1#转载这篇文章的初衷
就有很多人,想向我咨询关于国内和国外的各类漏洞平台的看法,笔者苦于没有时间整理,也感觉自己的实力还未达到可以对国内外漏洞平台评头论足的地步,便一直没有动笔。最近,笔者偶然间看到了一位前辈的文章,讲的真心不错,也是代表了我对这些漏洞平台的看法,所以我转载并整理一下给大家
2#文章
本篇文章转载于白帽前辈赵武的公众号
受邀参加补天七周年活动,当补天的现任掌门人跟我约饭提到这事的那一刻,我是诧异的,因为从补天出来之后的所有活动我都没参加,上一届的掌门人在我这次创业的初期也专门跑到公司邀请过我,我也婉拒了。不是我有多么自命清高,而是实在我也帮不上忙,除了大家认为我是最初的提出者带有的所谓情怀之外,其他都是平台的功劳,跟我无关,换句话说,当时哪怕不是我做,有另外一个人给老周老齐发个邮件,我相信在这个平台上都能做成。至于后来的所有成就跟我就更没关系了。
各种五味杂粮说不出的滋味,我刻意不去关注漏洞平台的事情,不管是后来原来的老领导怎么做我的工作,我再没主动讨论过这个话题。中间不可避免的有各种投资人会问到,如何点评补天漏洞盒子漏洞银行之类的,我都会偏向于拒绝点评。甚至某个投资方的合伙人一定要把我这次创业跟其他的漏洞平台进行“强行对比”,我表示无法点评,最后他们投资了某个漏洞平台,我也衷心地祝愿,终归投资了安全行业,这是好事。
我相信很多人已经或多或少听说过关各类漏洞平台,无论是早期的乌云,后来的补天,已经再后来的漏洞盒子之类的,这些通常未必是主动关注,而是收到了来自监管单位的通知。想发作又不好发作,总得先探探底,对方背景够不够硬,吓不吓得住,打不打的死,要是打不死还惹来一身骚那就很不划算。所以目前在国内归根结底这是个政治工程,并不是个技术的事。
出来五年了,有些历史我觉得可以说一说,也值得说一说,更重要的是对未来的展望。
最早国内的漏洞平台只有乌云一家,当时应该说还没有现在所谓各大SRC,甚至没有白帽子的说法。所谓的网络安全行业就是一片蛮荒之地,大家在合规的市场规则下相安无事,有什么事给点钱你看能不能给点面子,给了好说下次哥们再帮我点忙,好处少不了,要是不卖面子,大家大户的谁还没有个保镖,关系都通天,把你往死里整,信息公开是肯定不存在的,媒体也得认人,总之社会一片和谐,哪有什么黑客,都是杜撰的,纯属胡闹!所以当剑心这个极端理想主义者出现的时候,几乎以一己之力挑翻了整个互联网。
为什么说他极端的理想主义?他当时的规则意识特别强,比如漏洞必须公开,你要官方来认领就有几个月的修复和公开时间的缓冲,你要不认领立马公开,管你是央企部位还是所谓的互联网大公司。乱棍打到谁,钱不管事,权也不管用,让媒体的舆论给你施压。当时这种操作把一群人看傻了,这种打法不按常理出牌,不知道怎么防守啊。我后来听说了一种动物叫做蜜獾(平头哥),我立马想到了剑心,不服就干的个性。而且他还真跟其他人不一样,绝不是谁的打手,最后把背后的某投资人的漏洞照发不许,看着投资人暴跳如雷,身边的朋友更加看傻了,怎么说呢,那时候他确实得到了应有的尊重,一个原则性强到如此境地的人,我们所有人都是佩服的,我自认为我做不到。
这种操作让很多大企业和单位对其恨之入骨,但是同时几乎让所有的安全从业人员进入了一个狂欢的年代。在之前全面压迫的年代,就跟你一个儒生穿越到了秦始皇的时候,管你是好是坏,抓住了就活埋。平台就好像揭竿而起的英雄人物,大家不是没有力量,是没有胆量,一旦有人把平台搭建起来了,大家就翻身了。从打小地主开始,然后占领了一个村,再占领了一个城,大家越打越有信心,原来这些太守也不过如此,都是唬人的,一打也能打下来。偶尔也有小失败,遇到网站关停之类的也是有的,后来也都又起来了,大家的信心就越来越足,队伍越来越大。白帽子早期的想法是这个事平台扛着,我们问题不大,后来演变成认为法不责众,大家团结的力量是巨大的,背后是得到了“大佬们”支持了的。
历史上的故事有很多,陈胜吴广失败了,项羽也没有笑到最后,但是刘邦是最终成功了的,说明了方向没有问题。张楚政权失败的原因有很多,也有很大的改进空间,不过已经来不及了。这里有一个小插曲,我曾经拉着剑心和老齐聊过,连offer都出了,最后还是由于剑心对原则的坚持,在一个很具体的细节上产生了分歧,这是一件非常可惜的事情,这个细节不方便透露,我毫无疑问是支持剑心的。如果没有那个细节,后来的故事可能就完全不一样了。
最初乌云是不区分事件型漏洞和通用型漏洞的,都放在一起,今天投资方只要不是特别专业的也基本分不出来区别,所以他们会问你们研究漏洞是不是有法律风险。当时剑心进入了另一家大厂的怀抱,对于我而言很是尴尬,越来越多针对我所在安全公司的漏洞被披露和炒作,领导批评我和茄子,我们只能苦笑,说你没看到他的投资方比你还痛苦吗?后来实在扛不住了,我给几位老板发了一封邮件,阐述了漏洞平台现存的问题和未来的发展方向,乌云的问题是很明显的,我能找出很多改进的方向。但是对我而言,我想做一个最稳妥的方式,这就是后来的“库带计划”,只针对通用型漏洞进行收集。一句话介绍区别,如果你提交华为官网的漏洞严格意义上是非法的,涉及未授权扫描,但是你针对你购买部署在本地的华为设备做漏洞测试是没有问题的,因为你攻击的是你自己的资产(虽然它能影响所有用到同类设备的其他企业)。前一种是事件型漏洞,后一种是通用型漏洞。关于漏洞的这个定义,版权应该属于我,最初我花了大量经历在给别人介绍区别,官网上线就有一篇文章专门进行介绍。
当然还有几个不同的点,比如漏洞不公开直接无偿地发送给厂商,另外我坚持认为白帽子把花时间研究出来的漏洞是一种知识产权,应该为此付费(no more free bugs),这一点在国内算是开拓者,后来大方向的发展也证明了这一点,乌云在表达不认可的一段时间后,也进行了跟进。中间的插曲挺多的,比如我申请各种资源让各CXO帮我们打通了专属的财务流程;还比如我认为几位大老板未必想清楚我说的对不对,可能只是认为就我申请的投入让我试一试是划算的;老周多次批评我们的名称取得太低俗(这倒是真的,有一位女同学想要入职,老妈坚决不同意就是因为名称听起来实在不像是一个大公司)。后来的一年内,我们收到国内各类商业或者开源系统的官方致谢太多太多,以至于后来我想增加预算升级到补天漏洞响应平台,都得到了各位大老板们的支持。
当时大家很清楚的看懂一件事,那就是谁获得了更多白帽子的支持,谁就能赢得领先优势,所以拼的是社区运营。给奖金要快,要积极上各类新闻媒体,积分兑换奖品的种类要多,活动要多,给个人和团队排行榜,年底了让美女运营陪着在盘古七星吃几千的烛光晚餐……五花八门的活动让白帽子们大呼过瘾,漏洞雨后春笋般涌现,无穷无尽。一个高中生拿漏洞奖金给女朋友买了一部iPhone手机成为很有面子的事情,一个17岁的白帽子登上了isc大会的开场视屏。
我邮件里提到的风险并没有发生,在一些有意愿想要支持安全走向实战效果的领导支持下,漏洞平台的事件型漏洞并没有引发法律问题,衡量指标就是有没有白帽子被抓,实际上绝大部分的白帽子确实都只是技术爱好者,没有做黑产的想法:有能力走正道赚钱,为什么还要做黑产,他们也担心有钱没命花(勒索的流行是后话)。所以,一个问题就很自然的出来了,一个安全公司要不要做事件型漏洞的收录?做吧国家没有定性,不做吧作为安全公司说不过去。最后看到相关监管单位还是比较积极地在推进国家重视安全,尤其是明确已经发现的漏洞必须责令修复,所以最终决定还是想做起来。
一周年后,库带计划顺利的升级为补天漏洞响应平台,针对不认领就立刻公开可能导致的误伤问题,以及已经修复漏洞公开导致资产信息披露引发的二次入侵问题,补天的策略很清晰:永不公开漏洞,漏动无偿提供给官方,不处理就同步给监管单位。当时大家争议挺大的,不公开就没有媒体帮你推进大家感觉得不到认可,但是公开又有风险(当时一个最经典的案例就是某人用公开的未修复的漏洞,修改了某市公交车的车牌跑马灯)。讨论后决定,把事件型漏洞也给奖金,通过“利”的方式弥补“名”的不足。
到这个阶段,漏洞平台的两个主要阶段已经完成了,从不付费公开,到付费不公开,只差最后一个阶段的进化了。后来的PK除了运营就是PR,似乎就是一个长期的工作。两个平台都按照自己的思路非常良性的竞争着,也都积累了大量的白帽子基础。实话说,创新方面乌云走的更好,无论是drops给大家解决成长的问题,还是三个白帽解决漏洞研究环境的问题,甚至是jobs解决就业的问题,再到后来的tangscan,每一个都是神来之笔。开放的群体智慧比封闭的要好得多,一个不公开漏洞细节的平台根本不可能做到乌云漏洞下的点评犹如网易云音乐那般多姿多彩热情洋溢。
但是,“开放”的问题毫无疑问也是充满争议的,厂商怎么看,监管单位如何理解,小事扛得住,大事不一定扛得住,遇上也不按套路出牌的企业,乱拳打下来两败俱伤。最典型的就是某互联网公司贸然报警抓人的事件,一下把大家认为坚不可摧的“后台”捅破,平台可以规避责任也得到了一些支持,但是没有任何人能证明你个人是合法的,也没有任何人愿意出来开庭作证。这个头一旦开了,后来的骨诺牌似的连锁反应就可能发生。所以大家急切观望,一些乌云的白帽子主动跟我联系说应该如何处理,心急如焚。局势急转直下,一方面高层领导以前听说一两次平台名称认为事小,蹦哒不出个什么声响,不足以耗费大量资源在这方面。随着听到的次数越来越多,连央视这种媒体都开始报道,严重影响形象,所以心里不痛快的情绪日积月累,另一方面在网络安全方面的法律越来越细,越来越屈严,所有事情都绷在那,一触即发。
这里还有两个大背景需要提及一下,一个是SRC(安全响应平台,我觉得大部分直接叫漏洞响应平台更合适)概念的流行,各大互联网公司趋之若鹜;另一个是国外包含hackerone在内的新模式的兴起,将会带领行业进入第三个阶段。先说src吧,不客气的说src是一种被逼出来的模式,早期要说全是为了解决黑客问题那是假的,都是被漏洞平台逼出来的。大家不是不愿意修复漏洞,也不是不愿意为漏洞付费,而是不愿意看着自家的漏洞被别人作为PR沦为大家热议的焦点,好说歹说你也不愿意私下处理,还一定要公开,与其天天被搞(“有漏洞就一定会被黑客攻击吗”就是这个阶段由企业喊出来的口号),还不如自己收录,能收一个漏洞就少一次被PR的机会。至于尝到甜头,真正感受到对工作有实际的帮助那是后话。
应该说由hackerone完成了进入授权众测时代的创新,后来包含synack在内的一堆国外公司进行了跟进。13年乌云和库带计划正在开启PK的时候,前后脚国外的漏洞平台公司相继成立,除去年代的高度集中外,我曾经专门写过文章分析了一种互相诧异的现象:国外的漏洞平台无比羡慕中国居然能在厂商未入驻的情况下收集事件型漏洞,国内的漏洞平台无比羡慕居然真的有厂商会主动的入驻并且愿意主动公开漏洞。说白了,这就是行业发展的一种必然差异,一个是被动接受的合规市场(面子工程),一个是主动寻求的价值市场(攻防实效)。一直到今天,尽管很多企业或者单位已经不会去妖魔化安全众测的形式,但是一些大型央企依然不愿意去邀请民间白帽子来进行授权的众测。在领导们看来,我可以让安全企业来做,他们犯错误的成本高,但是让一批“不可控”的陌生人来做,他们抵制不住诱惑怎么办?做破坏了怎么办?把敏感数据拿出去了怎么办?一旦发生,上层领导追责一定是骂我决策失误。事实倒确实如此,不管你怎么说“你的这些担忧,黑客不让你知道也是一样存在的啊”,结果短时间还是没法改变,终归还是政治正确的问题,不求有功但求无过。
后来的事情大家就都知道了,当天塌了下来,一堆的白帽子受影响,几个人从大家的通讯录里面完全消失。当我接到一些白帽子的电话,那一头他们痛苦地说“我实在不明白,我只是想做技术研究,我对天发誓没做过任何破坏,为什么要让我们承担这些”,我除了感叹,除了帮忙把材料提交给一些领导以外,我什么也做不了。我只能说的是时代变了,网络安全会逐渐规范化,曾经的那种狂欢年代一去不复返,我们不要再去追忆,我们应当向前看,漏洞平台必然以一种更合理的形式存在。
乌云和补天,在此之前已经意识到这些问题了,都推出了更为规范的众测模式,而且测试效果非常明显,正在快速得到价值性客户的认可,只是时间上已经来不及了,如果再来一次,我觉得局面会大不相同。最可惜的是那一批曾经在一线的安全技术人才,他们看淡了很多事情,于是专心在家带娃,或者在甲方做一个负责人,从此解甲归田游戏人间。从这个角度来看,毫无疑问补天的贡献是巨大的,它在360和奇安信的平台下活了下来,对于网络安全的领军者的角色,他们有更好的沟通渠道,有更为艺术的解决方案,功劳不在任何个人,而在于老周老齐开创的这个大局面。
对于中间出现的一些很有名气的平台,我窃以为缺少了大的创新,大家都按照之前踩出来的道路前行,既无大功也无大过。对于漏洞平台,或者说白帽子社区,我觉得大家都要扪心自问的回答一个问题:除了奖金,你给白帽子还带来了什么?是道德的引导?是学习成长的环境?是未来的职业规划?是一种使命感的形成?没有标准答案,做你觉得有意义的事情,你说出一个关键字,大家能快速想到你,而不是其他的平台,那才是创新。
回到众测话题上来,最初大家其实并没有看的很清楚,hakckerone发展实在太慢了, 厂商少白帽子少奖金也少,几年做不出一个功能,反观国内,巴不得一年做出几个功能。八年后再来看,国外的漏洞平台发展非常稳健,奖金已经发放了超过一亿美金,除去包含谷歌,非死不可,twitter在内的一系列国际大厂,连五角大楼这种国家行政机构也都公开邀请平台上的白帽子进行悬赏式的漏洞收集。还记得吗,我上面提到谁的白帽子支持者越多谁就能赢得优势或者胜利,当网络安全变成国家安全的时候,一个漏洞的价值就尤为明显了。一个稳健型的发展和一个激进型发展的曲线是不一样的,一个是前面发展慢但是一旦过了一个阶段点加速会比以前更快,而另一个是前期发展很快然而到了一个阶段就不断降速甚至是退步。
国内的漏洞平台还不能说进入了稳定期,都太小了,小到任何一家的收入都无法支撑一个一百人的团队。现在两个大的问题挡着,一个是如何在法律上明确地形成共识,一个是如何转变国内的大企业的想法。法律问题还没有解决,还需要一定的事件,我相信终将会解决,比如能不能依托某个直接的监管单位。转变企业的想法这方面我觉得现在的攻防行动和通报持续下去就好了,大家最终会选择这种模式的,毕竟很有效果。另外,我觉得未来几年会进入全面的白帽子争夺战的时期,不是只国内,国内都分完了,需要培养新的生力军,急不来,要抢夺的是全球范围的白帽子群体,是国际化,是社区化,是生态化。我倒是觉得目前看补天是最有可能成规模的一家,只要别太着急,我觉得机会还是有的。谁拥有这种使命感,谁承担了这份责任,谁就会得到大家的支持。不要把白帽子当成敛财工具,更不要在发生什么危险时丢出去当炮灰,每一个个体都值得尊重。能够传递正确价值导向,能够代表群体发声的平台,终将笑到最后,因为这是无比正确的方向,大家也在等待新的“英雄诞生”。
这个平台除了敢于担当之外,还能够更懂政治,能够有效引导政策的制定者正确的看待白帽子群体的价值,能够艺术地解决企业与白帽子群体的剑拔弩张的“对立”,能够真正地聚集最广泛的群体智慧,帮助企业构建最后一道防线,平台也能够获得商业上的巨大回报,除了解决白帽子的生存问题生活问题,还能够给社会源源不断地培养和输出一批安全技术卓越的生力军。毕竟在网络战争的年代,我们靠别人的施舍支持是靠不住的,关键时刻一定要自力更生。对手发展很快很规范,我们是走了一些弯路没错,只要给几次试错调整的机会,我认为是可以快速成长起来,形成能够一战的实力的。就怕留的时间不够多。
最后,我想起来前一段时间跟某大型央企负责安全的领导聊天的过程。他说对于通报不知道如何处理,说源头是来自一家漏洞平台,我本着活跃气氛的惯例,开头就开玩笑地说“如果你们想减少被漏洞平台通报的问题,我可以给你们一个简单有效的建议,那就是拿到通报修复后就报警抓人,一抓一个准。因为网络安全法明确规定了未授权扫描是违法行为,只要你不授权,公安自己扫描都需要提前知会的”。我预期大家会哈哈大笑,往后走流程,谁知道会议室大家就低头沉默不语,那种沉思状把我吓一大跳,急忙补充“我是开玩笑的,千万别这么干,以后收不到漏洞迟早被敌对势力攻击不说,口碑在整个安全行业就坏了,得不偿失。咱们最终还是要正视问题解决问题嘛……”,一身冷汗!
发表评论