2017-04-16
美国国防部前不久在Hackone开展了第一次政府级别的安全众测,并且得到了很好的响应。在众测项目开展六个小时后,美国国防部就收到两百多个安全漏洞。然而让我们震惊的是这次参加计划的黑客里面有一名18岁的高中生。
实际上早在美国国防部开展这个机会之前,其它的大公司早有自己的漏洞奖励计划,比如Google,FaceBook等。这个漏洞计划不仅让白帽子可以为自己的努力赚取到赏金,同时也能够满足他们渗透测试的好奇心。
在这次众测之后,美国国防部考虑在其它漏洞平台上也开展相关的众测服务,并且向美国的大型企业学习相关的经验和知识。
18岁的白帽骚年入选
这个众测项目吸引了很多的黑客,自然也包括David Dworken。但是他有些与众不同,他只有18岁。更奇葩的是他参加者众测项目只是为了得到免费的体恤。在采访时他说道:“我花费了大概20个小时在这个众测项目上,因为他们提供的衣服实在是太炫酷了。”
在高中时期,David在Hackone众测平台上注册了一个账号,并且挖到很多公司的漏洞,比如Netflix。
David说道:“那个漏洞能够让我在它的服务器上创建任何文件,幻想一下,如果我创建了一个虚假的Netflix登陆页面,并且也是用Netflix的URL,那么我就可以盗取到很多人的Netflix账户。当然Netflix的工程师也很给力,很快就把这个漏洞给修复了。”
随着时间的推移,David也获得了越多的安全检测经验。于是他开始慢慢的查找一些更大厂商的漏洞。David还从Uber那里获得过八千美元的漏洞奖励。他如此说道:“说实话,众测计划是在是太神奇了,黑别人还有钱拿。但是我做这些只是感觉好玩罢了,并且我的所作所为是正确的。”
这样的日子直到有一天,他报名参加了美国政府组织的众测项目—“攻陷五角大楼”。美国国家公共广播电台通知他需要离开学校与他的父亲一同前往美国五角大楼。美国政府展开这个众测项目的时候就有一个要求,就是参赛人员必须是美国本土居民,并且在报名后会被进行国土安全检测。
虽然David有很多挖掘漏洞的经验,但是年龄太小,美国政府部门只希望这个项目能够对他进行一些锻炼。他说道:“这个是在是太让人震惊了,我没想到美国政府这边会选到我!”
同时还有一个非常有趣的事情发生了。由于他的选修考试时间和参赛时间重叠了,所以他必须快速的对漏洞进行挖掘。最终结果是,在前面12个小时内,他挖掘到了五个漏洞,然后赶回学校参加考试去了。
David:“你知道的,Hackone上面的检测项目都是有检测范围的,这次的政府众测项目也是一样。但是他们的系统上有一些漏洞属于检测范围外的,如果他们要让这些系统足够安全,他们需要一个专业的安全小组或者足够完善的众测。”
“攻陷”五角大楼计划
在检测中,他挖到几个美国国防部网站的高危漏洞,从项目中脱颖而出。他如此说道:“实际上,能够以这种方式服务我的国家我还是很高兴的。实际上很多黑客非常愿意帮助他人,并不是为了金钱,而是就是自身的精神享受。”
美国政府为了这个众测项目花费了大约15万美金,然而David说道:“好吧,虽然钱有些多,但是要知道如果你选择以常规的安全公司来检测漏洞,那么费用可能在百万美金左右,而且效果还没众测理想。”实际上早在三年前,美国国防部就花费了五百万美元检测漏洞,结果连十个漏洞都没找到。
这次“攻陷五角大楼”众测项目,有1400人参与,其中250个白帽子为其提交漏洞,138个白帽子获得奖金。最高危的一个漏洞得到了3500美元的奖励,平均每个漏洞的奖励在588美元,最厉害的一个白帽子得到了1.5万美元的奖励。
或许是由于时间关系,David提交的漏洞与其它黑客提交的漏洞“撞洞”了(指示某个人提交的漏洞与他人提交的相同),所以他并没有获得现金奖励,这里很是遗憾。但是他得到了非常宝贵的漏洞挖掘经验。今年的秋天,他即将前往波士顿东北大学深造网络安全学。
美国政府和企业都非常赞赏众测项目,并且都是授权检测和有着非常规范的检测范围。反观国内的,虽然目前国内安全市场比以前有较大的积极反应,但是普遍还存在一个未授权检测,检测范围不清楚,等问题。
在美国有着一套PTES(渗透测试标准),并且目前打算做PTES 2.0了,而国内连一个基础的PTES都没有。我不由得想起前段时间世纪佳缘和那位白帽子的纠纷。实际上这个谁的错都不是,而是目前,中国的安全检测还没形成授权化,合法化和规范化所导致的。