美國國防部前不久在Hackone開展了第一次政府級別的安全眾測,并且得到了很好的響應(yīng)。在眾測項目開展六個小時后,美國國防部就收到兩百多個安全漏洞。然而讓我們震驚的是這次參加計劃的黑客里面有一名18歲的高中生。
David Dworken
實際上早在美國國防部開展這個機會之前,其它的大公司早有自己的漏洞獎勵計劃,比如Google,F(xiàn)aceBook等。這個漏洞計劃不僅讓白帽子可以為自己的努力賺取到賞金,同時也能夠滿足他們滲透測試的好奇心。在這次眾測之后,美國國防部考慮在其它漏洞平臺上也開展相關(guān)的眾測服務(wù),并且向美國的大型企業(yè)學(xué)習(xí)相關(guān)的經(jīng)驗和知識。
18歲的白帽騷年入選
這個眾測項目吸引了很多的黑客,自然也包括David Dworken。但是他有些與眾不同,他只有18歲。更奇葩的是他參加者眾測項目只是為了得到免費的體恤。在采訪時他說道:“我花費了大概20個小時在這個眾測項目上,因為他們提供的衣服實在是太炫酷了。”
在高中時期,David在Hackone眾測平臺上注冊了一個賬號,并且挖到很多公司的漏洞,比如Netflix。David說道:“那個漏洞能夠讓我在它的服務(wù)器上創(chuàng)建任何文件,幻想一下,如果我創(chuàng)建了一個虛假的Netflix登陸頁面,并且也是用Netflix的URL,那么我就可以盜取到很多人的Netflix賬戶。當(dāng)然Netflix的工程師也很給力,很快就把這個漏洞給修復(fù)了。”
隨著時間的推移,David也獲得了越多的安全檢測經(jīng)驗。于是他開始慢慢的查找一些更大廠商的漏洞。David還從Uber那里獲得過八千美元的漏洞獎勵。他如此說道:“說實話,眾測計劃是在是太神奇了,黑別人還有錢拿。但是我做這些只是感覺好玩罷了,并且我的所作所為是正確的。”
這樣的日子直到有一天,他報名參加了美國政府組織的眾測項目—“攻陷五角大樓”。美國國家公共廣播電臺通知他需要離開學(xué)校與他的父親一同前往美國五角大樓。美國政府展開這個眾測項目的時候就有一個要求,就是參賽人員必須是美國本土居民,并且在報名后會被進行國土安全檢測。雖然David有很多挖掘漏洞的經(jīng)驗,但是年齡太小,美國政府部門只希望這個項目能夠?qū)λM行一些鍛煉。他說道:“這個是在是太讓人震驚了,我沒想到美國政府這邊會選到我!”
同時還有一個非常有趣的事情發(fā)生了。由于他的選修考試時間和參賽時間重疊了,所以他必須快速的對漏洞進行挖掘。最終結(jié)果是,在前面12個小時內(nèi),他挖掘到了五個漏洞,然后趕回學(xué)校參加考試去了。David:“你知道的,Hackone上面的檢測項目都是有檢測范圍的,這次的政府眾測項目也是一樣。但是他們的系統(tǒng)上有一些漏洞屬于檢測范圍外的,如果他們要讓這些系統(tǒng)足夠安全,他們需要一個專業(yè)的安全小組或者足夠完善的眾測。”
“攻陷”五角大樓計劃
在檢測中,他挖到幾個美國國防部網(wǎng)站的高危漏洞,從項目中脫穎而出。他如此說道:“實際上,能夠以這種方式服務(wù)我的國家我還是很高興的。實際上很多黑客非常愿意幫助他人,并不是為了金錢,而是就是自身的精神享受。”
美國政府為了這個眾測項目花費了大約15萬美金,然而David說道:“好吧,雖然錢有些多,但是要知道如果你選擇以常規(guī)的安全公司來檢測漏洞,那么費用可能在百萬美金左右,而且效果還沒眾測理想。”實際上早在三年前,美國國防部就花費了五百萬美元檢測漏洞,結(jié)果連十個漏洞都沒找到。
這次“攻陷五角大樓”眾測項目,有1400人參與,其中250個白帽子為其提交漏洞,138個白帽子獲得獎金。最高危的一個漏洞得到了3500美元的獎勵,平均每個漏洞的獎勵在588美元,最厲害的一個白帽子得到了1.5萬美元的獎勵。
或許是由于時間關(guān)系,David提交的漏洞與其它黑客提交的漏洞“撞洞”了(指示某個人提交的漏洞與他人提交的相同),所以他并沒有獲得現(xiàn)金獎勵,這里很是遺憾。但是他得到了非常寶貴的漏洞挖掘經(jīng)驗。今年的秋天,他即將前往波士頓東北大學(xué)深造網(wǎng)絡(luò)安全學(xué)。
美國政府和企業(yè)都非常贊賞眾測項目,并且都是授權(quán)檢測和有著非常規(guī)范的檢測范圍。反觀國內(nèi)的,雖然目前國內(nèi)安全市場比以前有較大的積極反應(yīng),但是普遍還存在一個未授權(quán)檢測,檢測范圍不清楚,等問題。在美國有著一套PTES(滲透測試標(biāo)準(zhǔn)),并且目前打算做PTES 2.0了,而國內(nèi)連一個基礎(chǔ)的PTES都沒有。我不由得想起前段時間世紀(jì)佳緣和那位白帽子的糾紛。實際上這個誰的錯都不是,而是目前,中國的安全檢測還沒形成授權(quán)化,合法化和規(guī)范化所導(dǎo)致的。