0
雷锋网按:本文原创作者clouds。
3月,当美国国防部宣布与HackerOne合作邀请黑客参与“Hack the Pentagon”的漏洞奖励计划之后,让HackerOne再次成为业界焦点。对于混迹于国内外各漏洞众测平台的菜鸟,以个人之见和能力所及对HackerOne写点介绍,谈点感受。
HackerOne是一个总部位于美国旧金山的漏洞众测公司,公司分部位于荷兰格罗宁根。多家世界知名技术公司都使用HackerOne平台,如Yahoo、Twitter、Adobe、Uber、facebook等。目前,HackerOne平台注册黑客共3000多人来自150多个国家,漏洞众测合作企业达500多家。HackerOne是最早接受并利用黑客开展商业模式的公司之一。
2011年,20多岁的荷兰黑客JobertAbma, Michiel Prins, 和Merijn Terheggen出于打赌,列出了他们计划入侵的100家高科技公司清单,不久,他们就发现Facebook, Google, Apple,Microsoft, Twitter等其它95家公司的网络系统中都存在不同程度的安全漏洞。他们将这一清单称作“Hack 100”。
当他们联系这些公司时,有1/3的公司并不关注这些问题。另1/3的公司对他们表示感谢,但并未修复漏洞。而其余公司则试图尽快解决漏洞。幸运的是,没人通知警察。
在处理Facebook漏洞时,他们与Facebook产品安全经理Alex Rice结识,共同组成公司合伙人,于2012年成立HackerOne。由Alex Rice担任公司CTO,Merijn Terheggen任CEO,Jobert Abma任技术领导,Michiel Prins为产品经理。2014年, 微软前首席安全策略师(CPO)Katie Moussouris 加盟成为其 CPO。2015年底,MySQL和Eucalyptus前CEO Marten Mickos 出任HackerOne 公司CEO。
2014年5月,HackerOne获得由Benchmark领投的900万美元A轮投资;2015年6月,HackerOne获得2500万美元B轮投资,由New Enterprise Associates领投,投资方有Nicolas Berggruen,Brandon Beck,David Sacks,Jeremy Stoppelman,Drew Houston,Marc Benioff,Benchmark等。
HackerOne以信息安全为重,通过在企业和黑客之间建立漏洞奖励平台,致力实现企业和黑客的利益双赢。HackerOne通过建立的漏洞众测平台,由众测企业向黑客支付发现漏洞的奖励,HackerOne则从企业奖励中抽取 20% 的费用。
另外,HackerOne还通过向企业提供付费服务模式,如漏洞订阅服务、漏洞披露指导、安全咨询等。目前,HackerOne已帮助500多家企业找出2万多个漏洞,向3200多名独立安全研究员发放了600多万美元的奖励,单个漏洞奖励最多达到3万美元。
For hackers:
与通常的众测平台一样,注册,加入项目,提交漏洞;
For companies:
对于众测企业,HackerOne提供了四种服务模式:Security@、 Professional、Enterprise、Fully Managed,HackerOne对这几种模式的漏洞披露、漏洞管理、安全性等方面提供不同的服务,以下是不同服务模式的对比:
Security Page页面包含公司情况、披露政策、希望邀请的黑客、漏洞规则等关键信息。
Fully Managed是HackerOne的付费服务,针对那些想要对漏洞情况进行进一步筛查和校验的企业。企业通过Fully Managed模式可选择与HackerOne推荐的世界级安全咨询合作机构签订不定期的信息安全服务。
Security@ 是HackerOne社区的安全项目快速查询目录,通过该查询目录可以快速找到在HackerOne平台上开展漏洞众测项目的企业,方便黑客提交漏洞。
HackerOne只为“漏洞协作披露”项目提供处理工具,网站实行漏洞库访问控制权限,HackerOne雇员无权查看任何厂商漏洞信息,HackerOne决不与其它第三方分享客户的漏洞数据,并提倡以PGP加密方式提交漏洞信息。在漏洞未解决之前,所有提交漏洞信息除企业和漏洞提交者之外都不可见。
(1)依靠提交的漏洞质量来定。厂商给出的漏洞价格可以参考几个方面:漏洞严重性、对最终用户或客户的影响范围、项目预算、项目阶段及保密性、厂商漏洞披露计划成熟度等。
(2)为了吸引和激励黑客,HackerOne规定每个漏洞奖励金额下限不低于100美元,针对大多数的一般漏洞,奖励金额范围为$100-$1,000,当然,HackerOne也提倡超出范围重奖某些严重漏洞。考虑到不同漏洞对不同厂商的影响不一,如Clickjacking类型漏洞对某些企业来说很严重,但对其它企业来说只属于informative类漏洞,因此,除规定100美金的下限外,HackerOne未针对不同漏洞类别设置最低奖励限制。奖励金额根据漏洞对厂商影响程度而定。
(3)针对几类特别重要漏洞,为了提高奖励透明度和黑客期望值,HackerOne根据漏洞成熟度模型给出了一个以供企业参考的最低奖励结构,当然企业有权根据漏洞影响程度来上调最低奖励基准。如最近Uber的一个XSS漏洞奖励就达7000美金。
(1)所有和HackerOne服务器平台交流的信息都是加密的。安全团队可以使用HackerOne的IP白名单策略进行权限访问控制。
(2)HackerOne采用军用级加密技术、双因子认证、单点登录、ISO/IEC 27001信息安全管理体系认证;
(3)HackerOne提倡企业遵守ISO/IEC 29147-2014 《信息技术-安全技术-漏洞披露标准》,同时通过自动化平台帮助指导企业进行漏洞披露。ISO/IEC29147-2014标准的目的:为企业提供如何接收漏洞、发布漏洞解决方案的指导方针,为企业提供漏洞披露过程的相关信息和示例。
HackerOne的Dashboard功能是为了显示企业提交漏洞和奖励金额的准确信息,Dashboard还可以帮助企业确定和跟踪软件开发生命周期中的改进领域。通过Dashboard,企业可以查看每天、每周和每月的漏洞趋势和发展情况,数据产生的报告可下载为CSV格式保存。另外,如果企业需要更先进和及时的报告要求,可以通过HackerOne的API把Dashboard数据整合到第三方报告工具中。
Dashboard的数据指标包括:解决的漏洞数、奖励金额总和、黑客致谢、奖励的报告数、奖金平均数、支付与漏洞解决占比、漏洞响应时间、漏洞解决时间、报告状态图、漏洞响应与解决时间状态图、奖金支付走势图、黑客获取金额排行图、黑客奖励次数排行图。
HackerOne根据长期的漏洞提交模式分析,发布了针对漏洞协作披露的漏洞协调成熟度模型(Vulnerability Coordination Maturity Model,VCMM)。HackerOne认为,影响漏洞协作披露的因素主要包括5个方面的能力领域:组织、工程、交流、分析与激励,每个领域又包含基本、高级和专家3个成熟度等级,VCMM模型目的在于帮助企业评估漏洞协调机制,直观地识别出需要改进的领域,指导企业进行内外部组织能力提升,更好地消除安全漏洞隐患。
HackerOne的VCMM针对社会面的公开测试模型为:VCMM-survey,当然除此之外,HackerOne还针对在其平台合作的众测企业提供漏洞信息量化模型指标。以下是VCMM5个能力领域的等级介绍:
根据5方面的能力领域分值,VCMM可以确定企业在漏洞协调管理方面存在的问题和急需改进的领域,如以下为Adobe公司某个时期的VCMM模型图。
HackerOne声明的漏洞披露原则如下:所有的技术都包含漏洞,如果你发现了一个安全漏洞,我们希望帮助到你。通过HackerOne平台项目提交漏洞或注册成为众测企业,我们希望你阅读并同意以下准则。
(1)披露哲学
我们相信漏洞发现者和众测企业之间的相互尊重和透明度是有效漏洞披露流程的前提。
漏洞提交者须:尊重规则、尊重隐私、保持耐心、友好;
众测企业须:安全为重、尊重漏洞提交者、奖励漏洞提交者、友好。
(2)漏洞披露流程:
提交漏洞的报告内容将会立即提供给众测企业的安全团队,在非公开状态下,让企业有足够的时间验证漏洞并发布修补公告。在漏洞提交报告关闭后才能进行公开披露。
一般情况:如果双方都不提出异议,漏洞提交报告的内容将在30天内公开。
双方协议:我们鼓励漏洞提交者和企业就披露期限有良好的沟通协商,如果双方无异议,披露时间可按协商时间而定。
保护性披露:如果企业发现所提交的漏洞正在被积极开发利用并对公众造成伤害,企业可以会立即向社会发布漏洞修补公告,以便用户可以采取保护措施。
延伸:由于复杂性等因素的影响,一些漏洞将需要比30天更长的时间来进行修补。在这种情况下,漏洞报告还将继续保密,以确保企业安全团队有足够的时间来解决问题,同时,我们鼓励企业安全团队与漏洞提交者保持沟通。
最后的手段:如果180天之内,众测企业安全团队无法或不愿提供一个确切的漏洞披露时间表,该漏洞的提交者有权公开漏洞内容。我们认为,在这种极端情况下,保持对公众透明是最好的方式。
2015年8月,宾夕法尼亚州立大学曾对几个著名的漏洞众测平台进行过研究分析,研究涉及众测平台提交的漏洞数、注册白帽人员、合作客户、漏洞奖金等,国内平台也包括在内,以下是HackerOne的各种指标对比图:
从以上指标可以看出,HackerOne平台的白帽数量在公司创立之初时呈缓慢增长态势,另外,只有极少数机构获得的漏洞报告数较多,如twitter、facebook等财大气粗而霸气的明星企业;但是,从白帽与漏洞线性图可以看出,HackerOne平台的精英黑客较多,部分黑客长期活跃于平台,并且提交的漏洞质量较高。研究结果表明,国内众测平台的白帽数量相对较多,也比较活跃,但与国外众测平台相比,漏洞奖金差距较大,还有待提高。
安全保密:HackerOne只提供漏洞报告、处理、咨询平台,HackerOne在无授权情况下无法访问查看众测企业漏洞信息,提交漏洞内容只有在完全解决之后才会公开。最重要的一点,HackerOne平台采用加密方式进行信息交互传输,最大程度保护白帽子信息;
漏洞奖励:从最低奖励金额100刀就能初略反映出老美对安全的重视程度,另外,HackerOne对几类重要漏洞给出的参考性奖励结构对白帽子们来说也是相当具有吸引力的,如XXS(critical)和CSRF(critical)类漏洞能达到2500 刀,所有XSS类型漏洞为1000刀,虽然只是参考,但如果企业的最低奖励金额达不到这种标准,那么,企业信任度和众测吸引力将会受影响,当然白帽积极性也不会太高。如最近Uber的一个XSS漏洞奖励就达7000美金,另据HackerOne平台声称有些高级黑客每年能赚20多万美元,单个漏洞奖励曾达3万美元。
专业合规性:参与众测的厂商大部分是知名和业界创新企业,这些企业具备的市场占有率要求企业对安全必须要有足够高的重视,当然除了认同HackerOne的披露政策外,这些企业在HackerOne上的众测项目还有自己的规则,比如,漏洞有效性、漏洞报告模板、漏洞测试规则等。作为白帽子们,HackerOne会定期对所提交漏洞的有效性进行评定,结合积分致谢等情况,作为白帽子的等级声誉,也作为某些邀请项目对白帽子的考核指标。
法律界定性:这可能都是国内外众测平台面临的一个问题吧。首先,加入HackerOne众测项目的企业得遵守 HackerOne的披露规则,做到HackerOne 、企业和白帽子三方共同认可众测项目,最大程度地保护白帽子;另外,HackerOne 认为互联网世界就是未来信息战的前沿阵地,而黑客们就是士兵和武器制造者,如何赢得或征募黑客参与防卫,当前可能需要对现行的法律进行修改,以消除“安全防护”和“犯罪”之间的模糊界限,鼓励安全研究。HackerOne认为白帽子们利用稀缺珍贵的技术发现漏洞保护信息安全,这本身就是一个有利企业和公众的事情,如果白帽安全者能发现漏洞,其它坏人也可以发现,然而美国现行的计算机法律还未对白帽安全研究者给予明确保护。
2015年5月,美国信息安全界提交了针对安全研究的豁免条款修订意见之后, 美国版权局修订了《数字千年版权法案》,加入了针对软件安全研究的免责说明。这对漏洞众测的未来,可能是一种进步。HackerOne 希望安全研究能受到法律的合法保护,并呼吁现行和未来的法律体系能为安全研究者创建一个良好的研究氛围。
用户体验:总体来讲,HackerOne的用户体验度还是蛮好的,从注册、提交漏洞、信息接收和项目邀请等方面来讲,都能站在白帽和企业的角度来提供服务和考虑问题;另外白帽和企业之间的交流、奖励机制、漏洞调解都比较及时、透明和公开。其次,从HackerOne网站架构情况也可以体现出HackerOne具备的良好用户体验功能。
以上就是对HackerOne的一些浅略介绍和分析,相比较而言,国内众测平台的发展也是相当不错的。就国内众测厂商来说,笔者对漏洞盒子比较熟悉,从其企业客户对众测服务的效果反馈和近年来迅速提升的接受度上来说,众测平台的存在价值毋庸置疑。
就像HackerOne CEO Marten Mickos说的,漏洞众测平台的未来是生机蓬勃的,当然,众测的良好生态发展需要社会整体信息安全重视度、企业责任心、白帽技能、政策法规等因素的共同改善和提升。作为白帽子的我们在努力提高技能的同时,也不要忘记加入国内优秀众测平台为信息安全奉献自己的微薄之力。
雷锋网注:作者clouds,本文属FreeBuf原创奖励计划,投稿雷锋网发布,转载情联系授权,并保留出处和作者,不得删减内容。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。