2016 年,Hack the Pentagon 成为联邦政府有史以来第一个漏洞赏金计划。该计划向 1,400 多名黑客开放后,仅 13 分钟就有一名黑客发现了第一个软件漏洞。在该计划取得了 138 份报告和 75,000 美元的丰厚回报后,被认为是成功的。
漏洞赏金——即组织向报告与安全漏洞相关的软件缺陷的人提供的报酬——在那之后变得越来越主流。赏金猎人的队伍迅速壮大,而那些能够发现企业愿意出数百万美元解决的复杂、有价值的安全漏洞的少数人,其发现奖励也翻了五倍。但尽管桌上摆满了大笔金钱,报酬通常仍然偏低,您所见的普通赏金猎人发现一个漏洞的报酬大约为 250 美元。
Katie Moussouris,微软自己的漏洞赏金计划的前黑客和先驱,曾对此表示担忧,不仅是 Hack the Pentagon,还有漏洞赏金领域正在发生的变化。“他们选择一上来就推出现金奖励计划,这违背了我的建议,”她说。Moussouris 曾担任 Hack the Pentagon 计划的顾问。“你需要先爬行,再行走,然后奔跑。”
对Moussouris 来说,漏洞赏金只是她认为五角大楼尚未建立的整个系统的一个可选附加项。虽然报告一个漏洞是一回事,但 Moussouris 认为,找到问题的技术根源、修补它并测试修补程序等实际的调查工作,才是组织在掏钱给自由职业者之前应该关注的。她长期以来一直在就漏洞赏金发出警报,并对她称之为该行业的剥削性劳动实践发出警告。
今天,当您听到关于黑客发现软件漏洞并因此获得奖励的新闻时,那就是现代漏洞赏金计划在发挥作用。以下是关于该系统的一些信息——以及一些专家认为其存在的问题。
漏洞赏金简史
在 90 年代中期,只有一家公司认为有必要为发现漏洞提供奖励:Netscape,也就是当时广泛使用的早期网络浏览器 Netscape 的创建者。500 美元的奖金几乎是行业标准,直到 2010 年,谷歌才提供 1,337 美元作为其最高漏洞赏金。这个数字在黑客语中拼写为“leet”,是“elite”的缩写,算是对黑客们的一个小小的内部致敬。
这项新提议提高了软件公司的门槛。Mozilla 迅速将他们的赏金提高到 3,000 美元,于是谷歌将他们的赏金提高到 31,337 美元(黑客语中的“elite”),而微软开始向 Moussouris(当时她是微软的员工)咨询,为他们用旧的遗留代码编写的浏览器创建一个漏洞赏金计划会是什么样子。
当时,每年有 250,000 到 300,000 封电子邮件发送到 secure@microsoft.com,免费报告漏洞。因此,说服高管们支付赏金可能会有回报,这需要付出一番努力。2012 年,Moussouris 发起了微软 BlueHat Prize for Advancement of Exploit Mitigations,该计划在 2012 年为漏洞支付了 $260,000。
[相关:你需要防范零点击攻击]
如今,这些数字仍在不断增长。苹果的最高支付金额为 100 万美元。谷歌表示,他们在 2020 年向漏洞赏金猎人支付了 670 万美元。区块链技术公司 Polygon 为发现一个允许攻击者将其提取的加密货币数量翻倍的关键漏洞支付了 200 万美元的巨额奖金。
但这些高数字掩盖了真相,那就是大多数漏洞赏金的金额更接近 200 美元而不是 2,000 美元,而且大部分是由外国的年轻人发现的,那里的生活成本要低得多,这些交易通过 HackerOne(Moussouris 曾任该公司的首席政策官)和 BugCrowd 等零工经济公司进行。
一支低薪的零工大军
BugCrowd 的首席技术官 Casey Ellis 表示,他的公司是第一个提出在道德黑客和需要了解自身漏洞的公司之间建立平台这一想法的。那是在 2013 年。“当时,人们无法理解黑客可以是好人的想法,”他说。“而且人们不像现在这样关心网络安全。它已经从非常晦涩变得成为餐桌上的谈资了。”
截至 2022 年,BugCrowd 已有 300,000 名注册用户。Ellis 表示,虽然赏金猎人各种各样,但 BugCrowd 的许多自由职业者是 18-25 岁的年轻男性,来自印度、南美和菲律宾等地。
孩子们也经常联系 BugCrowd。Ellis 回忆起一个十二岁以下的男孩,他想出了如何破解学校的午餐系统,以便在学校获得免费食物,然后才找到了 BugCrowd,在那里他的技能可以更道德地运用。
“赏金狩猎是一条越来越有可行性的职业道路,”他说。
HackerOne 的首席技术官兼联合创始人 Alex Rice 在一封电子邮件中写道:“对于我们的客户来说,中等严重程度的漏洞,大多数报酬平均约为 500 美元——比去年增长了 11%。”他和整个漏洞狩猎行业的其他人都预计,这些报酬将继续增长。
作为一名赏金猎人很难维持生计
安全研究员 Matt Tait 无法谈论他发现的大多数漏洞,因为他在为英国政府工作时发现了它们。但他可以谈论的是,在西方国家发现一名全职赏金猎人是多么罕见。
“数字听起来很大,但当你深入研究细节时,它们实际上并不像看起来那么大,”他说。为了获得苹果的最高漏洞赏金,你需要发现影响 iOS 中不同程序的多个漏洞。更不用说苹果是否真的授予过这些巨额赏金还不清楚。
“我从未听说过有任何人在网络安全领域辞职,只是为了钱成为一名全职赏金猎人,”他说。
这正是 Moussouris 担忧的。“在这个生态系统中,你想要的是能够吸引和留住为你内部工作的员工,而不是以越来越高的费率外包零散的小工作,”她说。
虽然一次性支付可能看起来不错,但 Moussouris 说,公司最终会因为无法聘请顶尖人才而付出过高的代价。Moussouris 在苹果开始提供百万美元赏金时就警告过他们。“坦率地说,[赏金]并没有帮助他们。去年他们拥有最多的零日漏洞,比 Android 还多,”她说。
Moussouris 和 Ellis 都同意,赏金猎人往往集中在不那么富裕的国家,那里的美元可能更有价值。“我们是更庞大生态系统的一部分,”Moussouris 说,她呼吁人们批判性地审视漏洞赏金平台的劳动实践。“我们在其中一个角落所做的将极大地影响整个生态系统的其他部分。”
更正 2022 年 1 月 13 日:本文已更新,以修正 Katie Moussouris 的名字在两处的拼写错误。
