要访问精英黑客网络,您需要进行连接。你需要认识一个人。那家伙不是免费连接的。相反。有一个新生的公司集团,他们的业务是建立这种联系。
HackerOne就是这样一家公司。它的客户名单上有一些强大的巨头公司。拿优步来说。这家总部位于旧金山的科技初创公司的其他客户包括通用汽车,雅虎,Twitter和Salesforce。
HackerOne由前Facebook安全工程师共同创立,他正式确定了社交网络与黑客社区互动的过程,HackerOne帮助公司协调bug赏金计划。这意味着它可以帮助公司邀请黑客在其软件和应用程序中查找漏洞。如果黑客发现了错误,那么HackerOne会帮助公司支付现金奖励。向西伯利亚的一个甚至没有驾照的青少年黑客汇款并不一定容易。对于中间商服务,HackerOne向黑客收取任何报酬的20% 佣金。
HackerOne团队 (L至R): Michiel prins,联合创始人兼产品主管; Alex Rice,联合创始人兼首席技术官; Merijn Terheggen,联合创始人兼顾问; Jobert Abma,联合创始人兼技术主管。
图像
与HackerOne类似,Bugcrowd将 “优秀黑客” 与希望审查和验证其安全系统的公司联系起来。BugCrowd向客户收取订阅服务费或基于项目的费用-业务一直很好。这家总部位于旧金山的证券初创公司报告称,去年的收入增长300%。
Bugcrowd已经编制了一份相当全面的列表,列出了目前提供某种bug识别程序的公司。它们包括AT&T,Dropbox,Etsy,Facebook,微软,paypal,三星,Snapchat,特斯拉和Twitter。
谷歌有一个公共漏洞赏金计划,为能够在其Chrome软件中发现漏洞的黑客提供高达100,000美元的奖励。根据bug的大小,bounty幻灯片的大小,但大多数赏金从几百美元到几千美元不等。
看到一些科技界的大牌跳槽与黑客社区取得联系可能会让人觉得很讽刺。但最重要的是,当一家公司与黑客社区保持联系时,这实际上是成熟的标志。不管一个技术团队有多优秀,黑客总能让系统变得更好。
“在理想的世界…里,你会有防弹安全。您将能够雇用一个安全团队,以跟上积极变化的代码并查找所有漏洞。HackerOne的联合创始人、CTO亚历克斯·赖斯 (Alex Rice) 表示: “现实是,尽管在安全方面投入了大量资金,但地球上没有一个组织实现了这一目标。”“防弹、无漏洞软件的想法只是我们作为一个行业还没有推出的乌托邦。”
毫无疑问。我们生活在一个网络攻击与星期一一样普遍的世界。最近被黑客入侵的公司包括Verizon,T-Mobile,国税局,Target,Staples和Sony。这些安全漏洞的代价是惊人的。根据市场研究公司Juniper research的估计,到2019年,全球网络犯罪的成本预计将超过2万亿美元。
这就是为什么Uber最近宣布向识别其系统中的错误的黑客提供高达10,000美元的价格。Uber的bug赏金计划将由HackerOne协调和管理。去年,Uber在200安全人员中启动了私人bug赏金计划,这些黑客在运输应用程序的软件中发现了几乎100个bug。现在,这家叫车技术巨头正在向任何有兴趣让特拉维斯·卡兰尼克 (Travis Kalanick) 赚钱的黑客开放其bug赏金计划。
纽约佩斯大学塞登伯格计算机…科学与信息系统学院助理教授兼网络安全主任达伦·海斯 (Darren Hayes) 表示: “如今,大公司为黑客提供这些漏洞赏金的趋势越来越大。”“重要的是,公司要做到这一点,并提供寻找漏洞的激励,而不是其中一个坏人发现漏洞并在他们的网络上做一些邪恶的事情。”
向公众开放bug赏金计划同时也是自信和谦卑的标志。这表明一家公司对其软件有足够的信心,可以邀请最好的计算机人才去寻找漏洞,但这也表明,即使是最好的软件专业团队也是容易犯错的。
优步 (Uber) 首席安全官乔·沙利文 (Joe Sullivan) 在一份公布其bug赏金计划的声明中表示: “即使有一个高素质和训练有素的安全专家团队,你也需要不断寻找改进的方法。”“这个bug赏金计划将有助于确保我们的代码尽可能安全。”
值得注意的是,苹果目前没有付钱给黑客来寻找其系统中的错误。不过,也许应该。就目前情况而言,如果黑客在苹果产品中发现安全漏洞,就没有太多动力将该漏洞传递给蒂姆·库克。
赖斯说: “如果你是一个独立的软件开发人员或安全研究人员,你必须在获得100,000美元和不修复漏洞之间做出选择,然后免费把它翻过来做正确的事情,这对我们要求任何人做出的选择都是不公平的。”“很少有人会拒绝这样的事情,不管他们有多强大的道德指南针,当它不是明显的犯罪或恶意的时候。”毕竟,尽管黑客拥有所有的计算机巫术,但他们只是人类。
Bug赏金计划不仅适用于世界各地的谷歌、优步和苹果。恰恰相反。寻求专业黑客的专业知识可能是小型企业验证其自身网络安全性的有效方法。那是因为您只有在遇到问题时才为专业知识付费。
“这就像让一名顾问在你的网络上发现安全漏洞,但不用担心为此付出任何开销。只有当某人发现漏洞时,你才会付钱给他们,这甚至比雇佣一些顾问更好。“海斯说。“你只为能发现这些漏洞的最好的人付出最好的代价。”