文/B12团队 苏维
“足够多的眼睛,就可让所有问题浮现。”这是Linux创始人林纳斯·托瓦兹的著名言论,它甚至成为了计算机技术领域的「林纳斯定律」。然而,这句话正在遭受着前所未有的挑战。
2014年4月,OpenSSL爆出了Heartbleed(心脏出血)漏洞,该漏洞可被用于窃取服务器敏感信息,实时抓取用户的账号密码。而全世界网站服务器中有三分之二都是用OpenSSL的软件,这让该漏洞成为这些年以来影响范围最广的高危漏洞,没有之一。
OpenSSL应用如此广泛,却存在着这样严重的漏洞。即便有很多双眼睛盯着,漏洞依然可能会因为被熟视无睹而导致危机。在互联网安全测试平台「漏洞盒子」创始人袁劲松看来,这意味「林纳斯定律」并不全面:除了足够多的眼睛,还需要足够好的奖励机制。而漏洞盒子的做法,正是用激励机制将全世界的黑客联合起来,用众包的方式解决互联网安全问题。
从Freebuf到漏洞盒子
还记得在“互联网+”遭遇一铲子的事件吗?今年5月27日,支付宝大面积瘫痪,电脑端和移动端均无法进行转账付款,缘由是杭州市萧山区某地光缆被挖断,进而导致支付宝一个主要机房受影响。没想到转天,又发生了携程网内部员工误删除代码的事件,携程网站整体宕机12小时。而在数据泄露方面,国内的互联网公司们更是「你争我赶」,不信看下图:
这些厂商都有过泄露数据的不光彩历史
在《信息安全与通信保密》这份专业杂志的一份报告中称,2012年,中国网络安全产业规模达到216.40亿元,同比增长20.9%。袁劲松认为,现在正是安全行业发展的好时机。在出来创业之前,他在携程做安全经理,那会儿还是2010年。当时,他业余创办了互联网安全交流论坛Freebuf,聚集了一大批热爱互联网安全的白帽子。所谓「白帽子」,就是通过网络安全专业技术去钻研/挖掘计算机、网络系统漏洞的人,但是跟黑客不同的是,他们不会去做任何的破坏,同时会告知管理员漏洞内容及修复方案。
有了Freebuf的人气积淀之后,2014年,袁劲松联合几个从百度、阿里、华为出来的合伙人,一起创办了漏洞盒子。
把全世界的黑客联合起来
互联网公司天然有安全业务的需求,但即便是大的互联网企业,安全人员也分散在不同的业务部门,更别说规模小一些的互联网公司了。而漏洞盒子的做法,则是用共享经济的思路,把领域内的黑客们联合起来,采取「众包」的方式解决安全问题。
在硅谷,超级互联网公司谷歌就安排自家的顶级安全分析师组成一个互联网安全项目“零点计划”(Project Zero),该项目组织了一群黑客精英,专门负责揭露出谷歌及整个互联网的安全漏洞。而漏洞盒子的白帽子团队,则聚集了全世界的技术精英们。「一个大公司的业务部门,负责安全测试的工程师顶多十几个人,而我们这边参与测试的可以达到上千人。」
在漏洞盒子的平台上,这些安全专家会根据各自擅长的领域被打上特定的标签,以往提交的漏洞记录也会帮助完善这样的用户画像。
漏洞盒子上,一个测试项目的流程通常是,先有厂商发起待测试的项目,然后漏洞盒子会为厂商组建一支由安全专家构成的测试团队,然后测试人员向厂商提交安全漏洞,厂商通过漏洞盒子平台审阅和处理。最后,厂商会根据漏洞评估结果,向测试人员发放奖金,漏洞盒子也会向厂商提供详尽的安全报告。在收费方面,则是按照漏洞的数量和评级进行收费,如果没有发现漏洞,则不会对企业收费。
这个环节,对于企业方难免会有项目信息保密方面的顾虑。为了保证产品测试过程中的保密性,针对所有高级的项目测试,漏洞盒子都会实名制测试人员的身份、联系方式、姓名等,确保在测试过程中不会泄露任何关于项目方的信息;其次,对于项目保密级别要求较高的项目测试,漏洞盒子或者厂商会提供网络镜像流量、VPN 等,确保全程审计测试人员的行为。对于测试结果,测试人员未经厂商和平台允许,也被禁止对外透露测试过程和结果的任何细节,否则将被追究法律责任。
其实,白帽子黑帽子,他们的前期分析、获得漏洞的过程几乎没有区别,白帽子会说自己是白帽子,黑帽子却从不会说自己是黑帽子——区别只是在于最后对漏洞的利用方式不一样而已。
袁劲松说,在漏洞盒子上的安全专家之前是否做过黑客,平台其实无从得知,但参与黑客地下产业链的法律风险非常高,如果能够给这些黑客们一个完全依靠技术发现漏洞就可以赚钱的正当机会,从「黑客」到「白帽子」的转型似乎就会变得容易起来——而漏洞盒子就正在做这样的事。就像Uber让蹲守在汽车站、火车站的黑车司机走到阳光下开始正当赚钱一样,漏洞盒子这样的平台某种意义上也让隐藏在网络暗角处的黑客们有了一个自我洗白的机会——电脑插上网线,用技术发现漏洞,就可以以此为生。
「未来会出现一家改造行业的公司」
用「众包」的方式解决安全问题,这并非漏洞盒子首创。其实早在2012 年,知名漏洞平台就推出了「乌云众测」,通过邀请顶尖白帽子模拟黑客对网站、系统或产品进行测试,企业可迅速排查各种安全隐患。不过,乌云平台上公开的漏洞也让它命途多舛:2012 年,曝出某运营商漏洞的乌云因为不肯删除漏洞,惨遭暴力拔网线;2014 年乌云遭遇疯狂 DDos 攻击,宕机 18 小时;同年又被 SAE 云计算平台出于压力莫名屏蔽……
不过,在走向商业化的道路上,漏洞盒子的步子则更加坚实。漏洞盒子认为相比曝光漏洞或是广义上的漏洞奖励,企业更需要严谨细致、体系化和专业化的服务,为此袁劲松组建了国内最顶尖的企业服务工程团队。除了厂商临时提交的短期项目,漏洞盒子也会针对产品快速迭代的互联网企业签署框架协议,对其产品进行持续的安全监测。据袁劲松透露,漏洞盒子还将会在11月份发布全新的企业级安全检测产品,为企业提供更深度优质的安全服务。
漏洞盒子创立仅半个月左右,就拿到了数百万的天使投资。今年8月,漏洞盒子已经拿到了金浦资本3000万人民币的Pre-A轮投资,平台上的安全专家已经达两万个,其中甚至包括一批海外的白帽子,测试了近百个项目,客户不乏腾讯、支付宝、360、去哪儿这样的知名大公司。
越来越成熟的黑客产业链,让互联网安全从一个不太受重视的领域,突然需求激增变成了多金的市场。「第三方外包安全服务会逐渐成为一种趋势,未来会出现一家改造行业的公司。」袁劲松表示。