信息時(shí)代的結(jié)局是,“軟件正在吞噬這個(gè)世界”。企業(yè)競(jìng)相推出數(shù)字代碼和服務(wù),而不以網(wǎng)絡(luò)安全為重,即便大家都知道必然會(huì)有安全問題和軟件缺陷。在理應(yīng)安全的組織都遭遇數(shù)據(jù)失竊和安全事故的時(shí)候,企業(yè)顯然需要它們能夠獲得的一切幫助。
令人意外的是,軟件巨頭現(xiàn)在鼓勵(lì)黑客對(duì)它們進(jìn)行攻擊。谷歌(Google)、微軟(Microsoft)和Facebook等公司自2010年以來一直在這么做——通過所謂的“漏洞獎(jiǎng)勵(lì)計(jì)劃”,或者叫“漏洞懸賞計(jì)劃”(bug bounty program)。貌似帶有美國(guó)“狂野西部”時(shí)代歷史回聲的是,公司向獨(dú)立的安全研究員提供一個(gè)機(jī)會(huì),讓他們通過找到關(guān)鍵的安全問題(可能讓我們?nèi)继幱陲L(fēng)險(xiǎn)之中的軟件漏洞)而贏得獎(jiǎng)金和認(rèn)可。
盡管2016年可能被稱作“黑客之年”,包括去年10月份美國(guó)發(fā)生的拒絕服務(wù)攻擊造成互聯(lián)網(wǎng)大面積癱瘓事件,但2017年可能是“友好黑客攻擊之年”。硅谷以外的傳統(tǒng)行業(yè)推出了更多的“漏洞懸賞計(jì)劃”。
萬事達(dá)(MasterCard)、強(qiáng)生(Johnson &Johnson)甚至五角大樓都邀請(qǐng)黑客與他們合作,測(cè)試系統(tǒng)漏洞。這些組織對(duì)發(fā)現(xiàn)漏洞的黑客給予獎(jiǎng)勵(lì),從而能夠從他們的發(fā)現(xiàn)總結(jié)收獲,堵住安全漏洞,甚至招聘到一流的網(wǎng)絡(luò)安全人才。
這解釋了領(lǐng)先公司為何愿意支付巨額賞金。為其他公司管理許多懸賞計(jì)劃的Bugcrowd表示,在過去幾年里,谷歌、Facebook、雅虎(Yahoo)、微軟和Mozilla為友好黑客支付了總計(jì)逾1300萬美元的賞金。
對(duì)報(bào)告漏洞給予獎(jiǎng)勵(lì)的想法并非什么新鮮事:1995年,網(wǎng)景(Netscape)曾為發(fā)現(xiàn)開拓性的Navigator 2.0網(wǎng)頁(yè)瀏覽器漏洞的用戶提供獎(jiǎng)勵(lì)?,F(xiàn)在,數(shù)以千計(jì)的守法黑客幫助數(shù)百家組織找到軟件漏洞,用眾人的力量讓我們大家更安全。獎(jiǎng)勵(lì)從T恤衫和100萬航空里程不等,蘋果公司(Apple)曾為某些發(fā)現(xiàn)提供20萬美元單筆賞金。
為發(fā)現(xiàn)漏洞提供獎(jiǎng)勵(lì)日益獲得廣泛認(rèn)可,因?yàn)樗麄兲峁┑囊嫣庍h(yuǎn)遠(yuǎn)超過了風(fēng)險(xiǎn):黑客們從未這么容易地合法向公司報(bào)告漏洞,并且不用違法就能獲得回報(bào)——不妨稱之為黑客版的“零工經(jīng)濟(jì)”。正如實(shí)證經(jīng)濟(jì)研究證明的那樣,這也是相關(guān)公司發(fā)現(xiàn)安全漏洞的經(jīng)濟(jì)方式。
一些最優(yōu)秀的漏洞獵手最終獲得了企業(yè)全職職位的錄用通知。這些黑客來自世界各地,由于所處位置、獲取高校教育的條件或者資金問題,本來永遠(yuǎn)得不到面試機(jī)會(huì),使公司錯(cuò)失他們的卓越天賦。
《伯克利技術(shù)法律雜志》(Berkeley Technology Law Journal)指出,企業(yè)還能獲得一個(gè)益處,那就是漏洞懸賞計(jì)劃可以成為一種企業(yè)治理的“最佳實(shí)踐”機(jī)制。實(shí)行此類計(jì)劃有助于董事們履行其“控管數(shù)字資產(chǎn)的責(zé)任”。
最后,你可能會(huì)問:犯罪分子會(huì)不會(huì)利用這些計(jì)劃呢?真相是,他們很少需要從事黑客活動(dòng)的動(dòng)機(jī)。他們已經(jīng)在大搞黑客活動(dòng),非法獲取巨額收益。這些計(jì)劃讓發(fā)現(xiàn)問題的個(gè)人做正確的事情,也讓公司有機(jī)會(huì)解決問題,同時(shí)讓報(bào)告問題的人獲得合法報(bào)酬和認(rèn)可。該過程代表著駕馭數(shù)以千計(jì)安全研究員力量的可行方式,他們正在幫助打造我們這個(gè)互聯(lián)互通時(shí)代亟需的“免疫系統(tǒng)”。這給了我希望。
本文作者是特拉維夫大學(xué)跨學(xué)科網(wǎng)絡(luò)研究中心(Tel Aviv University Interdisciplinary Cyber Research Centre)高級(jí)研究員,同時(shí)也是一名戰(zhàn)略分析師