摘要：漏洞框上的安全專家是否曾經(jīng)做過黑客攻擊，平臺實際上無法知道，如果你可以通過完全依靠技術(shù)發(fā)現(xiàn)漏洞給這些黑客提供賺錢的合法機(jī)會，從“黑客攻擊” “白帽子”轉(zhuǎn)型似乎越來越容易。

文/B12隊蘇偉

“充足的眼睛可以使所有的問題暴露出來。 “這是Linux創(chuàng)始人Linus· Tovarz的著名評論，它甚至成為計算機(jī)技術(shù)領(lǐng)域的”Linnas“法。然而，這句話正遭受著前所未有的挑戰(zhàn)。

2014年4月，OpenSSL打破了Heartbleed漏洞，該漏洞可用于竊取敏感服務(wù)器信息并實時檢索用戶帳戶密碼。世界上三分之二的Web服務(wù)器使用OpenSSL軟件，使這個漏洞成為近年來受影響最大的高風(fēng)險漏洞。

OpenSSL應(yīng)用程序非常廣泛，存在嚴(yán)重的漏洞。即使有很多眼睛盯著，但由于被忽視，漏洞可能仍然處于危機(jī)之中?；ヂ?lián)網(wǎng)漏洞測試平臺“漏洞框”的創(chuàng)始人袁勁松認(rèn)為，“林納斯定律”并不全面：除了足夠的眼睛，還需要一個足夠好的獎勵機(jī)制。漏洞框的做法是利用激勵措施將世界各地的黑客聯(lián)合起來，并使用眾包來解決互聯(lián)網(wǎng)安全問題。

　　從Freebuf到漏洞盒子

還記得“互聯(lián)網(wǎng)+”鐵鍬事件嗎？今年5月27日，支付寶面積很大，計算機(jī)和移動終端都無法轉(zhuǎn)賬。原因是杭州蕭山區(qū)電纜被切斷了。這反過來又導(dǎo)致了支付寶主要計算機(jī)房的影響。沒想到，另外一件事發(fā)生在攜程網(wǎng)站內(nèi)部員工意外刪除的代碼中，攜程網(wǎng)站整體停機(jī)時間為12小時。在數(shù)據(jù)泄漏方面，國內(nèi)互聯(lián)網(wǎng)公司更是“你為我而戰(zhàn)”，不相信以下圖片：

　　這些廠商都有過泄露數(shù)據(jù)的不光彩歷史

在《信息安全與通信保密》的一份報告中，一份專業(yè)雜志稱，2012年，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)達(dá)到216.4億元，同比增長20.9％。袁勁松認(rèn)為，現(xiàn)在是安防行業(yè)發(fā)展的好時機(jī)。在他開始創(chuàng)業(yè)之前，他在攜程網(wǎng)擔(dān)任安全經(jīng)理，現(xiàn)在還在2010年。那時，他業(yè)余創(chuàng)辦了互聯(lián)網(wǎng)安全交流論壇Freebuf，聚集了大量熱愛互聯(lián)網(wǎng)安全的白帽子。所謂的“白帽”是指利用網(wǎng)絡(luò)安全專業(yè)知識深入研究和利用計算機(jī)和網(wǎng)絡(luò)系統(tǒng)漏洞的人。但是，與黑客不同，它們不會造成任何損害，并會告知管理員漏洞和修復(fù)方案。 。

在Freebuf受歡迎之后，2014年，袁勁松與百度，阿里和華為等多家合作伙伴共同創(chuàng)建了一個漏洞框。

　　把全世界的黑客聯(lián)合起來

互聯(lián)網(wǎng)公司自然需要安全服務(wù)，但即使對于大型互聯(lián)網(wǎng)公司，安全人員也分散在不同的業(yè)務(wù)部門，更不用說小型互聯(lián)網(wǎng)公司。漏洞框的實踐是利用共享經(jīng)濟(jì)的想法將黑客聯(lián)合起來并采用“眾包”方法來解決安全問題。

在硅谷，超級互聯(lián)網(wǎng)公司谷歌安排自己的頂級安全分析師組建一個互聯(lián)網(wǎng)安全項目Project Zero，該項目組織了一群黑客精英，專門發(fā)現(xiàn)谷歌和互聯(lián)網(wǎng)的安全漏洞。 。漏洞框的白帽團(tuán)隊聚集了世界各地的技術(shù)精英。 “一家大公司的業(yè)務(wù)部門，負(fù)責(zé)安全測試的工程師人數(shù)超過十幾人，我們可以在這里接觸數(shù)千名參與測試的人?！?/p>

在漏洞框的平臺上，這些安全專家將根據(jù)各自的專業(yè)領(lǐng)域進(jìn)行標(biāo)記，之前提交的漏洞記錄也有助于完善此類用戶圖像。

在漏洞框中，測試項目的過程通常是制造商啟動要測試的項目，然后漏洞框?qū)橹圃焐探⒁粋€由安全專家組成的測試團(tuán)隊，然后測試人員提交一個安全漏洞供應(yīng)商，供應(yīng)商傳遞漏洞。對盒子平臺進(jìn)行審查和處理。最后，供應(yīng)商將根據(jù)漏洞評估的結(jié)果向測試人員發(fā)放獎金，漏洞框還將為供應(yīng)商提供詳細(xì)的安全報告。在費用方面，根據(jù)漏洞的數(shù)量和評級收取費用。如果未發(fā)現(xiàn)漏洞，則不會向公司收費。

在這方面，企業(yè)不可避免地?fù)?dān)心項目信息的機(jī)密性。為了確保產(chǎn)品測試過程的機(jī)密性，對于所有高級項目測試，漏洞框?qū)⑹钦鎸嵭彰麥y試人員的身份，聯(lián)系信息，姓名等，以確保在項目期間不會泄露有關(guān)項目方的信息。測試過程;其次，對于項目安全級別要求高級項目測試，漏洞盒或供應(yīng)商將提供網(wǎng)絡(luò)映像流量，VPN等，以確保整個過程中審計員的行為。對于測試結(jié)果，未經(jīng)制造商和平臺許可，測試人員不得透露測試過程和結(jié)果的任何細(xì)節(jié)，否則他們將承擔(dān)責(zé)任。

事實上，白帽子和黑帽子，他們的預(yù)分析，獲取漏洞的過程幾乎是難以區(qū)分的，白帽子會說他們是白帽子，但黑帽子從不說他們是黑帽子— —差異只是最后的漏洞使用它的方式是不同的。

袁勁松表示，對于漏洞框上的安全專家是否曾經(jīng)做過黑客入侵，該平臺實際上是未知數(shù)，但參與黑客地下產(chǎn)業(yè)鏈的法律風(fēng)險非常高。如果這些黑客可以依靠技術(shù)來發(fā)現(xiàn)漏洞，他們就可以賺錢。正確的機(jī)會，從“黑客”到“白帽子”的過渡似乎變得更加容易了 - —并且漏洞框正在做這樣的事情。就像優(yōu)步讓那些守衛(wèi)公交車站和火車站的黑車司機(jī)去陽光下開始正常賺錢。漏洞框等平臺也使黑客隱藏在網(wǎng)絡(luò)的漸暈中有一個自洗白色。機(jī)會——電腦插在互聯(lián)網(wǎng)上，用技術(shù)查找漏洞，就可以謀生。

　　「未來會出現(xiàn)一家改造行業(yè)的公司」

使用“眾包”解決安全問題不是漏洞框中的第一件事。事實上，早在2012年，著名的漏洞平臺就推出了“Uyun Cloud Survey”。通過邀請頂級白帽模擬黑客來測試網(wǎng)站，系統(tǒng)或產(chǎn)品，公司可以快速調(diào)查各種安全風(fēng)險。然而，黑色云平臺上的開放漏洞也使其成為一個致命的漏洞：2012年，暴露運營商漏洞的黑色云被暴力撤出，因為它拒絕刪除漏洞; 2014年，黑云遭遇了瘋狂的DDos攻擊并趁機(jī)凍結(jié)了18個小時;在同一年，它被SAE云計算平臺和hellip莫名其妙地阻止了;…

但是，在商業(yè)化的道路上，漏洞框的步驟更加扎實。該漏洞框認(rèn)為，與廣義上的暴露漏洞或漏洞相比，企業(yè)需要更嚴(yán)格，系統(tǒng)和專業(yè)的服務(wù)。為此，袁勁松在中國建立了頂級的企業(yè)服務(wù)工程團(tuán)隊。除了供應(yīng)商暫時提交的短期項目外，Vulnerability Box還將為互聯(lián)網(wǎng)公司簽署框架協(xié)議，這些公司正在迅速迭代產(chǎn)品，以對其產(chǎn)品進(jìn)行持續(xù)的安全監(jiān)控。據(jù)袁勁松介紹，該漏洞盒還將于11月發(fā)布新的企業(yè)級安全測試產(chǎn)品，為企業(yè)提供更深入，更好的安全服務(wù)。

該漏洞盒成立僅半個月，已收到數(shù)百萬天使投資。今年8月，該漏洞盒已經(jīng)從金浦獲得了3000萬元的前A輪投資。該平臺上的安全專家數(shù)量已達(dá)到2萬個，其中包括一批海外白帽，測試近100個項目的客戶。有許多著名的大公司，如騰訊，支付寶，360和何去何從。

日益成熟的黑客產(chǎn)業(yè)鏈?zhǔn)沟没ヂ?lián)網(wǎng)安全性從一個不太公認(rèn)的領(lǐng)域突然增加到多金市場。 “第三方外包安全服務(wù)將逐漸成為一種趨勢，將來會有一家公司改變這個行業(yè)。”袁勁松說。

« 阿里收購優(yōu)酷土豆后視頻網(wǎng)站結(jié)構(gòu)如何變化？ | 外國媒體預(yù)測《上古卷軸》新的連續(xù)內(nèi)容：建立一個城市作為主 »