*本文原創(chuàng)作者:clouds,本文屬FreeBuf原創(chuàng)獎(jiǎng)勵(lì)計(jì)劃,未經(jīng)許可禁止轉(zhuǎn)載
3月,當(dāng)美國(guó)國(guó)防部宣布與HackerOne合作邀請(qǐng)黑客參與“Hack the Pentagon”的漏洞獎(jiǎng)勵(lì)計(jì)劃之后,讓HackerOne再次成為業(yè)界焦點(diǎn)。對(duì)于混跡于國(guó)內(nèi)外各漏洞眾測(cè)平臺(tái)的菜鳥(niǎo),以個(gè)人之見(jiàn)和能力所及對(duì)HackerOne寫(xiě)點(diǎn)介紹,談點(diǎn)感受。
1 公司介紹
HackerOne是一個(gè)總部位于美國(guó)舊金山的漏洞眾測(cè)公司,公司分部位于荷蘭格羅寧根。多家世界知名技術(shù)公司都使用HackerOne平臺(tái),如Yahoo、Twitter、Adobe、Uber、facebook等。目前,HackerOne平臺(tái)注冊(cè)黑客共3000多人來(lái)自150多個(gè)國(guó)家,漏洞眾測(cè)合作企業(yè)達(dá)500多家。HackerOne是最早接受并利用黑客開(kāi)展商業(yè)模式的公司之一。
2 創(chuàng)業(yè)歷史
2011年,20多歲的荷蘭黑客JobertAbma, Michiel Prins, 和Merijn Terheggen出于打賭,列出了他們計(jì)劃入侵的100家高科技公司清單,不久,他們就發(fā)現(xiàn)Facebook, Google, Apple,Microsoft, Twitter等其它95家公司的網(wǎng)絡(luò)系統(tǒng)中都存在不同程度的安全漏洞。他們將這一清單稱作“Hack 100”。
當(dāng)他們聯(lián)系這些公司時(shí),有1/3的公司并不關(guān)注這些問(wèn)題。另1/3的公司對(duì)他們表示感謝,但并未修復(fù)漏洞。而其余公司則試圖盡快解決漏洞。幸運(yùn)的是,沒(méi)人通知警察。
在處理Facebook漏洞時(shí),他們與Facebook產(chǎn)品安全經(jīng)理Alex Rice結(jié)識(shí),共同組成公司合伙人,于2012年成立HackerOne。由Alex Rice擔(dān)任公司CTO,Merijn Terheggen任CEO,Jobert Abma任技術(shù)領(lǐng)導(dǎo),Michiel Prins為產(chǎn)品經(jīng)理。2014年, 微軟前首席安全策略師(CPO)Katie Moussouris 加盟成為其 CPO。2015年底,MySQL和Eucalyptus前CEO Marten Mickos 出任HackerOne 公司CEO。
3 投資情況
2014年5月,HackerOne獲得由Benchmark領(lǐng)投的900萬(wàn)美元A輪投資;2015年6月,HackerOne獲得2500萬(wàn)美元B輪投資,由New Enterprise Associates領(lǐng)投,投資方有Nicolas Berggruen,Brandon Beck,David Sacks,Jeremy Stoppelman,Drew Houston,Marc Benioff,Benchmark等。
4 盈利模式
HackerOne以信息安全為重,通過(guò)在企業(yè)和黑客之間建立漏洞獎(jiǎng)勵(lì)平臺(tái),致力實(shí)現(xiàn)企業(yè)和黑客的利益雙贏。HackerOne通過(guò)建立的漏洞眾測(cè)平臺(tái),由眾測(cè)企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎(jiǎng)勵(lì),HackerOne則從企業(yè)獎(jiǎng)勵(lì)中抽取 20% 的費(fèi)用。
另外,HackerOne還通過(guò)向企業(yè)提供付費(fèi)服務(wù)模式,如漏洞訂閱服務(wù)、漏洞披露指導(dǎo)、安全咨詢等。目前,HackerOne已幫助500多家企業(yè)找出2萬(wàn)多個(gè)漏洞,向3200多名獨(dú)立安全研究員發(fā)放了600多萬(wàn)美元的獎(jiǎng)勵(lì),單個(gè)漏洞獎(jiǎng)勵(lì)最多達(dá)到3萬(wàn)美元。
5 服務(wù)方式
For hackers:
與通常的眾測(cè)平臺(tái)一樣,注冊(cè),加入項(xiàng)目,提交漏洞;
For companies:
對(duì)于眾測(cè)企業(yè),HackerOne提供了四種服務(wù)模式:Security@、 Professional、Enterprise、Fully Managed,HackerOne對(duì)這幾種模式的漏洞披露、漏洞管理、安全性等方面提供不同的服務(wù),以下是不同服務(wù)模式的對(duì)比:
Security Page頁(yè)面包含公司情況、披露政策、希望邀請(qǐng)的黑客、漏洞規(guī)則等關(guān)鍵信息。
Fully Managed是HackerOne的付費(fèi)服務(wù),針對(duì)那些想要對(duì)漏洞情況進(jìn)行進(jìn)一步篩查和校驗(yàn)的企業(yè)。企業(yè)通過(guò)Fully Managed模式可選擇與HackerOne推薦的世界級(jí)安全咨詢合作機(jī)構(gòu)簽訂不定期的信息安全服務(wù)。
Security@ 是HackerOne社區(qū)的安全項(xiàng)目快速查詢目錄,通過(guò)該查詢目錄可以快速找到在HackerOne平臺(tái)上開(kāi)展漏洞眾測(cè)項(xiàng)目的企業(yè),方便黑客提交漏洞。
6 漏洞保密原則
HackerOne只為“漏洞協(xié)作披露”項(xiàng)目提供處理工具,網(wǎng)站實(shí)行漏洞庫(kù)訪問(wèn)控制權(quán)限,HackerOne雇員無(wú)權(quán)查看任何廠商漏洞信息,HackerOne決不與其它第三方分享客戶的漏洞數(shù)據(jù),并提倡以PGP加密方式提交漏洞信息。在漏洞未解決之前,所有提交漏洞信息除企業(yè)和漏洞提交者之外都不可見(jiàn)。
7 漏洞獎(jiǎng)勵(lì)價(jià)格
(1)依靠提交的漏洞質(zhì)量來(lái)定。廠商給出的漏洞價(jià)格可以參考幾個(gè)方面:漏洞嚴(yán)重性、對(duì)最終用戶或客戶的影響范圍、項(xiàng)目預(yù)算、項(xiàng)目階段及保密性、廠商漏洞披露計(jì)劃成熟度等。
(2)為了吸引和激勵(lì)黑客,HackerOne規(guī)定每個(gè)漏洞獎(jiǎng)勵(lì)金額下限不低于100美元,針對(duì)大多數(shù)的一般漏洞,獎(jiǎng)勵(lì)金額范圍為$100-$1,000,當(dāng)然,HackerOne也提倡超出范圍重獎(jiǎng)某些嚴(yán)重漏洞??紤]到不同漏洞對(duì)不同廠商的影響不一,如Clickjacking類型漏洞對(duì)某些企業(yè)來(lái)說(shuō)很嚴(yán)重,但對(duì)其它企業(yè)來(lái)說(shuō)只屬于informative類漏洞,因此,除規(guī)定100美金的下限外,HackerOne未針對(duì)不同漏洞類別設(shè)置最低獎(jiǎng)勵(lì)限制。獎(jiǎng)勵(lì)金額根據(jù)漏洞對(duì)廠商影響程度而定。
(3)針對(duì)幾類特別重要漏洞,為了提高獎(jiǎng)勵(lì)透明度和黑客期望值,HackerOne根據(jù)漏洞成熟度模型給出了一個(gè)以供企業(yè)參考的最低獎(jiǎng)勵(lì)結(jié)構(gòu),當(dāng)然企業(yè)有權(quán)根據(jù)漏洞影響程度來(lái)上調(diào)最低獎(jiǎng)勵(lì)基準(zhǔn)。如最近Uber的一個(gè)XSS漏洞獎(jiǎng)勵(lì)就達(dá)7000美金。
8 安全性
(1)所有和HackerOne服務(wù)器平臺(tái)交流的信息都是加密的。安全團(tuán)隊(duì)可以使用HackerOne的IP白名單策略進(jìn)行權(quán)限訪問(wèn)控制。
(2)HackerOne采用軍用級(jí)加密技術(shù)、雙因子認(rèn)證、單點(diǎn)登錄、ISO/IEC 27001信息安全管理體系認(rèn)證;
(3)HackerOne提倡企業(yè)遵守ISO/IEC 29147-2014 《信息技術(shù)-安全技術(shù)-漏洞披露標(biāo)準(zhǔn)》,同時(shí)通過(guò)自動(dòng)化平臺(tái)幫助指導(dǎo)企業(yè)進(jìn)行漏洞披露。ISO/IEC29147-2014標(biāo)準(zhǔn)的目的:為企業(yè)提供如何接收漏洞、發(fā)布漏洞解決方案的指導(dǎo)方針,為企業(yè)提供漏洞披露過(guò)程的相關(guān)信息和示例。
9 特色點(diǎn)之DASHBOARD
HackerOne的Dashboard功能是為了顯示企業(yè)提交漏洞和獎(jiǎng)勵(lì)金額的準(zhǔn)確信息,Dashboard還可以幫助企業(yè)確定和跟蹤軟件開(kāi)發(fā)生命周期中的改進(jìn)領(lǐng)域。通過(guò)Dashboard,企業(yè)可以查看每天、每周和每月的漏洞趨勢(shì)和發(fā)展情況,數(shù)據(jù)產(chǎn)生的報(bào)告可下載為CSV格式保存。另外,如果企業(yè)需要更先進(jìn)和及時(shí)的報(bào)告要求,可以通過(guò)HackerOne的API把Dashboard數(shù)據(jù)整合到第三方報(bào)告工具中。
Dashboard的數(shù)據(jù)指標(biāo)包括:解決的漏洞數(shù)、獎(jiǎng)勵(lì)金額總和、黑客致謝、獎(jiǎng)勵(lì)的報(bào)告數(shù)、獎(jiǎng)金平均數(shù)、支付與漏洞解決占比、漏洞響應(yīng)時(shí)間、漏洞解決時(shí)間、報(bào)告狀態(tài)圖、漏洞響應(yīng)與解決時(shí)間狀態(tài)圖、獎(jiǎng)金支付走勢(shì)圖、黑客獲取金額排行圖、黑客獎(jiǎng)勵(lì)次數(shù)排行圖。
10 特色點(diǎn)之漏洞協(xié)調(diào)成熟度模型
HackerOne根據(jù)長(zhǎng)期的漏洞提交模式分析,發(fā)布了針對(duì)漏洞協(xié)作披露的漏洞協(xié)調(diào)成熟度模型(Vulnerability Coordination Maturity Model,VCMM)。HackerOne認(rèn)為,影響漏洞協(xié)作披露的因素主要包括5個(gè)方面的能力領(lǐng)域:組織、工程、交流、分析與激勵(lì),每個(gè)領(lǐng)域又包含基本、高級(jí)和專家3個(gè)成熟度等級(jí),VCMM模型目的在于幫助企業(yè)評(píng)估漏洞協(xié)調(diào)機(jī)制,直觀地識(shí)別出需要改進(jìn)的領(lǐng)域,指導(dǎo)企業(yè)進(jìn)行內(nèi)外部組織能力提升,更好地消除安全漏洞隱患。
HackerOne的VCMM針對(duì)社會(huì)面的公開(kāi)測(cè)試模型為:VCMM-survey,當(dāng)然除此之外,HackerOne還針對(duì)在其平臺(tái)合作的眾測(cè)企業(yè)提供漏洞信息量化模型指標(biāo)。以下是VCMM5個(gè)能力領(lǐng)域的等級(jí)介紹:
根據(jù)5方面的能力領(lǐng)域分值,VCMM可以確定企業(yè)在漏洞協(xié)調(diào)管理方面存在的問(wèn)題和急需改進(jìn)的領(lǐng)域,如以下為Adobe公司某個(gè)時(shí)期的VCMM模型圖。
11 HackerOne漏洞披露原則
HackerOne聲明的漏洞披露原則如下:所有的技術(shù)都包含漏洞,如果你發(fā)現(xiàn)了一個(gè)安全漏洞,我們希望幫助到你。通過(guò)HackerOne平臺(tái)項(xiàng)目提交漏洞或注冊(cè)成為眾測(cè)企業(yè),我們希望你閱讀并同意以下準(zhǔn)則。
(1)披露哲學(xué)
我們相信漏洞發(fā)現(xiàn)者和眾測(cè)企業(yè)之間的相互尊重和透明度是有效漏洞披露流程的前提。
漏洞提交者須:尊重規(guī)則、尊重隱私、保持耐心、友好;
眾測(cè)企業(yè)須:安全為重、尊重漏洞提交者、獎(jiǎng)勵(lì)漏洞提交者、友好。
(2)漏洞披露流程:
提交漏洞的報(bào)告內(nèi)容將會(huì)立即提供給眾測(cè)企業(yè)的安全團(tuán)隊(duì),在非公開(kāi)狀態(tài)下,讓企業(yè)有足夠的時(shí)間驗(yàn)證漏洞并發(fā)布修補(bǔ)公告。在漏洞提交報(bào)告關(guān)閉后才能進(jìn)行公開(kāi)披露。
一般情況:如果雙方都不提出異議,漏洞提交報(bào)告的內(nèi)容將在30天內(nèi)公開(kāi)。
雙方協(xié)議:我們鼓勵(lì)漏洞提交者和企業(yè)就披露期限有良好的溝通協(xié)商,如果雙方無(wú)異議,披露時(shí)間可按協(xié)商時(shí)間而定。
保護(hù)性披露:如果企業(yè)發(fā)現(xiàn)所提交的漏洞正在被積極開(kāi)發(fā)利用并對(duì)公眾造成傷害,企業(yè)可以會(huì)立即向社會(huì)發(fā)布漏洞修補(bǔ)公告,以便用戶可以采取保護(hù)措施。
延伸:由于復(fù)雜性等因素的影響,一些漏洞將需要比30天更長(zhǎng)的時(shí)間來(lái)進(jìn)行修補(bǔ)。在這種情況下,漏洞報(bào)告還將繼續(xù)保密,以確保企業(yè)安全團(tuán)隊(duì)有足夠的時(shí)間來(lái)解決問(wèn)題,同時(shí),我們鼓勵(lì)企業(yè)安全團(tuán)隊(duì)與漏洞提交者保持溝通。
最后的手段:如果180天之內(nèi),眾測(cè)企業(yè)安全團(tuán)隊(duì)無(wú)法或不愿提供一個(gè)確切的漏洞披露時(shí)間表,該漏洞的提交者有權(quán)公開(kāi)漏洞內(nèi)容。我們認(rèn)為,在這種極端情況下,保持對(duì)公眾透明是最好的方式。
12 HackerOne與其它眾測(cè)平臺(tái)的橫向比較
2015年8月,賓夕法尼亞州立大學(xué)曾對(duì)幾個(gè)著名的漏洞眾測(cè)平臺(tái)進(jìn)行過(guò)研究分析,研究涉及眾測(cè)平臺(tái)提交的漏洞數(shù)、注冊(cè)白帽人員、合作客戶、漏洞獎(jiǎng)金等,國(guó)內(nèi)平臺(tái)也包括在內(nèi),以下是HackerOne的各種指標(biāo)對(duì)比圖:
從以上指標(biāo)可以看出,HackerOne平臺(tái)的白帽數(shù)量在公司創(chuàng)立之初時(shí)呈緩慢增長(zhǎng)態(tài)勢(shì),另外,只有極少數(shù)機(jī)構(gòu)獲得的漏洞報(bào)告數(shù)較多,如twitter、facebook等財(cái)大氣粗而霸氣的明星企業(yè);但是,從白帽與漏洞線性圖可以看出,HackerOne平臺(tái)的精英黑客較多,部分黑客長(zhǎng)期活躍于平臺(tái),并且提交的漏洞質(zhì)量較高。研究結(jié)果表明,國(guó)內(nèi)眾測(cè)平臺(tái)的白帽數(shù)量相對(duì)較多,也比較活躍,但與國(guó)外眾測(cè)平臺(tái)相比,漏洞獎(jiǎng)金差距較大,還有待提高。
13 個(gè)人觀點(diǎn)
安全保密:HackerOne只提供漏洞報(bào)告、處理、咨詢平臺(tái),HackerOne在無(wú)授權(quán)情況下無(wú)法訪問(wèn)查看眾測(cè)企業(yè)漏洞信息,提交漏洞內(nèi)容只有在完全解決之后才會(huì)公開(kāi)。最重要的一點(diǎn),HackerOne平臺(tái)采用加密方式進(jìn)行信息交互傳輸,最大程度保護(hù)白帽子信息;
漏洞獎(jiǎng)勵(lì):從最低獎(jiǎng)勵(lì)金額100刀就能初略反映出老美對(duì)安全的重視程度,另外,HackerOne對(duì)幾類重要漏洞給出的參考性獎(jiǎng)勵(lì)結(jié)構(gòu)對(duì)白帽子們來(lái)說(shuō)也是相當(dāng)具有吸引力的,如XXS(critical)和CSRF(critical)類漏洞能達(dá)到2500 刀,所有XSS類型漏洞為1000刀,雖然只是參考,但如果企業(yè)的最低獎(jiǎng)勵(lì)金額達(dá)不到這種標(biāo)準(zhǔn),那么,企業(yè)信任度和眾測(cè)吸引力將會(huì)受影響,當(dāng)然白帽積極性也不會(huì)太高。如最近Uber的一個(gè)XSS漏洞獎(jiǎng)勵(lì)就達(dá)7000美金,另?yè)?jù)HackerOne平臺(tái)聲稱有些高級(jí)黑客每年能賺20多萬(wàn)美元,單個(gè)漏洞獎(jiǎng)勵(lì)曾達(dá)3萬(wàn)美元。
專業(yè)合規(guī)性:參與眾測(cè)的廠商大部分是知名和業(yè)界創(chuàng)新企業(yè),這些企業(yè)具備的市場(chǎng)占有率要求企業(yè)對(duì)安全必須要有足夠高的重視,當(dāng)然除了認(rèn)同HackerOne的披露政策外,這些企業(yè)在HackerOne上的眾測(cè)項(xiàng)目還有自己的規(guī)則,比如,漏洞有效性、漏洞報(bào)告模板、漏洞測(cè)試規(guī)則等。作為白帽子們,HackerOne會(huì)定期對(duì)所提交漏洞的有效性進(jìn)行評(píng)定,結(jié)合積分致謝等情況,作為白帽子的等級(jí)聲譽(yù),也作為某些邀請(qǐng)項(xiàng)目對(duì)白帽子的考核指標(biāo)。
法律界定性:這可能都是國(guó)內(nèi)外眾測(cè)平臺(tái)面臨的一個(gè)問(wèn)題吧。首先,加入HackerOne眾測(cè)項(xiàng)目的企業(yè)得遵守 HackerOne的披露規(guī)則,做到HackerOne 、企業(yè)和白帽子三方共同認(rèn)可眾測(cè)項(xiàng)目,最大程度地保護(hù)白帽子;另外,HackerOne 認(rèn)為互聯(lián)網(wǎng)世界就是未來(lái)信息戰(zhàn)的前沿陣地,而黑客們就是士兵和武器制造者,如何贏得或征募黑客參與防衛(wèi),當(dāng)前可能需要對(duì)現(xiàn)行的法律進(jìn)行修改,以消除“安全防護(hù)”和“犯罪”之間的模糊界限,鼓勵(lì)安全研究。HackerOne認(rèn)為白帽子們利用稀缺珍貴的技術(shù)發(fā)現(xiàn)漏洞保護(hù)信息安全,這本身就是一個(gè)有利企業(yè)和公眾的事情,如果白帽安全者能發(fā)現(xiàn)漏洞,其它壞人也可以發(fā)現(xiàn),然而美國(guó)現(xiàn)行的計(jì)算機(jī)法律還未對(duì)白帽安全研究者給予明確保護(hù)。
2015年5月,美國(guó)信息安全界提交了針對(duì)安全研究的豁免條款修訂意見(jiàn)之后, 美國(guó)版權(quán)局修訂了《數(shù)字千年版權(quán)法案》,加入了針對(duì)軟件安全研究的免責(zé)說(shuō)明。這對(duì)漏洞眾測(cè)的未來(lái),可能是一種進(jìn)步。HackerOne 希望安全研究能受到法律的合法保護(hù),并呼吁現(xiàn)行和未來(lái)的法律體系能為安全研究者創(chuàng)建一個(gè)良好的研究氛圍。
用戶體驗(yàn):總體來(lái)講,HackerOne的用戶體驗(yàn)度還是蠻好的,從注冊(cè)、提交漏洞、信息接收和項(xiàng)目邀請(qǐng)等方面來(lái)講,都能站在白帽和企業(yè)的角度來(lái)提供服務(wù)和考慮問(wèn)題;另外白帽和企業(yè)之間的交流、獎(jiǎng)勵(lì)機(jī)制、漏洞調(diào)解都比較及時(shí)、透明和公開(kāi)。其次,從HackerOne網(wǎng)站架構(gòu)情況也可以體現(xiàn)出HackerOne具備的良好用戶體驗(yàn)功能。
以上就是對(duì)HackerOne的一些淺略介紹和分析,相比較而言,國(guó)內(nèi)眾測(cè)平臺(tái)的發(fā)展也是相當(dāng)不錯(cuò)的。就國(guó)內(nèi)眾測(cè)廠商來(lái)說(shuō),筆者對(duì)漏洞盒子比較熟悉,從其企業(yè)客戶對(duì)眾測(cè)服務(wù)的效果反饋和近年來(lái)迅速提升的接受度上來(lái)說(shuō),眾測(cè)平臺(tái)的存在價(jià)值毋庸置疑。
就像HackerOne CEO Marten Mickos說(shuō)的,漏洞眾測(cè)平臺(tái)的未來(lái)是生機(jī)蓬勃的,當(dāng)然,眾測(cè)的良好生態(tài)發(fā)展需要社會(huì)整體信息安全重視度、企業(yè)責(zé)任心、白帽技能、政策法規(guī)等因素的共同改善和提升。作為白帽子的我們?cè)谂μ岣呒寄艿耐瑫r(shí),也不要忘記加入國(guó)內(nèi)優(yōu)秀眾測(cè)平臺(tái)為信息安全奉獻(xiàn)自己的微薄之力。
*本文原創(chuàng)作者:clouds,本文屬FreeBuf原創(chuàng)獎(jiǎng)勵(lì)計(jì)劃,未經(jīng)許可禁止轉(zhuǎn)載