漏洞悬赏计划 : 另类的网络安全防护
互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。
包括谷歌、Facebook、Dropbox、PayPal、微软、雅虎,甚至电动车制造商特斯拉等科技公司如今都有一种悬赏机制,只要黑客发现他们产品存在的漏洞并报告给他们,这些公司就会向这些黑客提供奖金。
这是科技行业对黑客发现漏洞的标准回应方式发生的重大转变。
其实所谓“漏洞悬赏”(也称为漏洞奖励)机制,就是把全世界的的白帽黑客、安全研究人员和安全爱好者聚合在一起,共同为企业产品或服务挖掘漏洞。
但是,需要指出的是,漏洞悬赏项目并不是只有上述科技巨头才有的,世界上总是存在对立的两面。
类似像HackerOne和BugCrowd这样的创业团队,他们就联手组建了一个巨大的黑客网络,设置专门赏金来扩大网络“捉虫”活动。他们还说服众多科技公司接受黑客攻击,以测试产品漏洞,从而获取赏金。
他们的创想很简单:科技巨头永远不可能凭一己之力去发现所有漏洞,他们必须投资研究人员去寻找漏洞。
漏洞众测平台BugCrowd运营副总裁David Baker表示,“随着企业逐渐意识到漏洞悬赏计划对其安全性的重要意义,我们发现这种机制的使用率正在持续增长。而同时,随着这种机制越来越受欢迎,更多的传统企业也会参与其中,期待通过这种机制打击日益增多、变化的攻击趋势。”
下面就为大家介绍一些全球顶级的漏洞悬赏计划(排名不分先后):1. Microsoft Windows 漏洞悬赏计划
全球9大顶级漏洞悬赏计划
微软先前的漏洞奖励计划限定在部分产品范围内,包括 Office 365、Azure 等,Windows 则仅限一定范围。最近微软对其漏洞奖励计划范围进行了扩张,Windows 系统的各种漏洞现都已加入豪华午餐,甚至包含 Insider 预览版本。
此次,微软Windows 漏洞悬赏计划赏金上限增加到了25万美元,最低为500美元。具体奖金金额取决于安全漏洞的复杂性,以及报告者提交给微软的信息数量。
值得注意的是,微软指出如果安全研究人员发现了已被微软内部员工发现的漏洞,那么第一个发现者最高可以得到这个漏洞赏金的10%。
从表单可以看出,微软新的漏洞悬赏计划涵盖五大主要方面的漏洞,包括Microsoft Hyper-V(Windows 10、Windows Server 2012、Windows Server 2012 R2以及Windows Server Insider Preview,赏金为5000-25万美元不等)、Mitigation Bypass(赏金为500-20万美元)、Windows Defender(赏金为500-3万美元不等)、Microsoft Edge(赏金为500-1.5万美元不等)以及Windows Insider Preview(赏金为500-1.5万美元不等)。
值得一提的是,该悬赏计划是持续的、无结束期限的。对此,有分析人士指出,微软此举是为了吸引更多的安全研究人员与其共同努力,最终构建出一个更加安全的Windows系统!有兴趣的小伙伴,赶紧去微软官网了解情况吧。
2. 神秘公司 25万美元漏洞 悬赏计划
上周,Bugcrowd平台宣布了一项新的漏洞悬赏计划,该计划赏金上限为25万美元,据悉,这次的高价奖励是第三方平台收到的数额最大的一笔奖励。
这次“超级机密”的Bugcrowd漏洞奖励计划实行邀请制,而且要求参与的研究人员提交“一份报告,说明他们对于一个潜在攻陷所做的尝试和理念,以及任何相关信息(不管是否达到了所述目标)”。排名前五的报告如未能找到漏洞但展示出了投入和专业性,那么会收到1万美元的奖励作为工作补偿。
据悉,这项计划将持续八周的时间,从9月初一直到10月。据Bugcrowd平台透露,目前已有27名参与者加入该计划。
最高奖励25万美元将颁发给找到“能导致在虚拟化平台上执行代码的客户机逃逸漏洞”,以及“能够在另外一个实例中导致执行代码执行的客户机逃逸漏洞”的人员;而发现能导致泄露内存内容和虚拟平台代码的漏洞,则获得10万美元的奖励;另外,如能发现与控制面板基础设施问题实现意外网络相关的漏洞,则可获得2.5万美元的奖励。
3. Google 漏洞悬赏计划
Google是当今网络上最具统治力的互联网公司。它从当初一个简单的搜索引擎进化成为现在的一个各种媒介的综合体,它的触角遍及每个家庭和每台移动设备。这种前所未有的规模也造成了它无所不在的安全风险。
Google最关注的漏洞类型有SQL注入、跨站脚本、跨站请求伪造和远程代码执行。发现这些漏洞的研究人员,将获得Google安全团队的充分认可并进入Google名人堂。
而说到Google悬赏计划就不得不提,前几个月闹的沸沸扬扬的20万“Android安全悬赏”项目。据外媒Venturebeat报道,自2010年推出所谓的“Android安全悬赏”项目以来,谷歌已经向1000多名安全研究人员支付了共计900多万美元赏金,单单去年就支付了300多万美元。
如今,该公司宣布提高悬赏金额,因为已经有2年时间没人能领取最高悬赏。谷歌Android团队近日宣布提高两项漏洞悬赏金额:
发现远程漏洞链或破解TrustZone、Verified Boot远程漏洞的人,可以获得20万美元奖金,与之前的5万美元相比翻了4倍;而发现远程内核漏洞的人可获得15万美元奖金,此前为3万美元。想要获得这些奖金吗?快去寻找破解Android的漏洞吧!
4. Exodus Intelligence 50万美元“研究赞助计划”
2016年8月,在苹果公司刚刚宣布20万美元的漏洞奖金一天之后,安全公司 Exodus Intelligence 又为iOS相关的零日漏洞开出最低5000,最高到50万美元的漏洞赏金。
【赏金列表】
尽管Exodus公司将这一行为命名为“研究赞助计划”,但实际上该公司是通过买卖0day漏洞来牟取暴利。据悉,它的赏金计划不仅针对iOS系统,还包括谷歌(Chrome)和微软(Edge)的浏览器,具体赏金金额如上图所示。
5. AgileBits 为 1Password启动漏洞悬赏计划
今年3月,知名 iOS 密码管理应用 1Password 的开发商 Agilebits 通过Bugcrowd 平台宣布:如果有人可以在他们的应用当中找到漏洞(一般指 0-day 漏洞),他们将会支付对方 10 万美元。在此之前,Agilebits 就已经开启了赏金项目,只不过之前的赏金只有 2.5 万美元。这一次该公司把赏金提高了三倍,足以体现其重视程度。
BugCrowd运营副总裁David Baker说,1Password的“夺旗竞赛”程序对于吸引研究人员参与此次活动而言,是个独到的方式。
6. “黑掉五角大楼”( Hack The Pentagon )项目
你是否还记得“黑掉五角大楼”计划?“Hack the Pentagon”是美国政府去年发起的一项计划,运行时间从2016年4月-5月,旨在测试美国国防部对网络攻击的顺应力。该项目由美国国防部防御部数字化服务部主导,该部门成立于2015年11月,由工程师和专家组成,旨在“提高国防部技术灵活性并解决最复杂的IT问题。”
通过此次为期一个月的活动,共有约250多名漏洞研究人员提交了关于五角大楼的漏洞报告,其中有138人成功发现了赏金价值从100到1.5万美元不等的漏洞。概括而言,根据该计划,美国政府共向参与“黑掉五角大楼”项目的研究人员支付了7.5万美元。
“黑掉五角大楼”的重大意义在于它是第一个联邦政府漏洞悬赏计划,是美国国防部发起的世界上首个由政府资助的漏洞奖励计划。“五角大楼”计划成功后,国防部又先后举办了“黑掉军队”(Hack the Army)和“黑掉空军”(Hack the AirForce)等多个类似的漏洞悬赏计划。
7. Apple 漏洞悬赏计划
为了更快找到资安漏洞,过去许多公司纷纷发布漏洞奖励计划,包含Facebook、谷歌、微软、Tesla和雅虎,都已推行多年。
相较之下,虽然苹果一直高呼安全口号,却迟迟没有开放漏洞奖励机制。苹果过去曾表示,政府和黑市对发现漏洞给予高报酬,是苹果不愿加入此市场的原因之一。
直至去年8月,苹果推出了其漏洞奖励计划,根据漏洞影响程度不同,奖金从2.5万美元到20万美元不等。金额最高的种类为发现苹果的安全开机的韧体漏洞,用来防止未授权程序自行启动。不过这项计划采邀请制,目前仅开放20几名研究人员,以后将有更多的程序员人加入。
其实,苹果自从2016年初“iPhone 开后门事变”之后,对黑客的态度就已经有所转变,苹果公开“漏洞悬赏计划”提供奖金之外,还会与发现漏洞的黑客会面。2016年9月,苹果就曾邀请iOS黑客Luca Todesco 以及一众白帽黑客到苹果总部进行亲善交流,过去苹果少有的动作,相信这些动作会令黑客更愿意提供漏洞给苹果去。
不过,尽管苹果提出最高奖励金20万美元,已是提供漏洞奖励计划公司中的最高价,却还是远远不及政府执法或黑市的开价。例如,美国联邦调查局去年为了调查Syed Farook枪击案件,提出近100美元的报酬以破解犯人使用的iPhone;以及上文提到的Exodus Intelligence 公司也为iOS相关的零日漏洞开出最低5000,最高到50万美元的漏洞赏金。
8. Facebook 漏洞悬赏计划
Facebook早在2011年就已经推出了自己的漏洞赏金计划!截至去年10月,Facebook五年来已经付出了500多万美元的赏金。仅在去年上半年,该公司就收到了超过9000份漏洞报告,并向149名研究人员支付了61万美元。去年3月,芬兰的一个10岁的小孩子发现了Instagram漏洞,因此获得Facebook的65000元赏金;今年1月,白帽子黑客stewie发现Facebook的ImageMagick(一款开源的创建、编辑、合成图片的软件)的远程代码执行漏洞,获得4万美元赏金。
9. LocalTapiola 漏洞披露计划
2016年上半年,芬兰保险巨头LocalTapiola在HackerOne平台上推出了自己的漏洞悬赏计划,为黑客提供最具竞争力的悬赏平台。
去年已经有一名安全研究人员因发现关键系统漏洞成功获取18000美元。此外,该公司表示,任何黑客只要能够找到严重的、项目规定范围内的漏洞,都有机会获得50000美元的奖励。
虽然该项目的最高金额尚未透露,但是当LocalTapiola提高了奖赏额后,提交的漏洞报告数量也增长了50%。截至去年底,LocalTapiola共计接收了38份漏洞报告,并对40名黑客表达了感谢。
看完这些动辄几十万美元(折合几百万人民币)的赏金计划,你心动没?小编我只想问问:国内的微信、支付宝、360互联网巨头,你们准备好支付程序员奖金了吗?
撰稿:米洛 编辑:安在君
【推荐阅读】
◎◎◎◎◎
【安在专访】 做一件事要多久?张耀疆说,十年