你来找我茬,我来付你钱!世上竟有如此好事?
还真有。
近期,谷歌新推出了一项漏洞赏金计划。该计划全称为Open Source Software Vulnerability Rewards Program(以下简称为OSS VRP),顾名思义,是一个针对开源软件发起的漏洞奖励项目。
作为公认的开源贡献大户,谷歌是Bazel、Angular、Golang、Protocol buffers和Fuchsia等项目的主要维护者。这些项目应用广泛,像Go语言被大量用于云计算、微服务、高并发领域,而Fuchsia OS则为智能家居设备提供支持。因此,在这些项目中发现的“敏感”漏洞也最有可能获得高额赏金。
除此之外,由谷歌管理并托管在GitHub等公共存储库上的其他项目,以及这些项目中包含的第三方依赖项也涵盖在OSS VRP中。
针对那些在其开源软件或软件构建模块中发现安全漏洞的研究人员,谷歌愿意为其提供赏金。根据漏洞的严重程度以及漏洞所在的项目的重要性,赏金从100美元到31337美元(约21.8万人民币)不等。
那么,这类“漏洞赏金计划”究竟是为何而设?这种“你找bug我付钱”的模式能起多大作用?成为一名漏洞猎手要考虑哪些因素?且看下文分解。
“漏洞赏金”背后是......
据悉,此次谷歌发布的漏洞赏金计划,其实是为了应对日益普遍的开源供应链攻击的现实。
谷歌员工Francis Perron和Krzysztof Kotowicz透露:“去年,针对开源供应链的攻击同比增长了650%,包括Codecov和Log4j漏洞等在内,这些事件显示了单个开源漏洞的破坏性潜力。”
以Log4j Java日志库中的Log4Shell漏洞为例,去年12月爆发后造成了相当广泛的破坏,到目前为止,虽然出现了很多防御方法,但这一漏洞的影响至今都在。由于对Log4Shell的利用基本集中在广泛部署的应用程序上,可能有大量Java应用程序受到Log4Shell不同程度的影响。就软件供应链现状来说,这一事件无异于一记警钟。
为了加强软件供应链的安全性,谷歌在此次漏洞赏金计划中希望白帽黑客们关注的是如下重点:
- 导致供应链受损的安全漏洞;
- 导致产品漏洞的设计问题;
- 其他安全问题,例如泄露的凭据、弱密码或不安全的安装等。
值得关注的是,随着针对Maven、NPM、PyPI和RubyGems的供应链攻击不断升级,加强开源组件,尤其是作为许多软件构建块的第三方库的安全性建设,已迫在眉睫。因此,第三方依赖项中的安全漏洞也在赏金计划范围内,不过相关奖励也有前提——研究人员需将错误报告首先发送给第三方项目的真正负责人,查看问题是否能在上游得到解决,与此同时他们还需要证明该错误的确影响到了谷歌的项目。
当然,考虑到有意愿参与到这一赏金计划的研究人员可能动机不一,谷歌为那些对奖金不感兴趣的人也准备了另外的选项,即以其名义将奖金捐赠给慈善机构。
愿意掏钱的不止是巨头们
于谷歌而言,其开展“漏洞奖金计划”的历史由来已久。
近年来,OSS VRP是继针对Linux内核漏洞和Kubernetes逃逸漏洞奖励计划后制定的又一重要漏洞奖励机制。此外,在奖励计划的多年扩展中,针对Chrome、Android和其他产品、项目的漏洞赏金也有其设置需求。据统计,仅就去年而言,谷歌为其各种奖励计划,面向近700百名研究人员支付了870万美元。
而在2021-2022年度,微软在漏洞赏金支付方面甚至超过了谷歌,达到了1370万美元。
回顾历史可以发现,漏洞赏金计划自2000年后开始真正在互联网世界崭露头角。此后很长一段时间,主导这些计划的都是互联网巨头和大型开发项目。
2013年,谷歌为Linux等开源操作系统软件的安全改进提供了漏洞赏金;微软和Facebook联合发起了“互联网漏洞赏金计划”,向发现威胁整个互联网稳定性的安全漏洞的黑客支付巨额现金奖励。此外,微软、谷歌、Facebook等也相继建立了全年开放的漏洞赏金机制。
随着网络安全形势愈加严峻,威胁本身的复杂性渐次升级,诸如谷歌、微软这样的私人机构愿意为此支付更高的漏洞赏金,同时,越来越多的公共机构也开始关注到漏洞赏金机制对防范网络安全风险的正面意义。
2016年4月16日,美国国防部与漏洞赏金平台HackerOne合作,启动了美国政府的第一个漏洞赏金计划“Hack the Pentagon”,用于报告面向公众的系统和应用程序中的漏洞。短短一个月间,美国国防部为138份漏洞报告支付了7万多美金的赏金。这一举动无疑为更多的行业企业考虑漏洞赏金计划释放出了积极的信号。
水涨船高的行情
设置漏洞赏金本来无可厚非。
我们日常工作中使用和接触到的软件和服务都是由人类编写的,即使软件本身没有太大问题,但开发人员不可能预见到每一种可能性。在新的漏洞路径被发现之前,我们能看到的都只是冰山一角。何况利益的诱惑永远是巨大的,不知名的“互联网刺客”总在暗处窥视着每一个可能的漏洞,并为此不断升级着威胁“武器”。
因此需要漏洞赏金计划,聚众之力来防患于未然。当越来越多的企业和机构愿意为高危漏洞设置赏金时,赏金的行情也一路水涨船高。漏洞赏金平台HackerOne的数据显示,一个严重漏洞的中位价值从2020年的2500美元上涨到了3000美元,而严重错误的平均赏金增加了13%,高严重错误的平均赏金增加了30%。
今年2月,白帽黑客Jay Freeman发现了Optimism上的一个编码漏洞。这个漏洞如果被利用,攻击者可以无限复制以太币,进而造成无法估量的损失。幸而漏洞被Freeman及时发现并通知了以太坊,漏洞被修复之后,这位白帽黑客获得了200万美元的奖励。
这一奖励高吗?高。值吗?不仅值,而且远远的物超所值。
貌似共赢模式下的阴影
表面看来,漏洞赏金计划是典型的双赢模式,但实际上,围绕漏洞赏金计划的争议并不少见。
主要矛盾之一在于赏金设置无标准,浮动均由企业主导,研究人员的权益得不到保障。自2020年开始,就有研究人员指出,微软正在大幅削减漏洞赏金的金额,最多的甚至缩水了90%。2021年11月,一位安全研究员就因微软克扣自己应得的漏洞赏金,公开了一个影响广泛的系统权限漏洞。
破解了WannaCry的传奇黑客马库斯·哈钦斯曾公开表示对微软漏洞赏金的不满,并在其博文中提出了一个灵魂拷问:“你愿意以100万美元的价格将你的漏洞卖给政府,还是以低于最低工资的价格将其交给微软?”
这种“摇摆”的悬赏方式也导致在今年微软提高对高影响漏洞的悬赏力度后,有用户马上质疑是不是微软现在面对高危漏洞已经力不从心,才需要依靠用户完成对Bug的检查工作。由此看来,失衡的利益天平背后是合作双方信任基石的岌岌可危。
另外一个容易引起担忧的问题是监守自盗。今年7月,外媒披露了一则消息,HackerOne的一名员工窃取了通过漏洞赏金平台提交的漏洞报告,并将其泄露给受影响的客户以牟取利益。
经调查,该员工是为众多客户项目分类漏洞披露的工作人员之一,自4月4日至6月23日以来访问了该平台,并联系到了7名受影响客户,通过化名进行威胁和恐吓,并成功收到了赏金。
虽然HackerOne很快解雇了这名员工,但这起事件也踩在了人们的隐忧上:如果你能掌握某个至关重要的bug,你更愿意提交bug修复漏洞来获得公司“奖励”呢,还是利用bug直接“通吃”?当利益足够大时,人性或许并不那么经得起考验。
你考虑成为漏洞猎手吗
原则上,谁发现漏洞并不重要,重要的是公司掌握它并在问题爆发前解决问题。在实践中,漏洞赏金通常由专业安全研究人员获取。这些专家找出bug后,要么获得报酬,要么为公司进行渗透测试。
而除了专业的安全研究人员之外,成为漏洞猎手的人通常各有各的专长,也各有各的动机。有人想多赚点钱,有人想建立名声,还有些人或许只是兴趣使然。如果你正在考虑或尝试成为一名漏洞猎手,那么可以先了解以下几点:
1、选择靠谱的厂商或平台。这是你一切的努力不打水漂的前提。
2、设定合适的目标。打个比方,如果你以赚取赏金为目的,那么根据漏洞的严重程度以及其所在项目的影响力,不同漏洞的奖励数额会有很大差异。另外,大公司往往在安全方面有更多预算,小型企业或初创公司的出手可能就没有那么宽裕,事先了解这一点更有利于设置合理的预期。
3、让你提交的漏洞更容易被认同。仔细揣摩一下公司设置问题提交的模式和赏金支付的流程,通常来说,正确的、符合规则的格式更能让你提交的漏洞报告清晰、明了、更易接受。
4、如果你是个新入门的玩家,那么不妨从免费项目开始锻炼对于漏洞的“触觉”,这会让你更快摸索出经验和自己擅长的领域。
5、世界上不乏获得巨额赏金的案例,但那往往是百万分之一。如果你想以漏洞赏金谋生,那么你更有可能从通过渗透测试出现的常见小漏洞中获得稳定收入。
参考链接:
https://www.oschina.net/news/208582/googles-open-source-bug-bounty-program
https://www.theregister.com/2022/08/30/google_open_source_bug_bounty
https://www.theregister.com/2022/08/12/microsoft_bug_bounty
https://baijiahao.baidu.com/s?id=1732488474142803145
https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/
https://blog.csdn.net/weixin_26636643/article/details/108497096