你來找我茬,我來付你錢!世上竟有如此好事?
還真有。
近期,谷歌新推出了一項漏洞賞金計劃。該計劃全稱為Open Source Software Vulnerability Rewards Program(以下簡稱為OSS VRP),顧名思義,是一個針對開源軟件發起的漏洞獎勵項目。
作為公認的開源貢獻大戶,谷歌是Bazel、Angular、Golang、Protocol buffers和Fuchsia等項目的主要維護者。這些項目應用廣泛,像Go語言被大量用于云計算、微服務、高并發領域,而Fuchsia OS則為智能家居設備提供支持。因此,在這些項目中發現的“敏感”漏洞也最有可能獲得高額賞金。
除此之外,由谷歌管理并托管在GitHub等公共存儲庫上的其他項目,以及這些項目中包含的第三方依賴項也涵蓋在OSS VRP中。
針對那些在其開源軟件或軟件構建模塊中發現安全漏洞的研究人員,谷歌愿意為其提供賞金。根據漏洞的嚴重程度以及漏洞所在的項目的重要性,賞金從100美元到31337美元(約21.8萬人民幣)不等。
那么,這類“漏洞賞金計劃”究竟是為何而設?這種“你找bug我付錢”的模式能起多大作用?成為一名漏洞獵手要考慮哪些因素?且看下文分解。
“漏洞賞金”背后是......
據悉,此次谷歌發布的漏洞賞金計劃,其實是為了應對日益普遍的開源供應鏈攻擊的現實。
谷歌員工Francis Perron和Krzysztof Kotowicz透露:“去年,針對開源供應鏈的攻擊同比增長了650%,包括Codecov和Log4j漏洞等在內,這些事件顯示了單個開源漏洞的破壞性潛力。”
以Log4j Java日志庫中的Log4Shell漏洞為例,去年12月爆發后造成了相當廣泛的破壞,到目前為止,雖然出現了很多防御方法,但這一漏洞的影響至今都在。由于對Log4Shell的利用基本集中在廣泛部署的應用程序上,可能有大量Java應用程序受到Log4Shell不同程度的影響。就軟件供應鏈現狀來說,這一事件無異于一記警鐘。
為了加強軟件供應鏈的安全性,谷歌在此次漏洞賞金計劃中希望白帽黑客們關注的是如下重點:
- 導致供應鏈受損的安全漏洞;
- 導致產品漏洞的設計問題;
- 其他安全問題,例如泄露的憑據、弱密碼或不安全的安裝等。
值得關注的是,隨著針對Maven、NPM、PyPI和RubyGems的供應鏈攻擊不斷升級,加強開源組件,尤其是作為許多軟件構建塊的第三方庫的安全性建設,已迫在眉睫。因此,第三方依賴項中的安全漏洞也在賞金計劃范圍內,不過相關獎勵也有前提——研究人員需將錯誤報告首先發送給第三方項目的真正負責人,查看問題是否能在上游得到解決,與此同時他們還需要證明該錯誤的確影響到了谷歌的項目。
當然,考慮到有意愿參與到這一賞金計劃的研究人員可能動機不一,谷歌為那些對獎金不感興趣的人也準備了另外的選項,即以其名義將獎金捐贈給慈善機構。
愿意掏錢的不止是巨頭們
于谷歌而言,其開展“漏洞獎金計劃”的歷史由來已久。
近年來,OSS VRP是繼針對Linux內核漏洞和Kubernetes逃逸漏洞獎勵計劃后制定的又一重要漏洞獎勵機制。此外,在獎勵計劃的多年擴展中,針對Chrome、Android和其他產品、項目的漏洞賞金也有其設置需求。據統計,僅就去年而言,谷歌為其各種獎勵計劃,面向近700百名研究人員支付了870萬美元。
而在2021-2022年度,微軟在漏洞賞金支付方面甚至超過了谷歌,達到了1370萬美元。
回顧歷史可以發現,漏洞賞金計劃自2000年后開始真正在互聯網世界嶄露頭角。此后很長一段時間,主導這些計劃的都是互聯網巨頭和大型開發項目。
2013年,谷歌為Linux等開源操作系統軟件的安全改進提供了漏洞賞金;微軟和Facebook聯合發起了“互聯網漏洞賞金計劃”,向發現威脅整個互聯網穩定性的安全漏洞的黑客支付巨額現金獎勵。此外,微軟、谷歌、Facebook等也相繼建立了全年開放的漏洞賞金機制。
隨著網絡安全形勢愈加嚴峻,威脅本身的復雜性漸次升級,諸如谷歌、微軟這樣的私人機構愿意為此支付更高的漏洞賞金,同時,越來越多的公共機構也開始關注到漏洞賞金機制對防范網絡安全風險的正面意義。
2016年4月16日,美國國防部與漏洞賞金平臺HackerOne合作,啟動了美國政府的第一個漏洞賞金計劃“Hack the Pentagon”,用于報告面向公眾的系統和應用程序中的漏洞。短短一個月間,美國國防部為138份漏洞報告支付了7萬多美金的賞金。這一舉動無疑為更多的行業企業考慮漏洞賞金計劃釋放出了積極的信號。
水漲船高的行情
設置漏洞賞金本來無可厚非。
我們日常工作中使用和接觸到的軟件和服務都是由人類編寫的,即使軟件本身沒有太大問題,但開發人員不可能預見到每一種可能性。在新的漏洞路徑被發現之前,我們能看到的都只是冰山一角。何況利益的誘惑永遠是巨大的,不知名的“互聯網刺客”總在暗處窺視著每一個可能的漏洞,并為此不斷升級著威脅“武器”。
因此需要漏洞賞金計劃,聚眾之力來防患于未然。當越來越多的企業和機構愿意為高危漏洞設置賞金時,賞金的行情也一路水漲船高。漏洞賞金平臺HackerOne的數據顯示,一個嚴重漏洞的中位價值從2020年的2500美元上漲到了3000美元,而嚴重錯誤的平均賞金增加了13%,高嚴重錯誤的平均賞金增加了30%。
今年2月,白帽黑客Jay Freeman發現了Optimism上的一個編碼漏洞。這個漏洞如果被利用,攻擊者可以無限復制以太幣,進而造成無法估量的損失。幸而漏洞被Freeman及時發現并通知了以太坊,漏洞被修復之后,這位白帽黑客獲得了200萬美元的獎勵。
這一獎勵高嗎?高。值嗎?不僅值,而且遠遠的物超所值。
貌似共贏模式下的陰影
表面看來,漏洞賞金計劃是典型的雙贏模式,但實際上,圍繞漏洞賞金計劃的爭議并不少見。
主要矛盾之一在于賞金設置無標準,浮動均由企業主導,研究人員的權益得不到保障。自2020年開始,就有研究人員指出,微軟正在大幅削減漏洞賞金的金額,最多的甚至縮水了90%。2021年11月,一位安全研究員就因微軟克扣自己應得的漏洞賞金,公開了一個影響廣泛的系統權限漏洞。
破解了WannaCry的傳奇黑客馬庫斯·哈欽斯曾公開表示對微軟漏洞賞金的不滿,并在其博文中提出了一個靈魂拷問:“你愿意以100萬美元的價格將你的漏洞賣給政府,還是以低于最低工資的價格將其交給微軟?”
這種“搖擺”的懸賞方式也導致在今年微軟提高對高影響漏洞的懸賞力度后,有用戶馬上質疑是不是微軟現在面對高危漏洞已經力不從心,才需要依靠用戶完成對Bug的檢查工作。由此看來,失衡的利益天平背后是合作雙方信任基石的岌岌可危。
另外一個容易引起擔憂的問題是監守自盜。今年7月,外媒披露了一則消息,HackerOne的一名員工竊取了通過漏洞賞金平臺提交的漏洞報告,并將其泄露給受影響的客戶以牟取利益。
經調查,該員工是為眾多客戶項目分類漏洞披露的工作人員之一,自4月4日至6月23日以來訪問了該平臺,并聯系到了7名受影響客戶,通過化名進行威脅和恐嚇,并成功收到了賞金。
雖然HackerOne很快解雇了這名員工,但這起事件也踩在了人們的隱憂上:如果你能掌握某個至關重要的bug,你更愿意提交bug修復漏洞來獲得公司“獎勵”呢,還是利用bug直接“通吃”?當利益足夠大時,人性或許并不那么經得起考驗。
你考慮成為漏洞獵手嗎
原則上,誰發現漏洞并不重要,重要的是公司掌握它并在問題爆發前解決問題。在實踐中,漏洞賞金通常由專業安全研究人員獲取。這些專家找出bug后,要么獲得報酬,要么為公司進行滲透測試。
而除了專業的安全研究人員之外,成為漏洞獵手的人通常各有各的專長,也各有各的動機。有人想多賺點錢,有人想建立名聲,還有些人或許只是興趣使然。如果你正在考慮或嘗試成為一名漏洞獵手,那么可以先了解以下幾點:
1、選擇靠譜的廠商或平臺。這是你一切的努力不打水漂的前提。
2、設定合適的目標。打個比方,如果你以賺取賞金為目的,那么根據漏洞的嚴重程度以及其所在項目的影響力,不同漏洞的獎勵數額會有很大差異。另外,大公司往往在安全方面有更多預算,小型企業或初創公司的出手可能就沒有那么寬裕,事先了解這一點更有利于設置合理的預期。
3、讓你提交的漏洞更容易被認同。仔細揣摩一下公司設置問題提交的模式和賞金支付的流程,通常來說,正確的、符合規則的格式更能讓你提交的漏洞報告清晰、明了、更易接受。
4、如果你是個新入門的玩家,那么不妨從免費項目開始鍛煉對于漏洞的“觸覺”,這會讓你更快摸索出經驗和自己擅長的領域。
5、世界上不乏獲得巨額賞金的案例,但那往往是百萬分之一。如果你想以漏洞賞金謀生,那么你更有可能從通過滲透測試出現的常見小漏洞中獲得穩定收入。
參考鏈接:
https://www.oschina.net/news/208582/googles-open-source-bug-bounty-program
https://www.theregister.com/2022/08/30/google_open_source_bug_bounty
https://www.theregister.com/2022/08/12/microsoft_bug_bounty
https://baijiahao.baidu.com/s?id=1732488474142803145
https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/
https://blog.csdn.net/weixin_26636643/article/details/108497096
