对“黑客”而言，合适的漏洞奖励和安全披露

漏洞赏金是一种企业将自己的安全漏洞发现业务众包出去的项目。现实中，白帽可以通过参与不同的漏洞赏金活动来获得丰厚的报酬。《第四届年度黑客驱动安全报告》指出，全球黑客社区的规模和深度在持续增强，该平台有来自不同国家的9名白帽收入已超100万美元。

通过发布漏洞赏金活动，企业能够充分发挥外部白帽资源的作用。在收到来自各地的高质量漏洞报告后，企业可以对自身系统进行更高效的信息安全建设。作为能提升企业信息安全性能的解决方案，漏洞赏金活动具备可扩展性、便捷性、低成本等优势。显然，漏洞赏金项目打破了企业和黑客之间那相互对立、水火不容的僵硬格局。

不止是Apple、Facebook、Microsoft等大型企业，一些对安全非常敏感的国家政府机构，比如美国国防部也发布了漏洞赏金项目。名为“HackthePentagon”的项目一经发布，立马就吸引了众多白帽参与进来，国防部在发布项目13分钟后就收到了第一份漏洞赏金报告。

同时，在国内也有许多厂家发布过漏洞赏金活动，比如百度的“墨客挑战邀请赛”，腾讯的“单个漏洞百万奖励计划”，阿里云的“三大白帽成长计划”等，都引起了业内极大的关注，可见漏洞赏金活动确实深受大家的喜爱。

William的故事

国外人道主义活动家，曾经业内知名的黑客Jesse William McGraw对此表示，每个参与漏洞赏金活动并负责安全披露的安全人员，都应该因其成就而获得认可。“毕竟，这个行业的竞争十分激烈，我们中的许多人会因为资质不足而被淘汰。”

William说，谁不想自己的辛勤工作能换来相应的回报呢？发现漏洞并将其负责地报告给漏洞主体，这一定是件好事，如此行为就该得到业内认可。然而，这也引发了另一个问题，即这样的工作是否会在无意中助长“擅自访问他人网络”的风气？

对此，William回忆道：“2008年，那时我还是黑客团队中的一员。当初我们团队只执着于做一件事，就是寻找存在漏洞的远程桌面。我们会使用TSGrinder和Angry IP Scanner，并通过Python脚本进行配合，使主机发现和入侵过程完全自动化。”

某天，William所在黑客团队入侵了一家位于密西西比州的律师事务所。一开始，当他们在事务所计算机系统中四处探索时，他们脑中涌现出了许多坏主意，比如他们会想要去读取律师和美国检察官之间的私人电子邮件。“也许我们能发现这家律师事务所和政府之间的非法勾结或不当交易，又或者，我们能发现包含线人身份的机密文件。可以说有无数种可能性冲击着我们的脑海，只要我们去做，就一定能找到许多惊天动地的秘密。”

然而，团队中的某位成员却建议大家不要轻举妄动，最好的选择是将弱密码报告给事务所，其他一切照常。“那时已经有‘黑客擅自侵入系统，最后善意报告了还是被捕’的案例了。但我们仍旧报告了，因为人在关键的时候必须要做正确的事。经过一致同意后，那位成员给律师事务所打了电话，一开始接电话的律师还以为是恶作剧，他不相信有人能远程入侵他的电脑。而正当这位律师准备挂断电话的时候，我们那位成员不得已将其电脑中的内容描述了出来。结果，那位律师先是沉默不语，之后立马勃然大怒，他表示，我们这样侵犯隐私的行为是极其恶劣的。”

William说，如果这位律师愿意的话，他本可以直接通知联邦调查局，但令人惊讶的是，他没有这么做。等到这位律师冷静下来后，他甚至还感谢了William的队友，因为不是所有黑客都会好心报告系统漏洞的。最后，William的队友还帮助律师禁用了远程桌面功能，同时还教会了他如何设置安全密码。

“这件事本来可能会很麻烦，毕竟我们是真的侵犯了他人隐私，但幸运的是，所遇之人愿意站在我们的角度去思考问题。很多时候，黑客们常常会陷入法律纠纷。我们中的许多人，基于某些理念，往往会认为自己是在做正确的事，比如所谓的揭露漏洞，其实从一开始他们就无权扫描、访问这些网络和应用，因为他们未被授权，但这些黑客会认为自己的行为是正义的。”

基于此，William提问，那些公开披露自己所发现的漏洞，并发布概念验证（PoC）以供他人学习的安全人员，最后却导致了更多的网络攻击事件，对于这样的情景，又该如何评论呢？

CVD该如何运作

William为此引申出了“负责任披露”的概念。William说，负责任的披露有时也被称为协调漏洞披露（CVD），就是当道德黑客和安全研究人员发现漏洞后，他们会将这些发现报告给受影响的公司或供应商，通过这种方式，许多公司可以在恶意行为者利用这些漏洞之前解决安全问题。

“事实上，上世纪90年代末，在我开启黑客之旅时，我们并没有任何正式的漏洞赏金计划或相关的披露政策。因此，如果我们想要向受影响的公司报告这些漏洞发现，我们就必须谨慎行事。毕竟，执法部门对于黑客的抓捕是非常积极的，这些部门更乐意起诉普通民众难以理解的技术犯罪。”

William说，网络安全行业一个比较重要的方面，是能够与同行业的其他参与者一起交换研究成果，彼此之间携手合作，共同教育、警告那些对漏洞视若无睹的主体，并在理想的情况下，让这些主体提前预防和最小化潜在的安全风险。

然而，William指出，这其中也存在一种困境，即威胁行为者不会明说自己就是黑客，他们会将自己伪装成伙伴，并博取安全人员的信任，只要他们没有在网络攻击时露出马脚，安全人员就很难分辨对方是否能够合作，因为要顾忌到，一旦将漏洞发现分享出去，是否会引起新的网络攻击。从过程来看，这更像是一场猫捉老鼠、间谍对间谍的游戏。

但是，William更想讨论另一种安全风险，即所谓的公开披露。

CVD是安全的敌人吗？

“CVD在缓解和修复漏洞中至关重要，这也是行业防范外部威胁的重要环节。但是，如果安全研究人员在社交媒体上发布了他们的概念验证（PoC），却被威胁行为者看到了，然后威胁行为者还对此进行利用并转化为了黑客武器，那又该怎么办呢？”

William表示，当公司和供应商未能规范“该如何在政策允许的情况下公开披露漏洞”时，这种情况就会发生，以现状来看，这样的事例占大多数。“在我看来，行业应该将概念验证（PoC）、漏洞利用，以及详细描述‘如何发现漏洞’的路线图，保留在一个特定的人群中，比如网络安全行业本身，其还应包括用一种安全的方法来传达这些发现。也只有通过这种方式，我们才可以减少恶意行为者同时发现新漏洞的可能性。”

William说，像这种“黑客利用披露”的情况在过去已经发生过无数次了，而且将来还会继续发生，除非行业采用新的披露标准来限制公众访问，限制滥用，否则很难从根本上解决问题。“而新标准是否可以通过立法或通过行业来进行私下管理，这又是一个问题。”

黑客钟爱披露

William以2021年阿里云安全团队披露Log4j 0day漏洞为例，他说，尽管自2013年以来此漏洞一直未被察觉，但从结果来看，此漏洞真的能危及到数百万Apache软件用户的系统安全。“然而，从私下披露过渡到公开披露，在这整个过程的转变中，披露本身却使得网络攻击迅速升级到能对数百万用户造成威胁，其影响范围之大令人难以置信，比如它还影响到了Minecraft、Apple iCloud、Twitter、Cloudflare、Steam等平台，以及各种软件包，等等。”

这不禁让人感叹，一次公开披露的后果，竟能给数百万用户带来了危害。William表示，这与网络犯罪分子公开泄露敏感信息相比，也不遑多让了。显然，在这个案例中，研究人员并不是网络犯罪分子，但其行为所造成的后果却是一样的严重。

“现实中，关于这一连锁反应其实仍在继续。log4j漏洞的暴露使得关键基础设施都面临了风险，其包括SCADA系统和处理国家安全等重要事务的系统。有报道称，0day漏洞还被用于间谍活动，比如有黑客因此攻击了与比利时国防部有关联的系统。目前，对于存在log4j漏洞的系统来说，任何潜在的入侵者都可以通过Metasploit框架来利用这些漏洞。”

此外，据William回忆，2021年也发生过类似的事件。当时Windows的Linux子系统（WSL）遭到了攻击，出现了首个基于WSL的恶意软件，即“Bashware”。而其实早在2017年，最初发现相关漏洞的安全研究人员就已经向微软报告过这个问题了，但微软认为这并不严重，因为恶意攻击者很难在现实中发现此漏洞。

“这个概念验证（PoC）在发布后没几天就被人遗忘了，直到某天，一名攻击者发现了它，并利用其中的知识将其武器化，谁也不曾想到，曾经那个被人忽略的漏洞，最后却会以这样恶意的方式出现在众人的面前。而其实这样的例子并不少见，这是因为漏洞披露通常不会被视为敏感问题。但是如果我们继续对此问题坐视不管，那么因此而产生的滥用行为总有一天会对国家安全造成破坏性的影响。”

国内安全专家的建议

对于业内漏洞披露会被威胁行为者利用一事，国内安全专家如此建议。

烽台科技（安全助力数字化转型）副总裁吴海民表示，本质上，漏洞在软件编译通过或硬件定型的时候就己经存在了，投入应用后大概率会被有能力的人发现，这个是客观规律。在某个时刻，到底有多少人发现了漏洞，以及其中有多少人会利用漏洞做不利于社会发展的事，这是无法尽知的。地球人这么多，聪明人并不唯一，所以大概率漏洞披不报露都会被威胁行为者利用。

所以，吴海民指出，漏洞披露就是个情报从暗到明的过程，谁背后的能力越强就越不在乎，就和现在有人愿意把AI开源一样。但也有一些人愿意闭门造车，能力如何就不好评价了。

“而无论现实中存在多少侥幸的、无知的或纯粹明目张胆的，有一点是明确的，那就是在漏洞披露方面国家出台了相关政策法规，比如《中国互联网协会漏洞信息披露和处置自律公约》，而这样的法律法规很明显代表了国家意志，也就是说这已经不是纯粹技术层面的事了。所以，对于从业者而言，最好的应对方式就是遵纪守法，不然就得承担后果！”

某科技公司安全负责人朱士贺表示，漏洞披露应遵循法律法规的相关要求，参照其方法机制和流程进行漏洞的披露与上报。这样才能够最大可能的避免会被威胁行为者利用或技术流转被利用。

朱士贺指出，2021年7月12日《网络产品安全漏洞管理规定》经三部委联合通知予以发布，自2021年9月1日起施行。因此漏洞披露已有明确的法律法规，相关要求包含了漏洞上报机制和披露流程，行业内人士参照执行即可，该流程机制能够最大限度的保护漏洞发现者，并有效避免被威胁行为者利用。

“法规法规是非常明确的，所以我的建议是，业内漏洞披露应遵循工信部公安部网信办三部门2021年7月12日印发的《网络产品安全漏洞管理规定》，其中第四条第七条有明确要求，作为安全从业者应当遵纪守法通过法律保护自身和抵制技术滥用。”

原文地址：

Bug bounties and the case for secure disclosure | Cybernews

作者：

Jesse William McGraw  

人道主义活动家、公共演说家

END

点击这里阅读原文