美國國防部前不久在Hackone開展了第一次政府級別的安全眾測,并且得到了很好的響應(yīng)。在眾測項(xiàng)目開展六個(gè)小時(shí)后,美國國防部就收到兩百多個(gè)安全漏洞。然而讓我們震驚的是這次參加計(jì)劃的黑客里面有一名18歲的高中生。
David Dworken
實(shí)際上早在美國國防部開展這個(gè)機(jī)會之前,其它的大公司早有自己的漏洞獎(jiǎng)勵(lì)計(jì)劃,比如Google,F(xiàn)aceBook等。這個(gè)漏洞計(jì)劃不僅讓白帽子可以為自己的努力賺取到賞金,同時(shí)也能夠滿足他們滲透測試的好奇心。在這次眾測之后,美國國防部考慮在其它漏洞平臺上也開展相關(guān)的眾測服務(wù),并且向美國的大型企業(yè)學(xué)習(xí)相關(guān)的經(jīng)驗(yàn)和知識。
18歲的白帽騷年入選
這個(gè)眾測項(xiàng)目吸引了很多的黑客,自然也包括David Dworken。但是他有些與眾不同,他只有18歲。更奇葩的是他參加者眾測項(xiàng)目只是為了得到免費(fèi)的體恤。在采訪時(shí)他說道:“我花費(fèi)了大概20個(gè)小時(shí)在這個(gè)眾測項(xiàng)目上,因?yàn)樗麄兲峁┑囊路?shí)在是太炫酷了。”
在高中時(shí)期,David在Hackone眾測平臺上注冊了一個(gè)賬號,并且挖到很多公司的漏洞,比如Netflix。David說道:“那個(gè)漏洞能夠讓我在它的服務(wù)器上創(chuàng)建任何文件,幻想一下,如果我創(chuàng)建了一個(gè)虛假的Netflix登陸頁面,并且也是用Netflix的URL,那么我就可以盜取到很多人的Netflix賬戶。當(dāng)然Netflix的工程師也很給力,很快就把這個(gè)漏洞給修復(fù)了。”
隨著時(shí)間的推移,David也獲得了越多的安全檢測經(jīng)驗(yàn)。于是他開始慢慢的查找一些更大廠商的漏洞。David還從Uber那里獲得過八千美元的漏洞獎(jiǎng)勵(lì)。他如此說道:“說實(shí)話,眾測計(jì)劃是在是太神奇了,黑別人還有錢拿。但是我做這些只是感覺好玩罷了,并且我的所作所為是正確的。”
這樣的日子直到有一天,他報(bào)名參加了美國政府組織的眾測項(xiàng)目—“攻陷五角大樓”。美國國家公共廣播電臺通知他需要離開學(xué)校與他的父親一同前往美國五角大樓。美國政府展開這個(gè)眾測項(xiàng)目的時(shí)候就有一個(gè)要求,就是參賽人員必須是美國本土居民,并且在報(bào)名后會被進(jìn)行國土安全檢測。雖然David有很多挖掘漏洞的經(jīng)驗(yàn),但是年齡太小,美國政府部門只希望這個(gè)項(xiàng)目能夠?qū)λM(jìn)行一些鍛煉。他說道:“這個(gè)是在是太讓人震驚了,我沒想到美國政府這邊會選到我!”
同時(shí)還有一個(gè)非常有趣的事情發(fā)生了。由于他的選修考試時(shí)間和參賽時(shí)間重疊了,所以他必須快速的對漏洞進(jìn)行挖掘。最終結(jié)果是,在前面12個(gè)小時(shí)內(nèi),他挖掘到了五個(gè)漏洞,然后趕回學(xué)校參加考試去了。David:“你知道的,Hackone上面的檢測項(xiàng)目都是有檢測范圍的,這次的政府眾測項(xiàng)目也是一樣。但是他們的系統(tǒng)上有一些漏洞屬于檢測范圍外的,如果他們要讓這些系統(tǒng)足夠安全,他們需要一個(gè)專業(yè)的安全小組或者足夠完善的眾測。”
“攻陷”五角大樓計(jì)劃
在檢測中,他挖到幾個(gè)美國國防部網(wǎng)站的高危漏洞,從項(xiàng)目中脫穎而出。他如此說道:“實(shí)際上,能夠以這種方式服務(wù)我的國家我還是很高興的。實(shí)際上很多黑客非常愿意幫助他人,并不是為了金錢,而是就是自身的精神享受。”
美國政府為了這個(gè)眾測項(xiàng)目花費(fèi)了大約15萬美金,然而David說道:“好吧,雖然錢有些多,但是要知道如果你選擇以常規(guī)的安全公司來檢測漏洞,那么費(fèi)用可能在百萬美金左右,而且效果還沒眾測理想。”實(shí)際上早在三年前,美國國防部就花費(fèi)了五百萬美元檢測漏洞,結(jié)果連十個(gè)漏洞都沒找到。
這次“攻陷五角大樓”眾測項(xiàng)目,有1400人參與,其中250個(gè)白帽子為其提交漏洞,138個(gè)白帽子獲得獎(jiǎng)金。最高危的一個(gè)漏洞得到了3500美元的獎(jiǎng)勵(lì),平均每個(gè)漏洞的獎(jiǎng)勵(lì)在588美元,最厲害的一個(gè)白帽子得到了1.5萬美元的獎(jiǎng)勵(lì)。
或許是由于時(shí)間關(guān)系,David提交的漏洞與其它黑客提交的漏洞“撞洞”了(指示某個(gè)人提交的漏洞與他人提交的相同),所以他并沒有獲得現(xiàn)金獎(jiǎng)勵(lì),這里很是遺憾。但是他得到了非常寶貴的漏洞挖掘經(jīng)驗(yàn)。今年的秋天,他即將前往波士頓東北大學(xué)深造網(wǎng)絡(luò)安全學(xué)。
美國政府和企業(yè)都非常贊賞眾測項(xiàng)目,并且都是授權(quán)檢測和有著非常規(guī)范的檢測范圍。反觀國內(nèi)的,雖然目前國內(nèi)安全市場比以前有較大的積極反應(yīng),但是普遍還存在一個(gè)未授權(quán)檢測,檢測范圍不清楚,等問題。在美國有著一套PTES(滲透測試標(biāo)準(zhǔn)),并且目前打算做PTES 2.0了,而國內(nèi)連一個(gè)基礎(chǔ)的PTES都沒有。我不由得想起前段時(shí)間世紀(jì)佳緣和那位白帽子的糾紛。實(shí)際上這個(gè)誰的錯(cuò)都不是,而是目前,中國的安全檢測還沒形成授權(quán)化,合法化和規(guī)范化所導(dǎo)致的。
京公網(wǎng)安備 11010502049343號