今天一大早,腾讯的2胡就神秘兮兮的跑来跟我说,感谢我平时科普工作做的好,他们的CTO现在居然也知道白帽子是什么意思了,然后一拍板说腾讯现在给白帽子的回报太少了,要多表示一下诚意。
所以今天下午除了腾讯云的发布会喊了一小撮人在一起聚众集会以外,腾讯安全应急响应中心(简称TSRC,就是2胡他们部门)在微博上哭着喊着的做了一个艰难的决定,今年给白帽子们的奖励计划真正的提高到了100万元的额度,最高的奖励一个漏洞可以付出10w。哎,那位同学,别激动,是人民币不是美元。
我当时心里就郁闷了,跑来笑呵呵的告诉我有钱了,但是不给我分点。
所谓白帽子的漏洞奖励计划,是安全行业的一个默认的行规。因为白帽子们(好的黑客)挖一个漏洞是需要付出很多精力的,如果把这些漏洞免费的报给厂商,虽然是做了正确的事情,但所得到的与所付出的完全不成正比。如果漏洞没有报告给厂商,那么可能会流向地下黑客或者是黑色产业链,从而产生真正的危害。
所以无论从哪个方面来看,白帽子们挖了漏洞,报告给厂商,都是一种值得鼓励的行为。近年来也有越来越多的厂商认识到给白帽子们适当的奖励,是个一本万利的事情 —- 上哪里找这么好的测试资源去!
我在安全宝曾经发起过两季漏洞奖励计划(以后还会继续),因为小门小户的,所以预算也不多。但尽管是这样,也难以挡住白帽子们的热情,每次活动都只敢开放几天的时间,就会被上百封漏洞报告邮件填满。有很多报告是重复的,但也有不少真正有价值的报告,这些报告帮助我们将自身的产品完善的更好,真正具有了不断完善的活力。
前不久我写了篇文章《创业团队如何保护自己的网站安全?》,其中最后一条建议,就是发起漏洞奖励计划,借助安全社区的力量,完善自己的产品。这个方法投入产出比奇高。腾讯2013年的预算是100w,这100w如果用来招人的话,算上工资、办公资源、福利等成本只能招到3、4个普通的员工,但这3、4个人却绝对做不出漏洞奖励计划的效果。
因此业界不光是腾讯的TSRC,大多数互联网公司都开始执行漏洞奖励计划。阿里的ASRC、百度的BSRC、京东的JSRC,还有360、网易等都加入了「XSRC」的行列。但其中有的是挂羊头卖狗肉的,我就不点名了,某些奖励计划的头等奖是永远都不可能有人拿到的。愚弄白帽子的公司也必将被社区所摒弃。
Google和Facebook的漏洞奖励计划是做的非常成功的。其中Google的漏洞奖励,最严重的远程执行漏洞是2万美金一个,换算成人民币也是十多万,目前腾讯给出的头奖10万人民币,已经算正式和国际接轨了。
Facebook更狠,Facebook官方给出的奖励说明是一个漏洞最低都给500美金,其中包括XSS、CSRF这些漏洞。而XSS、CSRF等漏洞因为存量大、且要根据场景来判断严重程度,所以在Google那边有些贬值,普通的XSS漏洞Google才给个几十美金。此外Facebook的漏洞奖励没有上限,越严重就给的越多。
以上的这些白帽子的奖励计划,都不是第三方安全公司的漏洞收购行为。虽然有些安全公司也推出了漏洞奖励计划,但那实际上是一种商业行为,是将漏洞作为了一种商品的买卖,收购的漏洞也大多不是自己公司的,而是其他软件的漏洞。安全公司会通过高价收购这些漏洞,来转卖给存在漏洞的公司,或是政府,当然也会用于完善自身的产品。在国外做的最大的就是ZDI,一直在收购0day卖给政府和大公司。
所以当整个互联网行业对白帽子的能力都重视起来,并愿意给出回报以后,白帽子们的日子也会好过很多,说不定还能解决不少就业,发展出一门新的产业,也能从源头避免更多的优秀人才走向黑色产业链的犯罪之路。
最后,去年Google的技术项目经理Kevin Stadmeyer曾经在一次会议上分享过Google漏洞奖励计划的经验,我摘录几段关键的话,也顺便为一些朋友们释疑:
「首先谈一谈历史,为什么我们要这么做呢?首先我们这么做是因为我们不喜欢钱,喜欢漏洞。给解决问题的人们付钱,让大家给我们找漏洞,这样我们钱少了,漏洞多了,大家很高兴。Google创始人给了我们足够的钱,我们想给人付钱,因为他们花时间来发现Google的漏洞,我们确保人们能为花出的时间得到公正的回报,因为找到漏洞并不是没有投入的。相反你要花时间,要投入精力,因为我希望你们会觉得作出这样的工作能够得到我们的报酬。」
「我们在2011年12月1日开始这个项目,当时贴了一个博客的文章,我们当时觉得第一天可能会收到三五个漏洞,但事实上我们收到了四五十个漏洞。」
「我们会要求你负起你们的责任跟我们进行披露,如果说你这么做的话,我们会给你支付钱……如果你给我们汇报一个BUG,第二天放到博客上面,这也不会让我们给你付额外的钱。一般来说我想漏洞修补过程会花一到六个月时间。」
「首先进行合理的通知,我们知道一个BUG之前进行通知,如果通知之前就放到自己微博上,这就不是合理的通知。如果你跟我们进行了通报,但是几个星期之内我们也没有对你进行回复,那么你公开披露漏洞是没有问题。一般来说我们接收到你们通报,两个小时之内就会进行回应。」
「私底下信息披露,我们是希望你只向我们进行披露,当然我们要执行这一点是非常有限的。有的情况你可以通过第三方进行披露,比如说ZDI,如果你这么做我们不会给你钱,我们会提及你这个披露,但是不会给你钱。」
「我们付出多少钱呢?平均目前为止我们支付了4388978人民币,转换成70多万美元,所以我们也是确实付出大量的钱。」
「最近有这样一个问题,就是透明度的问题,有的人把一个漏洞发给我们,那么实际上他们是对现有问题一个重复汇报,我们就不会付钱,因为我们以前就知道了。这种情况下,有人就会说你们是骗人的,你怎么证明这是重复的漏洞呢?很显然我没法告诉你,我以前汇报报告了这个人的具体情况,在这种情况下,我会做出更多的努力,会告诉他,我知道你在这种情况下会非常沮丧,但是我再次向您保证这个漏洞确实已经有人报告过了。」
留言评论(旧系统):