公众号:宅客频道。