專訪 HackerOne COO 王寧:尊重規則是漏洞平臺成功的秘訣,歡迎更多成人網站進駐 | 宅客
本文作者史中,雷鋒網主筆。關注網路安全,希望用簡單地語言解釋科技的一切。
HackerOne是美國著名的漏洞眾測公司,它最早開創了一種模式:彙集眾多的駭客,一起為企業找漏洞。
目前,全球致命的互聯網公司 Yahoo、Twitter、Adobe、Uber、facebook 等都會在 HackerOne 上發佈漏洞獎勵計畫,歡迎白帽子(致力於網路安全的駭客)們測試自己的網路安全。
HackerOne 的商業模式,在全世界得到了推廣,中國的眾多漏洞平臺也依靠這種方法吸引到了眾多喜愛網路安全技術的白帽子,為各大企業尋找安全性漏洞。
HackerOne 的 COO 王寧是一位旅美華人,她30年前於北大畢業,獲得李政道獎學金,並且攻讀了博客裡大學物理學博士。最近她來到中國參加漏洞平臺補天舉辦的白帽大會,雷鋒網宅客頻道採訪到了她,在她看來,漏洞平臺只要運行在明確的規則之下,就可以獲得眾多公司和白帽子的信任,從而快速發展。
【HackerOne COO 王寧】
以下是雷鋒網宅客頻道採訪整理:
1、聽說在 HackerOne 發展的早期階段,發現的漏洞並不受到企業重視,有關這個情況有怎樣的故事可以分享?
Michiel Prins 和 Jobert Abma 是我們四個聯合創始人中的兩個,他們都是駭客。他們是發小,從童年時代就一直是最好的朋友,高中的時候他們開始學習駭客技術。
在他們成立 HackerOne 之前,曾經開過一家安全諮詢公司。在運營這家諮詢公司時,他們產生一個想法:為什麼不能找一找矽谷百強科技公司的安全性漏洞呢?
他們覺得,如果可以向這些科技公司提交一些真正的漏洞,就可以從他們那裡得到一些安全諮詢業務。但是,實際情況有點坑爹:
這100家公司中有 1/3 的公司根本不理他們,另外 1/3 的人回答說“謝謝,我們不需要”,最後 1/3 的人回郵件說想和他們聊聊,有的甚至聘請他們。這家想雇傭他們的公司就是 Fackbook。
現在 HackerOne 的 CTO,也是另外一個聯合創始人 Alex Rice,當時是 Facebook 的產品安全團隊負責人。Alex 邀請 Michiel 和 Jobert 到 Facebook 見面聊聊,並聘請他們來做一個項目。這個經驗使 Michiel 和 Jobert 意識到:
建立一個平臺,使得白帽駭客更容易向企業公司提交安全性漏洞,這件事是有價值的。
在 Faceboo k首次會議一年後,Alex 離開了 Facebook,並與 Michiel 和 Jobert 合作創業,這就是HackerOne 成立的故事。
2、在中國存在這樣的情況:白帽子在對企業進行漏洞檢測的時候,沒有獲得完整授權,從而產生法律問題。在 HackerOne 的早期階段,遇到過這樣的問題嗎?
由於我們的創始團隊包括白帽子駭客(Michiel和Jobert)、安全專家(Alex)和有經驗的經理人(Merijn Terheggen),他們在很早的階段就設定了我們的平臺規則:
只有公司授權之後,白帽子才能尋找並且提交漏洞。
從成立的早期,我們的團隊就一直建議公司制定明確的漏洞獎勵計畫,明確尋找漏洞的範圍,還有披露政策和將近支付方法。 所以,我們的平臺並沒有遇到駭客和公司產生糾紛的情況。
3、
在漏洞價格方面,是否存在公司和白帽子對同一個漏洞的價值判斷非常不同的情況?遇到這種情況,作為平臺如何妥協做到各方都滿意?
駭客和客戶之間有時候會有一些誤解。
一般情況下,是因為漏洞鼓勵計畫沒有寫得很明確,因此白帽駭客誤解了一些測試規則或賞金準則或披露政策。
當這種情況發生時,可以在我們平臺上申請“調解”。我們的安全專家和客戶經理就會介入,詳細審查情況,並和駭客和公司的安全團隊一起討論,尋找最佳解決方案。
例如,有一次駭客發現了一個嚴重漏洞,一般情況下這樣的漏洞可以獲得豐厚的獎金。然而,客戶卻不願意付出高額獎金。這個駭客非常失望,於是讓我們介入協調。我們發現客戶不願意付高額獎金的原因是:這個漏洞屬於它的協力廠商行銷網站,他們覺得這個網站不應該在獎勵範圍之內。
但是,在企業一開始提交給我們的漏洞獎勵計畫中,並沒有明確說明行銷網站不符合獎勵條件。所以我們建議企業修改計畫頁面,避免這種扯皮的事件發生。最後我們又建議企業給駭客另外支付一些小額獎金。
這件事情就這樣相對友好地解決了。
4、對於 HackerOne 上很多政府和官方服務的漏洞,提交方式是否會和商業公司有所不同?對於挖漏洞的白帽子來說有什麼需要特別注意的地方?
在 HackerOne的平臺上,所有的漏洞獎勵計畫都從前面說到的漏洞獎勵計畫頁面的起草開始。這個頁面包括了所有詳細的規則。這一點上來說,政府機構和所有的公司是一樣的。
但是如果你為政府機構或者大型公司尋找漏洞,建議你得仔細讀一下漏洞獎勵計畫頁面,甚至你可能還得閱讀一下這些組織的法律部門的規定。這樣才能保證你在尋找漏洞的過程中能得到最好的效果。
舉例來說,我們平臺上有一個項目:黑掉五角大樓。
這個項目只有美國公民才能才與,如果想獲得獎金,駭客還要接受背景調查。
總之,無論是政府機構還是大公司,清楚界定範圍和規則是非常重要的,只要駭客們清楚地明白了參與的規則,就不會出現問題。
5、漏洞保密和漏洞公開一直是一個矛盾,對於某些不重視自身漏洞的企業,也許最終公開是最好的方法。是否存在企業對於 HackerOne 漏洞公開政策不滿意的情況?這種情況如何被解決?
披露政策其實非常重要。在 HackerOne,我們面對漏洞披露時特別小心。
我們平臺上有一個披露指南,一般情況下,企業和駭客都按照這個來進行。但每個獨立的獎勵計畫都可以確定自己的披露政策,如果與我們的披露建議相衝突,會議客戶的披露政策為准。我們很鼓勵駭客和公司披露已經修復的漏洞,這樣其他人就可以避免在未來產生類似的漏洞。
但我們也理解,有些企業不想透露任何漏洞資訊。
所以對於漏洞披露,最終的發言權還是在企業。無論公司是不是重視它們自身的安全,我們都絕不會私自披露別人的漏洞。
這一點在我們看來是非常重要的。
6、眾測的漏洞檢測模式越來越受到追捧,在 HackerOne 發展的過程中,有沒有傳統安全測試公司和你們產生過衝突,最終又是如何解決的呢?
我之前說到,在建立HackerOne之前,我們的兩個聯合創始人有一家安全諮詢公司。他們的公司做了許多不同類型的諮詢項目。實際上,HackerOne 與傳統的安全測試服務並沒有太多的衝突。
相反,在 HackerOne 的早期,當我們的客戶需要安全測試時,我們會把需求轉交給了一些傳統的安全諮詢公司。自2016年以來,我們自己也有了安全測試服務。當然如果客戶喜歡自己尋找安全測試服務商,我們也沒有問題,不會強求。
我們只是告訴我們的客戶,我們同樣提供全面的安全測試服務,這也有助於漏洞獎勵計畫的實施。
7、現在 HackerOne 已經和 Uber、Twitter 等大公司建立了良好的關係,請問 HackerOne 如何一步步建立起和大公司的信任關係?
HackerOne 由駭客和安全專家組成。 這確保了當我們提供平臺服務的時候,能夠站在公司和駭客的平衡點。
這種中立的觀點使得我們獲得了社區中的駭客和客戶的信任。我們覺得駭客的成功可以客戶受益。所以我們精心設計了平臺上的許多功能和工作流程,並且經常聽取駭客和客戶的改進建議,讓他們都可以信任我們。
例如我之前說到的“調解”功能,就是我們的客戶企業 Uber 和駭客一起貢獻的。
8、眾測模式是由 HackerOne 開創的,這種模式有沒有被競爭者迅速複製? HackerOne 是如何應對這種競爭的?
Google,微軟和Facebook開創了“漏洞賞金計畫”。 我們的聯合創始人受到這些計畫的啟發,發明了眾測平臺模式。
自從我們建立 HackerOne 以來,全球有很多公司複製了我們的平臺功能和業務模式,包括中國。
對於我們來說,為了保持發展,就必須更快創新,保持領先。今天這個時代,靠防守是不可能守住自己的優勢的。我很欣賞亞馬遜的 AWS,你看他們創新的速度有多快。正是依靠創新,他們才能一直領先對手,佔據市場份額。
9、作為熟悉中國和美國文化的人,你認為中美兩國在漏洞文化上有什麼差異?
所有公司和組織對他們的安全性漏洞都非常敏感,例如:誰可以查看這些漏洞,如何公開披露漏洞。 中國和美國的公司和組織在這個問題上的敏感性非常相似。
我所看到的不同之處在於:
在美國,許多公司都很樂意在漏洞平臺上公佈漏洞獎勵計畫,他們覺得這對公司的美譽度來說是一件好事。大多數美國公司不會單獨審查每個駭客的背景。
在中國,似乎大多數漏洞計畫都是“暗箱操作”的,每個駭客在參與漏洞計畫之前都需要被公司單獨審查背景。
所以在我看來,在中國運行的漏洞獎賞計畫似乎標準更嚴格。
10、聽說很多知名的色☆禁☆情網站都和 HackerOne 有合作,請問和色☆禁☆情網站合作的過程中,有什麼有趣的故事?例如 Pornhub ,他們對於安全有什麼獨特的訴求嗎?
成人視頻行業是一個很大的行業,它們會產生巨大的互聯網流量。 在成人網站 Pornhub 宣佈他們的漏洞獎勵計畫的當天,給我們的網站也帶來了巨大的流量,這是我們網站流量最高的一天!
但是他們的漏洞獎勵計畫和我們平臺上的其他計畫一樣,沒有任何特殊要求。我覺得 Pornhub 在我們的平臺上的漏洞獎勵計畫運行很順利,我希望有更多像 Pornhub 一樣的企業來 HackerOne 發佈他們的漏洞計畫。
本文由雷鋒網宅客頻道首發,更多網路安全內容歡迎關注公眾號:宅客頻道。