Cybernews(一家境外科技媒体)与HackerOne(国外最大的漏洞平台)谈论了黑客的力量。这是采访对话的精简内容。
仅去年一年,黑客就通过HackerOne平台报告了超过 66,000 个漏洞,比一年前增加了 20%。
有些事情已经变得更好了。一方面,善意的黑客不再是恶棍——许多公司为了保护企业和客户而接受他们的帮助。
Cybernews 与 HackerOne 的解决方案架构师 Dane Sherrets 坐下来讨论这些年来发生了什么变化,以及您是否可以在漏洞赏金活动中赚取数百万美元。
- HackerOne 帮助客户发现并修复了近 230,000 个漏洞;
- 向黑客支付了超过 2 亿美元的赏金;
- 过去一年向黑客提供了超过 4000 万美元的赏金;
- 21 名黑客收入超过 100 万美元。
HackerOne 是十年前创建的,目的是让互联网成为一个更安全。然而,互联网并不安全。但对白帽黑客的态度似乎正在发生转变。你看到这种转变了吗?
十、二十年前,如果你是一名黑客并发现了一个漏洞,你和你发现该漏洞的组织之间可能会出现一些紧张关系。你可能没有直接的途径来报告它。
在法律上和文化上,很多事情都发生了变化。司法部更改了关于指控违反《计算机欺诈和滥用法》的指导。在英国也有一个非常类似的《网络滥用法案》。还有网络安全和基础设施安全局 (CISA) 等组织,以及 [拜登] 政府的一些行政命令,鼓励组织建立漏洞披露计划或漏洞赏金计划。
组织看到了与安全研究人员社区建立良好关系的好处,并认识到当发现下一个Log4j漏洞时,他们希望与社区建立良好关系以帮助保护资产。
与许多知名企业合作——Coinbase、Toyota、PayPal、Twitter 和 Google 等等。很难向一些公司解释与白帽建立关系的好处吗?您是主动寻找客户,还是他们来找您?
我们经常有人来找我们说,是的,我们有研究人员联系我们,我们希望有一个安全、彻底的过程来处理这些漏洞。十年前,甚至五年前,这些对话可能要困难得多。现在,您想与黑客社区互动,而安全性是政府和最终用户最关心的问题。
公司加入Hackerone或启动漏洞赏金计划是否有任何标准?我知道如果公司有太多漏洞,不建议有漏洞赏金计划。
漏洞赏金计划并不是解决所有安全问题的灵丹妙药。这是安全的一部分。你应该对你的代码进行静态和动态测试,你肯定需要一种方法来接收其中一个[漏洞报告]。
无论您是否想要它们,这些漏洞都存在,因此您需要有某种获得过程。漏洞赏金计划就是其中的一部分。我认为,很多时候,围绕 HackerOne 的讨论都集中在漏洞赏金上,但我们也做了很多其他事情来帮助组织缩小他们的攻击阻力差距。
除了提供漏洞赏金之外,我们还关注我们的研究人员和客户并提供渗透测试。这是一个与我们的黑客社区互动的机会。
有时会发现新的0day漏洞,但通常会利用已知和公开报告的漏洞。我们在MS Exchange Servers和Log4j库中看到了这一点。您是否对此类事件做出反应——像 Log4j 这样的重大漏洞发现?
当 Log4j 发生时,我在 HackerOne,看到我们如何与客户和黑客合作以 [缓解] 疯狂的 10.0分漏洞,真是太棒了。
我们最近进行了一项调查,结果表明三分之一的组织看到不到 75% 的攻击面。我们帮助找到了可能受此漏洞影响的资产,我们的研究人员能够快速找到组织可能已部署的补丁程序的绕过途径。
研究人员可以通过说嘿,我找到了这种方式来增加更多价值,我添加了这个额外的引号并绕过了那个补丁,这是我们可以解决这个问题的另一种方式。
黑客社区呢?您是否对他们进行了审查,以确保他们在法律范围内并以合乎道德的方式这样做?
当您注册 HackerOne 时,即表示您签署了服务条款,您同意不与负责任的披露开玩笑。任何人都可以注册,但这只能让您访问公共程序。
黑客可以进行额外的审查。我们有一个清晰的计划,所以如果你符合某些标准和资格并通过背景调查,你可以申请成为一个清晰的研究员。这是您在个人资料上获得的复选标记,以及您在 Twitter 上获得验证的方式,这将使您能够访问其他私人程序。
一些客户可能更喜欢这种类型的研究人员。一旦进入 HackerOne 平台,您就会被激励以合乎道德的方式行事并发现高质量的漏洞。我们有不同的指标,例如影响力和声誉。您发现的漏洞质量越高,严重性越高,您的指标就会增加,您会收到更多私人邀请。
你是否以其他方式支持黑客?你教育他们吗?
在 Hacker101 上,我们提供了易受攻击的应用程序的游戏化版本,您可以尝试找到漏洞并捕获标记。您可以通过利用此应用程序中的不同漏洞来捕获这些标志。这是学习一些标准类型的漏洞的好方法,我在寻找漏洞赏金时可能会看到。
我们还有一个完整的团队致力于教授黑客并帮助他们入门。许多黑客也这样做[教学],只是为了公共利益。他们制作 YouTube 视频,我们邀请他们参加现场黑客活动,以便他们制作一些关于现场黑客的视频。
黑客可以通过 HackerOne 平台谋生吗?对于某些人来说,这是一份全职工作还是只是一种爱好?
两个都有。至少有 21 名黑客已经过百万美元。有人说这是他们的工作——他们早上醒来,从漏洞赏金中赚钱。
有人醒来说,我想做一个 HackerOne 渗透测试,周末我会做一个 bug 赏金。
对有些人来说,HackerOne 只是一个漏洞赏金空间,也有些人,这是较大的群体之一,也就是说,我有这份安全工程工作,我喜欢它,我喜欢稳定的薪水,但我想要在周末寻找漏洞。这是一个赚取额外收入的有趣机会。
这也是一个很好的学习和职业发展机会。如果您对换工作感兴趣,您可以建立一个可以与潜在雇主分享的个人资料。
有些人喜欢做不那么赚钱的事情。他们喜欢帮助政府保护他们的资产,并以安全的方式入侵非常有趣的组织。它在智力上非常刺激。
如若转载,请注明出处:https://www.hanjifoods.com/16812.html