*本文原創作者:clouds,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
3月,當美國國防部宣布與HackerOne合作邀請黑客參與“Hack the Pentagon”的漏洞獎勵計劃之后,讓HackerOne再次成為業界焦點。對于混跡于國內外各漏洞眾測平臺的菜鳥,以個人之見和能力所及對HackerOne寫點介紹,談點感受。
1 公司介紹
HackerOne是一個總部位于美國舊金山的漏洞眾測公司,公司分部位于荷蘭格羅寧根。多家世界知名技術公司都使用HackerOne平臺,如Yahoo、Twitter、Adobe、Uber、facebook等。目前,HackerOne平臺注冊黑客共3000多人來自150多個國家,漏洞眾測合作企業達500多家。HackerOne是最早接受并利用黑客開展商業模式的公司之一。
2 創業歷史
2011年,20多歲的荷蘭黑客JobertAbma, Michiel Prins, 和Merijn Terheggen出于打賭,列出了他們計劃入侵的100家高科技公司清單,不久,他們就發現Facebook, Google, Apple,Microsoft, Twitter等其它95家公司的網絡系統中都存在不同程度的安全漏洞。他們將這一清單稱作“Hack 100”。
當他們聯系這些公司時,有1/3的公司并不關注這些問題。另1/3的公司對他們表示感謝,但并未修復漏洞。而其余公司則試圖盡快解決漏洞。幸運的是,沒人通知警察。
在處理Facebook漏洞時,他們與Facebook產品安全經理Alex Rice結識,共同組成公司合伙人,于2012年成立HackerOne。由Alex Rice擔任公司CTO,Merijn Terheggen任CEO,Jobert Abma任技術領導,Michiel Prins為產品經理。2014年, 微軟前首席安全策略師(CPO)Katie Moussouris 加盟成為其 CPO。2015年底,MySQL和Eucalyptus前CEO Marten Mickos 出任HackerOne 公司CEO。
3 投資情況
2014年5月,HackerOne獲得由Benchmark領投的900萬美元A輪投資;2015年6月,HackerOne獲得2500萬美元B輪投資,由New Enterprise Associates領投,投資方有Nicolas Berggruen,Brandon Beck,David Sacks,Jeremy Stoppelman,Drew Houston,Marc Benioff,Benchmark等。
4 盈利模式
HackerOne以信息安全為重,通過在企業和黑客之間建立漏洞獎勵平臺,致力實現企業和黑客的利益雙贏。HackerOne通過建立的漏洞眾測平臺,由眾測企業向黑客支付發現漏洞的獎勵,HackerOne則從企業獎勵中抽取 20% 的費用。
另外,HackerOne還通過向企業提供付費服務模式,如漏洞訂閱服務、漏洞披露指導、安全咨詢等。目前,HackerOne已幫助500多家企業找出2萬多個漏洞,向3200多名獨立安全研究員發放了600多萬美元的獎勵,單個漏洞獎勵最多達到3萬美元。
5 服務方式
For hackers:
與通常的眾測平臺一樣,注冊,加入項目,提交漏洞;
For companies:
對于眾測企業,HackerOne提供了四種服務模式:Security@、 Professional、Enterprise、Fully Managed,HackerOne對這幾種模式的漏洞披露、漏洞管理、安全性等方面提供不同的服務,以下是不同服務模式的對比:
Security Page頁面包含公司情況、披露政策、希望邀請的黑客、漏洞規則等關鍵信息。
Fully Managed是HackerOne的付費服務,針對那些想要對漏洞情況進行進一步篩查和校驗的企業。企業通過Fully Managed模式可選擇與HackerOne推薦的世界級安全咨詢合作機構簽訂不定期的信息安全服務。
Security@ 是HackerOne社區的安全項目快速查詢目錄,通過該查詢目錄可以快速找到在HackerOne平臺上開展漏洞眾測項目的企業,方便黑客提交漏洞。
6 漏洞保密原則
HackerOne只為“漏洞協作披露”項目提供處理工具,網站實行漏洞庫訪問控制權限,HackerOne雇員無權查看任何廠商漏洞信息,HackerOne決不與其它第三方分享客戶的漏洞數據,并提倡以PGP加密方式提交漏洞信息。在漏洞未解決之前,所有提交漏洞信息除企業和漏洞提交者之外都不可見。
7 漏洞獎勵價格
(1)依靠提交的漏洞質量來定。廠商給出的漏洞價格可以參考幾個方面:漏洞嚴重性、對最終用戶或客戶的影響范圍、項目預算、項目階段及保密性、廠商漏洞披露計劃成熟度等。
(2)為了吸引和激勵黑客,HackerOne規定每個漏洞獎勵金額下限不低于100美元,針對大多數的一般漏洞,獎勵金額范圍為$100-$1,000,當然,HackerOne也提倡超出范圍重獎某些嚴重漏洞。考慮到不同漏洞對不同廠商的影響不一,如Clickjacking類型漏洞對某些企業來說很嚴重,但對其它企業來說只屬于informative類漏洞,因此,除規定100美金的下限外,HackerOne未針對不同漏洞類別設置最低獎勵限制。獎勵金額根據漏洞對廠商影響程度而定。
(3)針對幾類特別重要漏洞,為了提高獎勵透明度和黑客期望值,HackerOne根據漏洞成熟度模型給出了一個以供企業參考的最低獎勵結構,當然企業有權根據漏洞影響程度來上調最低獎勵基準。如最近Uber的一個XSS漏洞獎勵就達7000美金。
8 安全性
(1)所有和HackerOne服務器平臺交流的信息都是加密的。安全團隊可以使用HackerOne的IP白名單策略進行權限訪問控制。
(2)HackerOne采用軍用級加密技術、雙因子認證、單點登錄、ISO/IEC 27001信息安全管理體系認證;
(3)HackerOne提倡企業遵守ISO/IEC 29147-2014 《信息技術-安全技術-漏洞披露標準》,同時通過自動化平臺幫助指導企業進行漏洞披露。ISO/IEC29147-2014標準的目的:為企業提供如何接收漏洞、發布漏洞解決方案的指導方針,為企業提供漏洞披露過程的相關信息和示例。
9 特色點之DASHBOARD
HackerOne的Dashboard功能是為了顯示企業提交漏洞和獎勵金額的準確信息,Dashboard還可以幫助企業確定和跟蹤軟件開發生命周期中的改進領域。通過Dashboard,企業可以查看每天、每周和每月的漏洞趨勢和發展情況,數據產生的報告可下載為CSV格式保存。另外,如果企業需要更先進和及時的報告要求,可以通過HackerOne的API把Dashboard數據整合到第三方報告工具中。
Dashboard的數據指標包括:解決的漏洞數、獎勵金額總和、黑客致謝、獎勵的報告數、獎金平均數、支付與漏洞解決占比、漏洞響應時間、漏洞解決時間、報告狀態圖、漏洞響應與解決時間狀態圖、獎金支付走勢圖、黑客獲取金額排行圖、黑客獎勵次數排行圖。
10 特色點之漏洞協調成熟度模型
HackerOne根據長期的漏洞提交模式分析,發布了針對漏洞協作披露的漏洞協調成熟度模型(Vulnerability Coordination Maturity Model,VCMM)。HackerOne認為,影響漏洞協作披露的因素主要包括5個方面的能力領域:組織、工程、交流、分析與激勵,每個領域又包含基本、高級和專家3個成熟度等級,VCMM模型目的在于幫助企業評估漏洞協調機制,直觀地識別出需要改進的領域,指導企業進行內外部組織能力提升,更好地消除安全漏洞隱患。
HackerOne的VCMM針對社會面的公開測試模型為:VCMM-survey,當然除此之外,HackerOne還針對在其平臺合作的眾測企業提供漏洞信息量化模型指標。以下是VCMM5個能力領域的等級介紹:
根據5方面的能力領域分值,VCMM可以確定企業在漏洞協調管理方面存在的問題和急需改進的領域,如以下為Adobe公司某個時期的VCMM模型圖。
11 HackerOne漏洞披露原則
HackerOne聲明的漏洞披露原則如下:所有的技術都包含漏洞,如果你發現了一個安全漏洞,我們希望幫助到你。通過HackerOne平臺項目提交漏洞或注冊成為眾測企業,我們希望你閱讀并同意以下準則。
(1)披露哲學
我們相信漏洞發現者和眾測企業之間的相互尊重和透明度是有效漏洞披露流程的前提。
漏洞提交者須:尊重規則、尊重隱私、保持耐心、友好;
眾測企業須:安全為重、尊重漏洞提交者、獎勵漏洞提交者、友好。
(2)漏洞披露流程:
提交漏洞的報告內容將會立即提供給眾測企業的安全團隊,在非公開狀態下,讓企業有足夠的時間驗證漏洞并發布修補公告。在漏洞提交報告關閉后才能進行公開披露。
一般情況:如果雙方都不提出異議,漏洞提交報告的內容將在30天內公開。
雙方協議:我們鼓勵漏洞提交者和企業就披露期限有良好的溝通協商,如果雙方無異議,披露時間可按協商時間而定。
保護性披露:如果企業發現所提交的漏洞正在被積極開發利用并對公眾造成傷害,企業可以會立即向社會發布漏洞修補公告,以便用戶可以采取保護措施。
延伸:由于復雜性等因素的影響,一些漏洞將需要比30天更長的時間來進行修補。在這種情況下,漏洞報告還將繼續保密,以確保企業安全團隊有足夠的時間來解決問題,同時,我們鼓勵企業安全團隊與漏洞提交者保持溝通。
最后的手段:如果180天之內,眾測企業安全團隊無法或不愿提供一個確切的漏洞披露時間表,該漏洞的提交者有權公開漏洞內容。我們認為,在這種極端情況下,保持對公眾透明是最好的方式。
12 HackerOne與其它眾測平臺的橫向比較
2015年8月,賓夕法尼亞州立大學曾對幾個著名的漏洞眾測平臺進行過研究分析,研究涉及眾測平臺提交的漏洞數、注冊白帽人員、合作客戶、漏洞獎金等,國內平臺也包括在內,以下是HackerOne的各種指標對比圖:
從以上指標可以看出,HackerOne平臺的白帽數量在公司創立之初時呈緩慢增長態勢,另外,只有極少數機構獲得的漏洞報告數較多,如twitter、facebook等財大氣粗而霸氣的明星企業;但是,從白帽與漏洞線性圖可以看出,HackerOne平臺的精英黑客較多,部分黑客長期活躍于平臺,并且提交的漏洞質量較高。研究結果表明,國內眾測平臺的白帽數量相對較多,也比較活躍,但與國外眾測平臺相比,漏洞獎金差距較大,還有待提高。
13 個人觀點
安全保密:HackerOne只提供漏洞報告、處理、咨詢平臺,HackerOne在無授權情況下無法訪問查看眾測企業漏洞信息,提交漏洞內容只有在完全解決之后才會公開。最重要的一點,HackerOne平臺采用加密方式進行信息交互傳輸,最大程度保護白帽子信息;
漏洞獎勵:從最低獎勵金額100刀就能初略反映出老美對安全的重視程度,另外,HackerOne對幾類重要漏洞給出的參考性獎勵結構對白帽子們來說也是相當具有吸引力的,如XXS(critical)和CSRF(critical)類漏洞能達到2500 刀,所有XSS類型漏洞為1000刀,雖然只是參考,但如果企業的最低獎勵金額達不到這種標準,那么,企業信任度和眾測吸引力將會受影響,當然白帽積極性也不會太高。如最近Uber的一個XSS漏洞獎勵就達7000美金,另據HackerOne平臺聲稱有些高級黑客每年能賺20多萬美元,單個漏洞獎勵曾達3萬美元。
專業合規性:參與眾測的廠商大部分是知名和業界創新企業,這些企業具備的市場占有率要求企業對安全必須要有足夠高的重視,當然除了認同HackerOne的披露政策外,這些企業在HackerOne上的眾測項目還有自己的規則,比如,漏洞有效性、漏洞報告模板、漏洞測試規則等。作為白帽子們,HackerOne會定期對所提交漏洞的有效性進行評定,結合積分致謝等情況,作為白帽子的等級聲譽,也作為某些邀請項目對白帽子的考核指標。
法律界定性:這可能都是國內外眾測平臺面臨的一個問題吧。首先,加入HackerOne眾測項目的企業得遵守 HackerOne的披露規則,做到HackerOne 、企業和白帽子三方共同認可眾測項目,最大程度地保護白帽子;另外,HackerOne 認為互聯網世界就是未來信息戰的前沿陣地,而黑客們就是士兵和武器制造者,如何贏得或征募黑客參與防衛,當前可能需要對現行的法律進行修改,以消除“安全防護”和“犯罪”之間的模糊界限,鼓勵安全研究。HackerOne認為白帽子們利用稀缺珍貴的技術發現漏洞保護信息安全,這本身就是一個有利企業和公眾的事情,如果白帽安全者能發現漏洞,其它壞人也可以發現,然而美國現行的計算機法律還未對白帽安全研究者給予明確保護。
2015年5月,美國信息安全界提交了針對安全研究的豁免條款修訂意見之后, 美國版權局修訂了《數字千年版權法案》,加入了針對軟件安全研究的免責說明。這對漏洞眾測的未來,可能是一種進步。HackerOne 希望安全研究能受到法律的合法保護,并呼吁現行和未來的法律體系能為安全研究者創建一個良好的研究氛圍。
用戶體驗:總體來講,HackerOne的用戶體驗度還是蠻好的,從注冊、提交漏洞、信息接收和項目邀請等方面來講,都能站在白帽和企業的角度來提供服務和考慮問題;另外白帽和企業之間的交流、獎勵機制、漏洞調解都比較及時、透明和公開。其次,從HackerOne網站架構情況也可以體現出HackerOne具備的良好用戶體驗功能。
以上就是對HackerOne的一些淺略介紹和分析,相比較而言,國內眾測平臺的發展也是相當不錯的。就國內眾測廠商來說,筆者對漏洞盒子比較熟悉,從其企業客戶對眾測服務的效果反饋和近年來迅速提升的接受度上來說,眾測平臺的存在價值毋庸置疑。
就像HackerOne CEO Marten Mickos說的,漏洞眾測平臺的未來是生機蓬勃的,當然,眾測的良好生態發展需要社會整體信息安全重視度、企業責任心、白帽技能、政策法規等因素的共同改善和提升。作為白帽子的我們在努力提高技能的同時,也不要忘記加入國內優秀眾測平臺為信息安全奉獻自己的微薄之力。
*本文原創作者:clouds,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
京公網安備 11010502049343號