Bug賞金的平均收入是軟件工程師平均工資的 2.7 倍,我們鼓勵你用業餘時間兼職。
6 月 1 日,有報道稱,印度開發者Bhavuk Jain向蘋果安全團隊報告了Sign in with Apple(通過 Apple 登錄)中存在一個零日漏洞,它允許攻擊者遠程劫持任意用戶賬戶,影響嚴重。爲此蘋果向Jain支付了十萬美元的鉅額賞金。
在去年的 WWDC 上,蘋果正式推出屬於自己的第三方登錄服務——Sign in with Apple(通過 Apple 登錄),允許用戶不必填寫表單、驗證電子郵件地址和選擇新密碼從而通過Apple ID登陸第三方服務。截至目前,有許多開發者已經將 Sign in with Apple 整合到應用程序中,比如國外的 Dropbox、Spotify、Airbnb、Giphy ,國內的喜馬拉雅、懶飯、廚房故事等。
這名開發者今年才 27 歲,他在一篇博文中聲稱,他於4月向公衆披露該漏洞之前,已向 Apple 報告。目前,Apple 已經修復該漏洞,並給他支付了十萬美元賞金,作爲 Apple 安全賞金計劃的一部分。
Jain之前是一位主要使用React Native進行移動應用程序開發的全棧工程師。現在,他已轉向成爲了一名全職漏洞賞金獵人。
賞金致富變得普遍
Bug 賞金平臺HackerOne 在兩年前發佈了一份調查報告,涉及到了該平臺上註冊的 1700 名 Bug 賞金獵人,該報告顯示頂級黑客的賞金平均收入是同一國家軟件工程師平均工資的 2.7 倍。
2019 年 8 月,HackerOne 還曾宣佈,其平臺的 8 名黑客已成爲百萬富翁,其中 19 歲的 Santiago Lopez (@try_to_hack)於 2019 年 3 月成爲第一個百萬富翁。
“現在,英國的 Mark Litchfield (@mlitchfield)、澳大利亞的 Nathaniel Wakelam (@nnwakelam)、瑞典的 FransRosen (@fransrosen)、香港的 Ron Chan (@ngalog)、以及美國的 Tommy DeVoss (@dawgyg)都已躋身百萬黑客富翁行列,他們都提高了互聯網安全。”HackerOne 當時表示。
來自德國的 Cosmin(@inhibitor181)和 Eric (@todayisnew)是今年早些時候(均在 2 月 24 日)公佈的第七位和第八位的百萬黑客富翁。
今年5月,HackerOne 自豪地宣佈:“黑客們通過我們的平臺上進行永久的黑客攻擊,已經賺取了 1 億美元的 Bug 賞金。”
該公司首席執行官補充說,“由於他們的創造力和堅韌不拔的精神,我們預計,黑客們將在五年內有望獲得 10 億美元的 Bug 賞金。”
HackerOne 僅一年就支付 5000 萬美元賞金。
如下圖所示,支付給黑客的賞金總額從 2014 年至 2016 年的 1000 萬美元增長到 2017 年至 2019 年的 3000 萬美元,並在 2019 年第二季度至 2020 年第二季度達到 5000 萬美元。
在使用 HackerOne 來報告安全漏洞的黑客中,有 12% 能做到每年僅通過 Bug 賞金計劃獲得超過 2 萬美元的收入,而 1.1% 的黑客每年能獲得超過 35 萬美元的賞金,有 3% 的黑客每年獲得超過 10 萬美元的賞金。
HackerOne 表示:“我們用了五年的時間才達到 2000 萬美元賞金的級別,這一數字是在 2017 年第三季度達到的(見下面圖表)。”
“從那以後,事情就真的有了起色,接下來的 8000 萬美元賞金,只花了三年的時間。最近,我們迎來了有史以來最好的一週:僅僅六天,我們就支付了 240 萬美元的賞金!”
漏洞賞金水漲船高,讀到這裏你是不是對傳說中的白帽黑客、Bug 賞金獵人、道德黑客這些羣體產生了好奇心?作爲一位普通開發者,能在業餘時間從事這些工作嗎?一位來自 Bugcrowd Bug 賞金平臺綽號爲 X3n0N 的年輕開發者,分享了他如何作爲一位小白獲得2000美元的經歷。而另一位開發者Wineberg ,過去六年一直在兼職做 Bug 賞金獵人,由於賞金客觀,一年半前他轉成全職 Bug 賞金獵人。
賞金獵人入門
2012 年,還在大學學習計算機科學時,一名綽號爲 X3n0N 的年輕開發人員開始涉足 Bug 賞金獵人這一行業。
他通過閱讀網上論壇的帖子和文章,掌握了基本技能,在白帽黑客技術方面進行了嘗試,在各種網站上梳理漏洞,並查看帶有用戶輸入框的網頁以尋找可能潛伏的跨站腳本或 SQL 注入攻擊漏洞。
據戰略與國際研究中心(Center for Strategic and International Studies,CSIS,美國兩大智庫之一,位於華盛頓特區)的數據,當時,造成超過 100 萬美元損失的網絡攻擊只有今天的四分之一。儘管現在有多家平臺促進 Bug 賞金計劃,以及強大的 Bug 賞金社區,但當時並沒有足夠的基礎設施來支持白帽黑客,也就是所謂的道德黑客。
X3n0N 的冒險經歷很快讓他遭到一家大型互聯網服務提供商的起訴。他發現了一個安全漏洞,這個漏洞使得劫持客戶賬戶成爲可能,他因此可以更改提供商的任何客戶的寬帶套餐。於是,他給該公司發了一封電子郵件,報告了這一漏洞。他說,該公司沒有 Bug 賞金計劃,因此他沒有要求賞金,只是提醒他們注意這個漏洞,並要求他們確保安全。
但是,該公司收到 X3n0N 的郵件後,一點也不感激。他接着說道,很快,他就開始接到該公司律師的電話,威脅要將他告上法庭。整個事件傳到了他所在院校的校長那裏,這一經歷讓他感到很不愉快。
由於他的行爲顯然沒有惡意,所以整個事態很快就平息了。他報告該漏洞的電子郵件爲他證明了清白:他的意圖是幫助互聯網提供商更加安全,而不是從中牟利。於是,該公司放棄了訴訟,只要求他正式道歉,並簽署一份保密協議,承諾不會將公司的漏洞公之於衆。
有了那次經歷之後,他變得更加謹慎,但這並沒有阻止他繼續尋找 Bug 的決心。他了解到,有一些公司有官方的漏洞報告渠道,比如 Google。不久之後,他在 Google 的消息服務中發現了一個跨站腳本漏洞,該漏洞允許他通過在電話號碼輸入框中注入 JavaScript 代碼並竊取用戶的 Cookie,從而入侵用戶的賬戶。於是,他向 Google 報告了這一漏洞,Google 爲他這一發現支付了 500 美元的報酬。
隨後,他因一次相關的跨站請求僞造攻擊而獲得賞金,儘管這次並不是他報告的,但他上一次的報告有助於 Google 發現這一漏洞,於是 Google 將賞金提高到 2000 美元。X3n0N 對這次經歷感到很高興。“我真的很開心,也很驚喜。”他說,“當我還在讀書的時候,我做夢也沒想到我居然會掙到 2000 美元。”
從兼職轉爲全職 ,賞金獵人回報可觀
Wineberg 在網絡安全行業工作了十一年。過去六年來,他一直在兼職做 Bug 賞金獵人,直到一年半前,他才轉成全職 Bug 賞金獵人。
Wineberg 說:“在過去幾年來,Bug 賞金獵人這一行業真的很流行,如果你有時間的話,還是有很多工作可以做的。我一直認爲,如果我肯花時間的話,我就能找到東西。通常情況下,當我拿到報酬時,將時間花在做 Bug 賞金獵人上是值得的。”
當他換工作的時候,碰巧也需要搬家,因此無論如何都需要找一份新工作,所以這似乎是一個很好的機會,可以嘗試全職 Bug 賞金獵人。“我想,如果不成功的話,大不了我還可以再去找工作,”Wineberg 說,雖然他還沒有感覺到再找工作的必要。“到目前爲止,我真的很享受這份工作。”
每個星期,他都會挑選幾個目標進行測試,通常是提供 Bug 賞金計劃的公司最近推出的新產品。
Wineberg 表示:“我總是會試着去看一些新的東西,那些之前沒有做過賞金測試的東西,因爲在這些東西上總會有最多的發現。通常情況下,我會在我正在考慮的網站上進行半個小時的測試,然後如果它看起來值得做更多的測試,我就會花幾天或一個星期左右的時間,只測試那一個網站……如果我立即發現了一個影響較小的漏洞,那往往是一個好的跡象,說明將會有更多的漏洞出現。”
Wineberg 稱,他把大約四分之一的工作時間花在閱讀安全新聞和其他研究人員發現的漏洞文檔上。這有助於他隨時關注新的漏洞,並瞭解他缺乏經驗的技術棧。
“有了 Bug 賞金,你所關注的每一個不同的目標幾乎總是使用略有不同的技術來運行其網站或系統,”他說,“通常我會做的是,如果我遇到一種以前不經常使用的技術,我就會回頭尋找任何曾經用這種技術報告過安全問題的人。我會閱讀以前的問題,然後要麼去找那些問題,看看這些問題是否適用於目標,要麼就去想一些新的方法,可能會有所發現。”
有些研究人員也會構建自己的工具,將部分流程實現自動化,這在一開始的時候需要時間來設置,但在以後的工作中會有幫助。這正所謂磨刀不誤砍柴工。Wineberg 有時會注意到自己在重複執行同樣的任務時,就會自己構建工具,但大多數情況下,他並沒有專注於某個特定的方法來充分利用自動化。
“我很喜歡看各種各樣的東西,”他說,“一大堆不同的客戶,一大堆不同類型的漏洞。”
Bug 賞金可以積累開發技能
對開發人員來說,做 Bug 賞金獵人可以是積累更多技能的一種有趣方式,哪怕他們當作業餘工作來做。
來自 Bugcrowd 的 McCracken 說,“你不會因爲漏洞的存在而任由它‘漏雨’,你可能在一段時間內不會有任何發現或獲得報酬。但是,你在學習安全方面的所有投資,都會在你的職業生涯、你的理解和構建方式得到回報,並且會讓你知道如何構建更安全的應用。”
Wineberg 對此觀點亦表示認同。他說:“所有人羣都可從中受益匪淺,尤其是當他們是兼職的話。當你全職工作時,你需要有一定的連貫性和策略,並知道你的報酬如何安排。”
開發人員往往不會考慮他們的應用程序的安全性如何,有時候從安全研究的角度來處理自己的應用程序是有益的。
Wineberg 說,“開發人員瞭解他們的產品是如何運作的,但往往不會去測試已部署的生產實例。在我還是顧問的時候,我們經常與開發團隊一起工作。如果我們發現一個問題,有時候我們會就這個問題對開發人員進行描述,他們會說,‘不,它不是這樣工作的,這不是一個問題。’”
Wineberg 接着說,“我們發現,如果給他們對自己的應用程序進行一些攻擊性測試的機會,就像我們在 Bug 賞金計劃中對自己的應用進行一些攻擊性測試那樣,他們就會帶着一堆問題離開。如果你是一名開發人員,它可以讓你深入瞭解現實世界中的事物是如何運作的。”
Bug 越來越難被發現,但賞金也在增多
如今,黑客行業發生了翻天覆地的變化。要在大型互聯網公司中發現 Web 應用程序的漏洞,難度在增大,但Bug 賞金和 Bug 報告計劃也變得更加常見,公司也更願意使用專業的滲透測試(Penetration Testing,也稱爲 Pen Tensting)公司的服務。滲透測試公司,就像他們所說的那樣,幫助定位客戶系統中的漏洞,其運作方式與傳統的諮詢公司類似,工作人員專門負責尋找安全漏洞。
Bug 賞金平臺的運作方式有所不同。這些平臺更像是一個市場,爲自由 Bug 賞金獵人和對他們的服務感興趣的公司牽線搭橋。它們通過讓公司接觸大量黑客來吸引公司,反過來又通過提供願意爲其服務付費的公司名單來吸引黑客。Bigcrowd 於 2011 年作爲世界首家 Bug 賞金平臺推出,之後很快就有很多其他平臺紛紛效仿。
Bugcrowd 安全運營總監 Grant McCracken 說:“衆包安全的理念是,如果你進行滲透測試,通常會有一個人做評估。如果你有兩個人進行評估,你可能會發現這樣做比一個人能夠發現更多的東西;而如果有 500 個人的話,那就是指數級增加了,可不是僅靠一兩個人發現所能比的。所以說,它是在利用大衆的力量和零工經濟(gig economy)的可擴展性來滿足網絡安全領域的需求。”
Bug 賞金平臺需要一段時間才能爲主流所接受。Katie Moussouris 是另一個早期的 Bug 賞金平臺 HackerOne 的前首席政策官,她在幫助其項目發展的過程中發揮了重要作用。她甚至成功與美國國防部合作,在 2016 年發起了試點 Bug 賞金挑戰賽,名爲“Hack The Pentagon”(入侵五角大樓)。逾一千名黑客參與其中,總共發現 138 個有效的安全漏洞。美國政府爲此支付了大約 7.5 萬美元。該試點被國防部認爲是一次成功的概念驗證。
挑戰賽結束後,時任國防部長 Ash Carter 說:“我們對某些系統和網站的關注者越友好,我們就能發現越多的漏洞,就能修復越多的漏洞,我們就能爲我們的戰士提供更多的安全保障。”隨後,該試點項目又陸續發起了入侵陸軍、入侵空軍、入侵海軍陸戰隊的黑客挑戰賽,以及持續的漏洞披露計劃,任何人都可以報告他們發現的漏洞。
在這些努力的推動下,以及在越來越重視安全防範措施的趨勢下,道德黑客的行爲已得到更廣泛的接受。Bug 賞金計劃和僱傭黑客的公司現在將他們稱爲“安全研究人員”,聽起來更體面。隨着這一舉動成爲主流,使得更多的人開始嘗試涉足 Bug 賞金獵人。如今,Bugcroud 平臺上已經列出了大約 14 萬名研究人員。
與此同時,公司越來越重視安全,這使得查找 Bug 變得更具挑戰性。提供滲透測試服務的諮詢公司 Rapid 在其 2019 年度調查報告稱,當滲透測試員被聘請從公司網絡外部測試公司的系統時,他們只有 21% 的時間能夠侵入網絡。成功攻擊公司網站的機率更小,導致公司系統總訪問率只有 3%。
這些數字看上去,可能離理想中的零相去甚遠,但卻令人鼓舞。因爲滲透測試人員都是經過嚴格訓練的,能夠入侵系統。這對每個人來說都不啻爲一個好消息,但這確實意味着在過去十年裏,成功發現 Bug 並因此獲取報酬的門檻已經提高了。
熱情好客的社區
考慮到參與者衆多,安全意識也越來越強,發現 Bug 的難度也越來越大,社區還能受到如此歡迎,着實有點令人驚訝。
Wesley Wineberg 具有網絡安全背景,六年來一直從事尋找 Bug 的工作。
Wineberg 稱:“通常情況下,如果我向某人求助,或者想要分享一些技巧,人們真的都會對此持開放態度,而且非常友好。”
他解釋說,研究人員發現的數漏洞,大多都可以歸爲幾類,這些漏洞可以通過使用廣爲人知並有詳細記錄的技術來發現,比如每年的 OWASP 十大最關鍵 Web 應用安全漏洞榜單上。當然,如果是研究人員自己開發的更復雜、更創新的方法,它就不適用了。
“這裏面存在一個平衡點。如果有人擁有別人無法使用的技術,而他們得到了大量的發現並拿到了可觀的賞金,那他們就不會真的會去分享太多關於這項技術的信息。”Wineberg 說。
但大多數情況下,人們還是願意互相幫助的。儘管有越來越多的人在尋找 Bug,但仍然有很多 Bug 等待被人們發現。
Wineberg 說:“每年都有越來越多的人在做 Bug 賞金獵人,但每年的目標也會越來越多。如果有人想在某個目標需要幫助的話,我會假設這個目標和我這周的目標不一樣,只是因爲可供選擇的目標實在太多了。”
除了研究人員之間互相學習之外,對於剛剛入門的新手來說,也有很多資源可供學習。那些掌握基礎知識的人可以有目的地下載不安全的網絡應用程序(因爲未經網站所有者的明確許可而入侵網站是聯邦犯罪),還可以跟隨實時黑客教程學習,甚至進行黑客遊戲,該遊戲旨在讓 K-12 年級的學生成爲黑客的新秀。
另一個很好的學習方式是閱讀研究人員寫的有關他們成功經驗的博文。2019 年,Teddy Katz 從 GitHub 獲得了 2.5 萬美元的賞金,這是 GitHub 有史以來最高的賞金,之後,他發佈了一份詳細的教程,闡述了他是如何發現這一漏洞的。這一漏洞繞過了 GitHub 的授權流程中的檢查。
參考鏈接:
https://builtin.com/software-engineering-perspectives/bug-bounty-hunting