從漏洞獵人視角看漏洞懸賞

漏洞懸賞是指對發現網絡安全隱患而進行的獎勵機制，近年來以眾測的模式越來越流行。Oversecure的創始人Sergey

Toshin就是當他在一家網絡安全公司做兼職的時候，被自己當時的同事建議去進入這個領域的。Toshi表示，那時的同事們聲稱漏洞懸賞能每個月給他們的收入增加5,000美元——所以，他也去試了試。

剛開始的時候，他幾乎一無所獲?！拔?5%的漏洞懸賞報告都被退回了?！彼貞浀?。從個人角度而言，Toshin也因為自己在知名漏洞懸賞平臺HackerOne上的名氣不佳而信心遭到打擊。Toshin說：“我覺得我的性格是那種，當我失敗的時候，我會覺得自己一事無成。但是或許一周或者兩周以后，我又會想‘不行，我可以停止用那種想法’!”在他看來，他之后的公路旅行為他漏洞懸賞的成功帶來幫助，因為他轉運了：他的報告一個接一個地被認可了?！白罡叩穆┒磻屹p獎勵有3,000美元?！彼貞浀?，“我拿了好幾個那樣的懸賞。當然，我旅行也不錯?！?/p>

直到谷歌在2019年進一步擴展了自己漏洞懸賞的清單，Toshin才最終成為了一名全職漏洞獵人?！澳翘焓窍奶?，我在酒吧?！彼缡腔貞?。在他去室外抽煙的時候，Toshin掃了一眼谷歌的新聞：“我那時就想‘我要發了’?！彼菍Φ?。僅僅在谷歌的漏洞懸賞計劃中，Toshin就賺了有90萬美元——讓他足夠在不需要種子資金的情況下創立自己的公司。

像Toshin這樣的故事在越來越多。之前只是網絡安全的一個小領域，但現在漏洞懸賞卻在爆炸式增長。大大小小的組織都試圖將他們代碼中的漏洞給找出來?！艾F在，即使那些小公司都在運作自己的漏洞懸賞項目?！盩oshi說到，“現在有更多的地方能找到漏洞?！痹贖ackerOne最近的一份研究中發現，自從2018年以來，通過漏洞懸賞賺錢的漏洞獵人數量增加了143%。

許多的黑客最終確實賺到了很多錢。但是，現實來看，這非常困難且風險很大——不僅僅是對漏洞獵人，同樣也是對進行懸賞的公司。像HackerOne和Bugcrowd這類進行漏洞懸賞的中間人平臺，多少游離在道德與法律的灰色地帶;而對那些進行懸賞的軟件供應商的而言，遲遲不支付賞金以及賞金太低就有激怒漏洞獵人的風險。

自從有了軟件，漏洞就存在了——在1947年，哈佛大學的研究人員發現了導致他們新的超級電腦的短路元兇——一只死掉的蛾子。從那時起，遍歷代碼以發現脆弱性，就成了程序員工作的一部分。不過，把這個工作以懸賞的形式交給外部人員的想法，直到1983年才出現。那個時候，軟件公司Hunter

& Ready以一輛大眾甲殼蟲為獎品，獎給任何能找到他們操作系統中漏洞的人。

但是，直到十年后，這個理念才隨著Mozilla的Security Bug Bounty

Program進入主流視野。在Mozilla的安全工程主任Lucas

Adamski看來，外包滲透測試的邏輯很簡單?！叭魏我粋€安全系統的強度，在我看來，只是取決于有多少聰明、主動的人在這上面花了多少時間的一個函數結果而已?！彼硎?，“僅此而已，和究竟是誰寫了這個程序并沒有關系?！?/p>

漏洞獵人Justin

Gardner認為，漏洞懸賞也是一個成本效益問題：“我認為，對企業來說，ROI非常高?！庇袝r候，一個策劃完整的漏洞懸賞項目可能會發現一個災難級的漏洞。他提到在一次案例中，他和另一名黑客Sam

Curry一起，成功攻陷了一個有1億條記錄的星巴克客戶數據庫。他表示，如果那個脆弱點被惡意攻擊者發現，就可能對星巴克造成數百萬美元的損失。

Gardner自己的漏洞懸賞之路比較曲折，從他遇到知名黑客Tommy，或者又稱“dawgyg”，開始。像Toshin一樣，Gardner在轉成全職漏洞獵人前，花了數年在穩定的編程工作中。他很快發現從一個賺零花錢的副業轉成全職需要極大的專注力。

“有兩個主要階段?！盙ardner解釋道，“第一個階段需要獲取滲透測試的相關專業技術，可以通過教程或者文章學習。然后，需要一些必要的程序進行漏洞狩獵，第二個階段就是接受現實：要找到漏洞往往需要花費很長的時間。而作為一名黑客，你可能一直在失敗，因為其他人的工作就是阻止你做你想要做的事?！?/p>漏洞獵人的職業風險

這種高失敗的比例，以及懸賞項目質量層次不齊的情況，意味著大部分漏洞獵人還是兼職的，但是就算是這些黑客，在Clément

Domingo看來，也要當心一些問題。在他在法國和進行漏洞狩獵的時候，Domingo就知道一些漏洞獵人太投入了以至于“他們都忘記去見自己的朋友和家庭”。

有些人在這種熬夜工作的生活方式夾縫求生。對Gardner自己而言，他認為由于工作的自由性以及收入的可觀性，這些都是值得的。尤其對他而言，他通過漏洞懸賞付清了自己的學生貸款，并且和自己的妻子移居到了日本。但是，他也承認，要做到這些并不簡單。他也看到了許多漏洞獵人最終選擇了放棄，并且回到了正常的朝九晚五的生活中。還有一些人，他們的自我認可度嚴重降低，感覺自己一無是處。

對于漏洞獵人而言，工作和生活的平衡只是一部分。那些想要成為漏洞獵人的人還需要一些基礎的行為準則：最直接的一點，按時間要求向正式的懸賞項目匯報漏洞。任何其他的問題都可能會跨過道德紅線——比如，有些個人會直接聯系公司，宣稱他們發現了一個嚴重漏洞，并要求付錢。

Gardener表示，大部分這種被稱為“求討賞金(beg

bounties)”的例子可以被安全地無視。不僅因為未經授權的滲透測試是違法的，更因為很多時候這些人只是“試圖通過報告低危甚至沒有影響的漏洞來斂財”。

相對的，那些不期望賞金卻報告了真正嚴重漏洞的人應該得到公平的對待，而非當做犯罪份子。Gardner和Domingo都提到了密蘇里州的一個案例。該案例中，一個人因展示網站如何會顯示教師憑證過程中，無意間泄露了他們的社保號碼，而被威脅起訴。Gardner評價：“這種情況，讓人感到難過?！?/p>運營漏洞懸賞項目的風險

如果運營漏洞懸賞的公司執行能力不足，同樣也會面臨風險。嚴重漏洞的獎勵能夠高達上萬美元，但是對于大部分全職漏洞獵人的衣食所系卻是中低危漏洞，一般金額在幾百到過千不等。這種價位結構能夠成立的前提，是對漏洞的快速鑒別，以及內部IT部門的快速支付。Domingo表示，這種關系是基于雙向尊重的?！斑@些都是一個好的項目的關鍵?！彼f，“這樣就會刺激你去挖掘更多的漏洞，因為你知道那些人關注你在做的事情?！?/p>

那些運營得很差的項目——在Gardner和Domingo看來，是絕大部分項目，會給主辦的公司帶來額外的風險。延遲付款、低賞金、以及糟糕的溝通，都會讓黑客們將發現的漏洞賣給更高的出價者?！叭藗兏杏X被侮辱，然后就泄露內容?這是你總是得面對的事情?！盙ardner表示，“黑客這個群體，有些時候會有點情緒化?！?/p>

Gardner對概率運營一個新漏洞懸賞項目公司有一個很簡單的建議：“對那些試圖修復你系統的人，試著別當一個混蛋?！辈贿^，他也承認，這些事情說起來簡單做起來難：“IT部門往往會應接不暇?！彪m然說他也看到過許多黑客通過第三方傳遞漏洞的案例，但是總是“會有一些方式進行越級，向企業直接報告”。

并不是每個人都相信漏洞懸賞能夠有效保障代碼的安全性?！皩浖潭?，將消除他們軟件中漏洞的責任轉移給漏洞獵人相當便利。這些漏洞獵人相比專門維持安全的人員而言，人員成本更低?！北?古里安大學網絡安全研究部門的首席創新官Oleg

Brodt提到——某種程度來看，對那些購買這類軟件的公司是個相當危險的觀點。

Gardener對此觀點表示懷疑，因為大部分公司不會買那些只花幾千美元在漏洞懸賞上的軟件。同樣，他也不認為，某些黑客用自動化漏洞檢測工具這一趨勢會讓專業的漏洞狩獵職業走到盡頭?！坝胁簧俑叱某绦騿T和黑客在這項嘆為觀止的工作?！彼硎?，他引用了Eric

Head(更多以“todayisnew”為人所知)為例，“他每個月都在HackerOne的排名榜前列，已經持續了數年……他所做的一切都是基于外部攻擊面監測和自動化?！钡?，Gardner認為，相比使用的工具，漏洞狩獵的成功還是基于人類的創造力。

即使對于那些缺乏這些能力的漏洞獵人，Gardner認為新的機會處處可見，從社交巨頭的AI問題到加密貨幣的智能合約：“幾乎以太坊上所有的東西都是開源的。所以攻擊者很容易就能進去閱覽代碼，然后發現漏洞?！?/p>

但是，對于Toshi而言，最有吸引力的領域還是在移動應用。在他看來，這一領域相比網站，更容易進行反編譯。在2020年，Toshin用他在漏洞懸賞中獲得的資金成立了Oversecured，一個提供在iOS和安卓應用中進行自動化漏洞掃描服務的創業公司?！艾F在，我們有一些歐洲銀行和多個網絡安全咨詢公司作為客戶?！彼f道。

運營Oversecured的需要意味著Toshin現在已經很大程度上放棄漏洞懸賞，但這不代表他對這個職業有了新的奇怪思考。當Oversecured成立的時候，Toshin將每次掃描定價在10美元，因為他認為這樣能抓住批量化搜索漏洞的市場?！暗珱]有人用?！彼f道。Toshin之后將價格提升到了250美元，然后銷售量猛增。對此，他表示，很有可能人們并不相信掃描器的市場推廣材料;在漏洞懸賞的荒野，“他們更相信價格”。

而針對漏洞懸賞存在的風險，White Oak Security的安全人員Brett DeWall則對漏洞懸賞總結了三個問題與建議：

(1) 交流

當公司的滲透測試人員試著去發現漏洞的時候，缺乏溝通機制就會成為“浪費時間的流程”。如果組織沒有一個完善建立的漏洞懸賞項目，研究人員就會發現自己需要從LinkedIn到其他社交網絡去跨頻道發現電子郵件信箱和銷售頻道。

如果一個廠商在他們的網站上沒有正規的漏洞發布指南，開啟相關溝通就會變得更加困難。

“現在，公司依然不怎么愿意看到他們自己產品或者解決方案的安全新聞?！盌eWalls說到，“大部分的溝通最終都沒有了下文。這對一個試圖用最合適方式傳遞敏感信息的研究人員來說非常受挫。最大的感想可能就是一直嘗試?！?/p>

(2) 影響范圍

“范圍之內”與“不在范圍之內”的漏洞也是披露流程的常見問題。舉個例子，組織可能會考慮遠程代碼執行漏洞，但是不考慮任何其他嚴重性在其之下的漏洞——除非這些漏洞的利用率或者現實影響很大——比如導致服務器不安全、SSRF攻擊、不安全的直接對象引用(IDOR)漏洞等。

DeWall說White

Oak已經碰到了多個例子，當SSRF/IDOR漏洞不在范圍之內，因此漏洞的提交并未被采納。這可能是有許多原因，比如審查人員數量太少，無法驗證報告以及需要花大量時間處理漏洞。

DeWall評論道：“組織可能沒有足夠的預算支付賞金，或者雇傭足夠多的員工進行驗證工作。如果一個高風險的漏洞被發現了，但是又‘不在范圍之內’，那它是否還能被利用呢?我會強烈敦促那些有漏洞懸賞項目的組，接受對任何‘不在范圍之內’的漏洞提交(或者至少提供一個聯系表格)?！?/p>

(3) 認可

根據DeWall的觀點，漏洞披露“最大”的挫折之一在于無法從漏洞上報中獲得任何榮譽。

研究人員希望他們的工作被認可，也可能會想要將他們的發現列表作為自己的資歷之中;但是另一面來看，組織卻不想讓公眾知道他們自己產品的安全問題。

如果組織想要鼓勵研究人員繼續花時間改善他們的產品，最好能有一個“名人墻”——不需要將具體的技術或者漏洞問題呈現。這對研究人員而言也是一種比較公平的慰藉。

“漏洞懸賞或者安全研究現在已經存在了，而且短時間內都不會停下——也可能永遠都不會結束?！盌eWall表示，“然而，我們處理漏洞懸賞的方式是可以改變的，研究人員和組織必須一起合作?！?/p>點評

系統的安全性僅靠企業自身的安全人員去挖掘維護顯然是不現實的：對大部分企業而言，是無法承擔安全研究人員高昂的人員成本的。漏洞懸賞作為一種類似“安全外包”的方式，能給企業節省大量的成本，同時取得不錯的安全效益。但是，漏洞懸賞同樣處在法律的邊緣，稍不注意就可能引發違法的風險。無論對于白帽子，還是漏洞懸賞平臺，都需要盡力規避這些潛在的風險，同時提供優質的漏洞挖掘服務;同時，對于企業以及監管機構，如何平和地看待漏洞的挖掘與披露，也是這個領域能否健康成長的重要因素。

　　聲明：本文僅為傳遞更多網絡信息，不代表IT資訊網觀點和意見，僅供參考了解，更不能作為投資使用依據。