一点号光明日报5小时前
道高一尺,魔高一丈。随着万物互联序幕的拉开,安全漏洞风险如影相随,安全能力建设形势更趋严峻。“白帽黑客”作为维护网络安全的重要组成力量,其特殊性正在得到越来越多的重视。社会需要给“白帽黑客”信任和展示能力的机会,为其设定行为边界,并给出相应激励,否则“白帽黑客”只不过是一个带有浪漫主义色彩的称呼而已。当前,美国政府、企业和相关机构正在积极探索,以期为他们提供“光明大道”,通过一套较为完善的体系,正确引导和激励“白帽黑客”释放正能量。
实施“赏金计划”。一直以来,美政府对奖励漏洞发现者不感兴趣,对曝光的系统漏洞反应较为迟缓。然而,安全风险日趋复杂,独自应对难以为继,政府对黑客看法在不断改变。努力探索保障网络安全的新方法,积极为漏洞的提交广开言路是大势所趋。2016年3月到5月,美国防部发起名为“黑掉五角大楼”竞赛项目,设置超过15万美元奖励吸引本国黑客向其信息系统发起攻击。该项目取得巨大成功,两个月的竞赛项目共吸引1400名黑客参与,发现的漏洞多达138个。若通过外部商业安全公司发掘同等数量和质量的漏洞,政府将花费超过100万美元。防长卡特对结果非常满意,国防部认为演练有利于“发现漏洞并制定保护五角大楼网络系统的应对措施”。此次政府部门效仿商业公司奖励“白帽黑客”的行为具有里程碑意义,为未来与“白帽黑客”建立长期信任和合作奠定了基础。国防部尝到甜头后,宣布发展该项目为永久性项目,扩大更多国防部系统和网络加入测试。
除政府外,IT公司也积极行动,转变思路。过去很长一段时间,美国大公司并不希望自身产品被曝光存在漏洞,有的公司甚至要求“白帽黑客”删除相关漏洞信息。其一,公司往往怀疑“白帽黑客”的好意,认为是在索要报酬。其二,若不及时“打补丁”,会遭遇针对该漏洞的频繁攻击。其三,担心影响企业声誉,曾有公司在产品漏洞曝光后股价暴跌。随着企业对产品安全意识的增强,对“白帽黑客”提供的漏洞信息需求迅速上升,企业会直接对“白帽黑客”送出奖励。谷歌、雅虎、微软等众多IT巨头设置本公司的漏洞奖励计划和安全响应中心,鼓励“白帽黑客”测试其系统。例如“脸谱”网建立了针对自己产品平台的漏洞提交和奖励页面,充分尊重黑客的隐私权和知情权并提供不少于500美元的奖励。谷歌设立奖励计划,为找到安卓(Android)系统安全漏洞的黑客提供最高20万美元的奖金。
提供专业场所。普通企业一般不会专门设置安全部门或漏洞奖励项目,为有效对接企业需求和社会资源,“众测”模式应运而生。“众测”是一种由厂商提供产品和奖金,漏洞平台组织黑客为其寻找安全漏洞并分配报酬的生产模式。厂商在降低运营成本的同时,也充分调动了“白帽黑客”劳动的积极性。如美国旧金山的“HackerOne”漏洞平台吸引了来自150个国家的3000多名黑客注册,为包括雅虎、优步、推特在内的超过500家公司提供漏洞测试服务。拥有强大号召力的“HackerOne”宣称77%的公司能够在24小时之内利用该平台找到安全漏洞,目前已经修复近四万个漏洞。“白帽黑客”注册后提交漏洞信息,“HackerOne”通知公司进行修复厂商对漏洞有效性、严重性和影响范围做出评价,在漏洞未被解决之前,漏洞信息是加密的,甚至平台也无权查看这些信息,充分保护企业和“白帽黑客”的权益。为吸引和鼓励“白帽黑客”,“HackerOne”将漏洞奖励金额下限设置为100美元,并为高危漏洞提供奖励金额参考,最高漏洞奖励可达3万美元。
举办“武林大会”。黑客大会是黑客文化交流的嘉年华,来自全球各地的技术大咖齐聚一堂,公开展示最新研究发现。如久负盛名的黑帽大会(BlackHat)作为全球顶尖的安全技术会议,是信息安全界每一位研究者的梦想舞台,会议内容包括前沿技术培训,黑客安全团队讲演、公司宣讲等。RSA安全会议每年吸引数万人参会,几乎所有安全研究人员都会参与其中,展示研究项目,研究行业热点问题。此外,CanSecWest、DEFCON、Qualcomm Mobile Security Summit、HITB(hack in the box)、POC (Power of community)、HITCON 、CodeBlue 等侧重点各不相同的会议更是多点开花,“白帽黑客”参与度空前高涨。
帮助验明正身。去年11月,美国防部制定了《漏洞披露政策》,为“白帽黑客”们提供政策安全保障。该政策允许自由安全研究人员通过合法途径披露国防部面向公众使用的信息系统存在的任何漏洞。该政策指出只要符合政策的限制和规定,将不会对黑客发起执法和诉讼活动,并可以为“白帽黑客”提供保护和证明。此外,美国防部高级研究计划局(DARPA)的“Improv”项目和网络挑战赛,也正在积极发掘网络漏洞和网罗全球优秀的“白帽黑客”。近年来,美国执法部门已经开始尝试直接从黑客大会现场物色黑客提供技术或为之效力。
