专访 HackerOne COO 王宁:尊重规则是漏洞平台成功的秘诀,欢迎更多成人网站进驻 | 宅客
本文作者史中,小编()主笔。关注网络安全,希望用简单地语言解释科技的一切。 HackerOne是美国著名的漏洞众测公司,它最早开创了一种模式:汇集众多的黑客,一起为企业找漏洞。 目前,全球致命的互联网公司 Yahoo、Twitter、Adobe、Uber、facebook 等都会在 HackerOne 上发布漏洞奖励计划,欢迎白帽子(致力于网络安全的黑客)们测试自己的网络安全。 HackerOne 的商业模式,在全世界得到了推广,中国的众多漏洞平台也依靠这种方法吸引到了众多喜爱网络安全技术的白帽子,为各大企业寻找安全漏洞。 HackerOne 的 COO 王宁是一位旅美华人,她30年前于北大毕业,获得李政道奖学金,并且攻读了博客里大学物理学博士。最近她来到中国参加漏洞平台补天举办的白帽大会,我们采访到了她,在她看来,漏洞平台只要运行在明确的规则之下,就可以获得众多公司和白帽子的信任,从而快速发展。 【HackerOne COO 王宁】 以下是我们采访整理: 1、听说在HackerOne 发展的早期阶段,发现的漏洞并不受到企业重视,有关这个情况有怎样的故事可以分享?Michiel Prins 和 Jobert Abma 是我们四个联合创始人中的两个,他们都是黑客。他们是发小,从童年时代就一直是最好的朋友,高中的时候他们开始学习黑客技术。 在他们成立 HackerOne 之前,曾经开过一家安全咨询公司。在运营这家咨询公司时,他们产生一个想法:为什么不能找一找硅谷百强科技公司的安全漏洞呢? 他们觉得,如果可以向这些科技公司提交一些真正的漏洞,就可以从他们那里得到一些安全咨询业务。但是,实际情况有点坑爹: 这100家公司中有 1/3 的公司根本不理他们,另外 1/3 的人回答说“谢谢,我们不需要”,最后 1/3 的人回邮件说想和他们聊聊,有的甚至聘请他们。这家想雇佣他们的公司就是 Fackbook。 现在 HackerOne 的 CTO,也是另外一个联合创始人 Alex Rice,当时是 Facebook 的产品安全团队负责人。Alex 邀请 Michiel 和 Jobert 到 Facebook 见面聊聊,并聘请他们来做一个项目。这个经验使 Michiel 和 Jobert 意识到: 建立一个平台,使得白帽黑客更容易向企业公司提交安全漏洞,这件事是有价值的。 在 Faceboo k首次会议一年后,Alex 离开了 Facebook,并与 Michiel 和 Jobert 合作创业,这就是HackerOne 成立的故事。 2、在中国存在这样的情况:白帽子在对企业进行漏洞检测的时候,没有获得完整授权,从而产生法律问题。在HackerOne 的早期阶段,遇到过这样的问题吗?由于我们的创始团队包括白帽子黑客(Michiel和Jobert)、安全专家(Alex)和有经验的经理人(Merijn Terheggen),他们在很早的阶段就设定了我们的平台规则: 只有公司授权之后,白帽子才能寻找并且提交漏洞。 从成立的早期,我们的团队就一直建议公司制定明确的漏洞奖励计划,明确寻找漏洞的范围,还有披露政策和将近支付方法。 所以,我们的平台并没有遇到黑客和公司产生纠纷的情况。 3、在漏洞价格方面,是否存在公司和白帽子对同一个漏洞的价值判断非常不同的情况?遇到这种情况,作为平台如何妥协做到各方都满意?黑客和客户之间有时候会有一些误解。 一般情况下,是因为漏洞鼓励计划没有写得很明确,因此白帽黑客误解了一些测试规则或赏金准则或披露政策。 当这种情况发生时,可以在我们平台上申请“调解”。我们的安全专家和客户经理就会介入,详细审查情况,并和黑客和公司的安全团队一起讨论,寻找最佳解决方案。 例如,有一次黑客发现了一个严重漏洞,一般情况下这样的漏洞可以获得丰厚的奖金。然而,客户却不愿意付出高额奖金。这个黑客非常失望,于是让我们介入协调。我们发现客户不愿意付高额奖金的原因是:这个漏洞属于它的第三方营销网站,他们觉得这个网站不应该在奖励范围之内。 但是,在企业一开始提交给我们的漏洞奖励计划中,并没有明确说明营销网站不符合奖励条件。所以我们建议企业修改计划页面,避免这种扯皮的事件发生。最后我们又建议企业给黑客另外支付一些小额奖金。 这件事情就这样相对友好地解决了。 4、对于 HackerOne 上很多政府和官方服务的漏洞,提交方式是否会和商业公司有所不同?对于挖漏洞的白帽子来说有什么需要特别注意的地方?在 HackerOne的平台上,所有的漏洞奖励计划都从前面说到的漏洞奖励计划页面的起草开始。这个页面包括了所有详细的规则。这一点上来说,政府机构和所有的公司是一样的。 但是如果你为政府机构或者大型公司寻找漏洞,建议你得仔细读一下漏洞奖励计划页面,甚至你可能还得阅读一下这些组织的法律部门的规定。这样才能保证你在寻找漏洞的过程中能得到最好的效果。 举例来说,我们平台上有一个项目:黑掉五角大楼。 这个项目只有美国公民才能才与,如果想获得奖金,黑客还要接受背景调查。 总之,无论是政府机构还是大公司,清楚界定范围和规则是非常重要的,只要黑客们清楚地明白了参与的规则,就不会出现问题。 5、漏洞保密和漏洞公开一直是一个矛盾,对于某些不重视自身漏洞的企业,也许最终公开是最好的方法。是否存在企业对于 HackerOne 漏洞公开政策不满意的情况?这种情况如何被解决?披露政策其实非常重要。在 HackerOne,我们面对漏洞披露时特别小心。 我们平台上有一个披露指南,一般情况下,企业和黑客都按照这个来进行。但每个独立的奖励计划都可以确定自己的披露政策,如果与我们的披露建议相冲突,会议客户的披露政策为准。我们很鼓励黑客和公司披露已经修复的漏洞,这样其他人就可以避免在未来产生类似的漏洞。 但我们也理解,有些企业不想透露任何漏洞信息。 所以对于漏洞披露,最终的发言权还是在企业。无论公司是不是重视它们自身的安全,我们都绝不会私自披露别人的漏洞。 这一点在我们看来是非常重要的。 6、众测的漏洞检测模式越来越受到追捧,在 HackerOne 发展的过程中,有没有传统安全测试公司和你们产生过冲突,最终又是如何解决的呢?我之前说到,在建立HackerOne之前,我们的两个联合创始人有一家安全咨询公司。他们的公司做了许多不同类型的咨询项目。实际上,HackerOne 与传统的安全测试服务并没有太多的冲突。 (编辑:ASP站长网) |