黑客的力量常常令人望而生畏,企業(yè)是應(yīng)避而遠(yuǎn)之,還是應(yīng)加以利用?看專家如何看待黑客的力量。
“你想要找出目前市場(chǎng)上安全系數(shù)最高的軟件嗎?那么我可以告訴你,哪家公司給黑客提供的“漏洞獎(jiǎng)金”最高,那么這家公司的產(chǎn)品肯定是最安全的。”
這句話是HackerOne的創(chuàng)始人兼首席技術(shù)官AlexRice在2016年的WIRED Security大會(huì)上說(shuō)的,因?yàn)镽ice認(rèn)為企業(yè)應(yīng)該積極地與黑客合作,所以他打算通過(guò)這次演講改變此前人們對(duì)黑客所持有的消極態(tài)度。除此之外,Rice還鼓勵(lì)公司雇傭黑客為他們效力。
“我們應(yīng)該學(xué)會(huì)利用黑客的優(yōu)勢(shì)和長(zhǎng)處,而不是一味地否定他們。”
像Android、iOS和Chrome之類的項(xiàng)目都會(huì)給報(bào)告漏洞的白帽子提供高額的漏洞獎(jiǎng)金,以鼓勵(lì)黑客找出這些系統(tǒng)中存在的安全漏洞。Rice表示:“如果你真的重視網(wǎng)絡(luò)安全,那么你應(yīng)該馬上買一臺(tái)Chromebook,但很少有人會(huì)這么做。”
演講視頻:
慧眼識(shí)人
HackerOne創(chuàng)建了第一個(gè)漏洞協(xié)調(diào)以及漏洞獎(jiǎng)勵(lì)平臺(tái),創(chuàng)建這個(gè)平臺(tái)的目的就是為了鼓勵(lì)黑客們找出企業(yè)產(chǎn)品中存在的漏洞。如果黑客能夠找出漏洞并上報(bào)漏洞信息,這樣黑客在拿到相應(yīng)漏洞獎(jiǎng)金的同時(shí),也可以避免承擔(dān)其他的一些風(fēng)險(xiǎn),畢竟他們是在做好事。Rice目前的工作就是為公司組建出一個(gè)出色的黑客團(tuán)隊(duì),但并不是所有的“千里馬”都能被發(fā)現(xiàn),比如說(shuō)Samy Kamkar。想要找出合適的人選,的確是一個(gè)不小的挑戰(zhàn)。
2006年,Kamkar制造了一個(gè)JavaScript病毒,并將該病毒植入了MySpace。而他的目的只是為了利用這個(gè)病毒增加他MySpace的好友數(shù)量。于是,在短短的十個(gè)小時(shí)內(nèi),他的好友數(shù)量就達(dá)到了一百萬(wàn)個(gè)!他原以為他會(huì)接到MySpace的電話,萬(wàn)萬(wàn)沒(méi)想到他等來(lái)的卻是FBI。最終在證據(jù)面前,他簽署了認(rèn)罪協(xié)議,而警方對(duì)他的懲罰就是三年不能使用電腦。三年時(shí)間一到,Kamakar立即重返黑客領(lǐng)域,并致力于研究隱私保護(hù)和追蹤技術(shù),他希望通過(guò)他的努力讓我們的網(wǎng)絡(luò)環(huán)境變得更加安全。
Rice在演講時(shí)說(shuō)到:
“Kamkar掌握了一名黑客所必備的全部技能,浪費(fèi)了一個(gè)天才三年的時(shí)間,這簡(jiǎn)直就是“暴殄天物”!此外,我認(rèn)為我們都應(yīng)該感謝SamyKamkar。好奇心驅(qū)使科技不斷向前發(fā)展,而科技又服務(wù)于我們。所以,我們應(yīng)該學(xué)會(huì)利用黑客們的好奇心,并將這份令人難以置信的好奇心用在正確的地方。”
合理利用,效果驚人
Rice認(rèn)為,很多公司會(huì)出于安全方面的考慮而不敢雇傭黑客,比如甲骨文公司。甲骨文公司針對(duì)客戶建立了一套產(chǎn)品使用條款,盡管客戶為相應(yīng)產(chǎn)品的使用支付了費(fèi)用,但條款并不允許他們尋找產(chǎn)品中存在的漏洞。
除了組建自己的黑客團(tuán)隊(duì),HackerOne一直以來(lái)都在幫助其他的一些企業(yè)組建優(yōu)秀的黑客團(tuán)隊(duì),這些黑客團(tuán)隊(duì)最終也成為了很多公司最為核心的安全部門,例如Twitter。從獲取軟件的完整控制權(quán),到入侵物聯(lián)網(wǎng)設(shè)備,這些黑客們所涉及的領(lǐng)域是非常廣泛的。
Rice與這些黑客一起工作了六個(gè)月,最后總共有70名黑客加入了Twitter的安全團(tuán)隊(duì)。目前為止,這些黑客們已經(jīng)發(fā)現(xiàn)了99個(gè)安全漏洞,其中有25個(gè)是高危漏洞。
Rice說(shuō)到:“企業(yè)想要發(fā)展得好,就必須要想辦法利用黑客的先天優(yōu)勢(shì),Twitter就是一個(gè)成功的典范?,F(xiàn)在很多公司也已經(jīng)開(kāi)始意識(shí)到了,越早啟動(dòng)漏洞獎(jiǎng)勵(lì)計(jì)劃對(duì)公司發(fā)展也就越有利。”
現(xiàn)在連美國(guó)國(guó)防部都已經(jīng)啟用了漏洞獎(jiǎng)勵(lì)計(jì)劃,在這個(gè)計(jì)劃執(zhí)行的一個(gè)月內(nèi),黑客們就已經(jīng)找到了138處安全漏洞。而更夸張的是,在該計(jì)劃啟動(dòng)的13分鐘后,就有黑客提交了第一個(gè)漏洞!
Rice感慨道:“黑客們的力量真是大到讓我無(wú)法想象!”