美國(guó)國(guó)防部前不久在Hackone開展了第一次政府級(jí)別的安全眾測(cè),并且得到了很好的響應(yīng)���。在眾測(cè)項(xiàng)目開展六個(gè)小時(shí)后�����,美國(guó)國(guó)防部就收到兩百多個(gè)安全漏洞�。然而讓我們震驚的是這次參加計(jì)劃的黑客里面有一名18歲的高中生�。
實(shí)際上早在美國(guó)國(guó)防部開展這個(gè)機(jī)會(huì)之前,其它的大公司早有自己的漏洞獎(jiǎng)勵(lì)計(jì)劃���,比如Google����,F(xiàn)aceBook等��。這個(gè)漏洞計(jì)劃不僅讓白帽子可以為自己的努力賺取到賞金�����,同時(shí)也能夠滿足他們滲透測(cè)試的好奇心。
在這次眾測(cè)之后���,美國(guó)國(guó)防部考慮在其它漏洞平臺(tái)上也開展相關(guān)的眾測(cè)服務(wù)����,并且向美國(guó)的大型企業(yè)學(xué)習(xí)相關(guān)的經(jīng)驗(yàn)和知識(shí)�。
18歲的白帽騷年入選
這個(gè)眾測(cè)項(xiàng)目吸引了很多的黑客,自然也包括David Dworken����。但是他有些與眾不同����,他只有18歲。更奇葩的是他參加者眾測(cè)項(xiàng)目只是為了得到免費(fèi)的體恤���。在采訪時(shí)他說(shuō)道:“我花費(fèi)了大概20個(gè)小時(shí)在這個(gè)眾測(cè)項(xiàng)目上��,因?yàn)樗麄兲峁┑囊路?shí)在是太炫酷了�����?!?
在高中時(shí)期,David在Hackone眾測(cè)平臺(tái)上注冊(cè)了一個(gè)賬號(hào)����,并且挖到很多公司的漏洞,比如Netflix�。
David說(shuō)道:“那個(gè)漏洞能夠讓我在它的服務(wù)器上創(chuàng)建任何文件,幻想一下�,如果我創(chuàng)建了一個(gè)虛假的Netflix登陸頁(yè)面,并且也是用Netflix的URL�,那么我就可以盜取到很多人的Netflix賬戶。當(dāng)然Netflix的工程師也很給力�����,很快就把這個(gè)漏洞給修復(fù)了�����?���!?
隨著時(shí)間的推移,David也獲得了越多的安全檢測(cè)經(jīng)驗(yàn)����。于是他開始慢慢的查找一些更大廠商的漏洞�����。David還從Uber那里獲得過八千美元的漏洞獎(jiǎng)勵(lì)����。他如此說(shuō)道:“說(shuō)實(shí)話����,眾測(cè)計(jì)劃是在是太神奇了,黑別人還有錢拿�。但是我做這些只是感覺好玩罷了,并且我的所作所為是正確的����?����!?
這樣的日子直到有一天��,他報(bào)名參加了美國(guó)政府組織的眾測(cè)項(xiàng)目—“攻陷五角大樓”�����。美國(guó)國(guó)家公共廣播電臺(tái)通知他需要離開學(xué)校與他的父親一同前往美國(guó)五角大樓。美國(guó)政府展開這個(gè)眾測(cè)項(xiàng)目的時(shí)候就有一個(gè)要求����,就是參賽人員必須是美國(guó)本土居民,并且在報(bào)名后會(huì)被進(jìn)行國(guó)土安全檢測(cè)�����。
雖然David有很多挖掘漏洞的經(jīng)驗(yàn)���,但是年齡太小�,美國(guó)政府部門只希望這個(gè)項(xiàng)目能夠?qū)λM(jìn)行一些鍛煉���。他說(shuō)道:“這個(gè)是在是太讓人震驚了��,我沒想到美國(guó)政府這邊會(huì)選到我����!”
同時(shí)還有一個(gè)非常有趣的事情發(fā)生了�。由于他的選修考試時(shí)間和參賽時(shí)間重疊了,所以他必須快速的對(duì)漏洞進(jìn)行挖掘�����。最終結(jié)果是,在前面12個(gè)小時(shí)內(nèi)���,他挖掘到了五個(gè)漏洞����,然后趕回學(xué)校參加考試去了��。
David:“你知道的�����,Hackone上面的檢測(cè)項(xiàng)目都是有檢測(cè)范圍的�����,這次的政府眾測(cè)項(xiàng)目也是一樣��。但是他們的系統(tǒng)上有一些漏洞屬于檢測(cè)范圍外的�����,如果他們要讓這些系統(tǒng)足夠安全����,他們需要一個(gè)專業(yè)的安全小組或者足夠完善的眾測(cè)?����!?
“攻陷”五角大樓計(jì)劃
在檢測(cè)中�����,他挖到幾個(gè)美國(guó)國(guó)防部網(wǎng)站的高危漏洞����,從項(xiàng)目中脫穎而出。他如此說(shuō)道:“實(shí)際上��,能夠以這種方式服務(wù)我的國(guó)家我還是很高興的�����。實(shí)際上很多黑客非常愿意幫助他人�,并不是為了金錢,而是就是自身的精神享受�����。”
美國(guó)政府為了這個(gè)眾測(cè)項(xiàng)目花費(fèi)了大約15萬(wàn)美金���,然而David說(shuō)道:“好吧���,雖然錢有些多,但是要知道如果你選擇以常規(guī)的安全公司來(lái)檢測(cè)漏洞�,那么費(fèi)用可能在百萬(wàn)美金左右,而且效果還沒眾測(cè)理想�����?�!睂?shí)際上早在三年前�,美國(guó)國(guó)防部就花費(fèi)了五百萬(wàn)美元檢測(cè)漏洞,結(jié)果連十個(gè)漏洞都沒找到��。
這次“攻陷五角大樓”眾測(cè)項(xiàng)目��,有1400人參與��,其中250個(gè)白帽子為其提交漏洞��,138個(gè)白帽子獲得獎(jiǎng)金。最高危的一個(gè)漏洞得到了3500美元的獎(jiǎng)勵(lì)����,平均每個(gè)漏洞的獎(jiǎng)勵(lì)在588美元�����,最厲害的一個(gè)白帽子得到了1.5萬(wàn)美元的獎(jiǎng)勵(lì)��。
或許是由于時(shí)間關(guān)系����,David提交的漏洞與其它黑客提交的漏洞“撞洞”了(指示某個(gè)人提交的漏洞與他人提交的相同),所以他并沒有獲得現(xiàn)金獎(jiǎng)勵(lì)���,這里很是遺憾�����。但是他得到了非常寶貴的漏洞挖掘經(jīng)驗(yàn)�����。今年的秋天����,他即將前往波士頓東北大學(xué)深造網(wǎng)絡(luò)安全學(xué)。
美國(guó)政府和企業(yè)都非常贊賞眾測(cè)項(xiàng)目����,并且都是授權(quán)檢測(cè)和有著非常規(guī)范的檢測(cè)范圍。反觀國(guó)內(nèi)的�����,雖然目前國(guó)內(nèi)安全市場(chǎng)比以前有較大的積極反應(yīng)�,但是普遍還存在一個(gè)未授權(quán)檢測(cè),檢測(cè)范圍不清楚����,等問題。
在美國(guó)有著一套PTES(滲透測(cè)試標(biāo)準(zhǔn))���,并且目前打算做PTES 2.0了�,而國(guó)內(nèi)連一個(gè)基礎(chǔ)的PTES都沒有�。我不由得想起前段時(shí)間世紀(jì)佳緣和那位白帽子的糾紛。實(shí)際上這個(gè)誰(shuí)的錯(cuò)都不是����,而是目前���,中國(guó)的安全檢測(cè)還沒形成授權(quán)化,合法化和規(guī)范化所導(dǎo)致的�。
