二十多年前,网景公司(Netscape)首次宣布将向黑客支付报酬,让他们报告在其浏览器中发现的漏洞。现在,许多组织在财务上奖励那些报告软件缺陷的黑客。虫子越大,奖励越大。不过,鉴于苹果和谷歌都为漏洞提供了100万美元的赔偿,卢塔安全公司(Luta Security)的首席执行官凯蒂•穆苏里斯(Katie Moussouris)认为,情况可能有点失控了。
本月早些时候,在旧金山召开的信息披露会议上,天辰娱乐登陆平台Moussouris说:“如果你有能力启动一个漏洞奖励计划——并把这些钱花在外部研究上——你难道不想先仔细想想自己到底想从中得到什么吗?”你愿意为最容易摘到的、不需要任何特殊技能的水果付钱吗?还是想先把钱花在内部发现和消除这些bug上,然后再去摘比较容易摘的果实?”
她继续说,“还有这样一种情况,bug平台鼓励人们尽快开始做这些事情。平均而言,我们看到的报告主要是跨站点脚本编写,一些发展为身份验证问题,这是一个广泛的类别,可能是没有身份验证的PII(个人身份信息)之类的东西。这是唾手可得的成果吗?它是。这也是我所说的“慷慨肉毒杆菌”。这只是表面上看起来很忙,但你并没有得到更多的安全感。”
Moussouris说,尽管启动bug奖励计划的愿望可能是出于良好的意图,但组织通常缺乏可靠的数据。有些人会说,臭虫赏金是我们吸引那么多人关注的唯一途径。让我们来看看。对于这些(漏洞奖励)平台来说,注册人数是巨大的。”她举了一个提交了30万个bug的例子,但是只有1 / 10的bug有意义。她说,一些黑客每个漏洞确实能赚到5000美元。
这也表明,黑客不一定能从漏洞奖励中获利。从同样的例子中,只有100名黑客挣到6位数的工资,Moussouris说,这相当于一个全职的钢笔测试员的工资。“也许有两到五个bug赏金百万富翁,但没有一个平台愿意详细说明他们花了多长时间才达到百万美元大关。如果你把那一百万美元花在几年的时间里,天辰登录注册差不多就是一个笔测试员的年薪了。”
Moussouris说,黑客只会寻找漏洞来换取现金的说法也是错误的。“在创作和获得认可之间存在一种平衡,可能不是名气,而是来自同行的认可,或者是对智力快乐、解决问题、解决挑战的追求。”每个人都有这样的平衡,为什么要做他们个人做的事情。”
穆苏里斯说,想想那些从一项赏金计划中获得六位数收入(119K美元)的人吧。当分解到发现几个bug所花费的时间时,她估计每个bug的价值约为每小时29K美元。她说:“我不认为(笔友测试员)的工资是每小时29K美元。”尽管支付了这么多钱,这个人还是找到了一份全职工作,
天辰测速官网在一家机构做笔测试员。为什么?“因为他有个女儿,想少工作,多陪陪她,”她说。
Moussouris还认为,为bug提供越来越多的赏金对攻击安全性和防御安全性之间的平衡几乎没有影响。在2015年接受《福布斯》采访时,她曾表示,她与麻省理工学院(MIT)和哈佛大学(Harvard)的漏洞模型的合作表明,为软件漏洞付出高昂代价似乎会带来经济上的负面影响。她说:“在市场从本质上消耗掉所有开发人员和测试人员的人才库之前,他们对某些代码的工作方式非常熟悉,这是一个合理的限制和上限。”“如果有10万美元甚至更多的奖金,奖励那些他们非常熟悉的代码中的单个错误,为什么(软件工程师)要保留他们的日常工作?”
在披露时,穆苏里斯再次重申了这一数据,他说,苹果新的百万美元漏洞奖励计划产生了一些意想不到的风险。“苹果有多少开发者赚了一百万美元?”测试人员多少?有多少以前从未有过工作的年轻人愿意走进办公室,参加各种会议,而不是去挣一百万美元?事实上,你正在破坏你的劳动力管道。如果你认为‘就让价格继续上涨吧’,那你就是在浪费劳动力。我完全支持黑客赚一百万美元,但这对预防的结果更具破坏性。预防性的东西,你必须建立安全,谁来建立它?”
错误奖励程序并不能免除组织进行基本的软件卫生工作。“你有效地外包了分流,”Moussouris说,“但是你外包给了一群随机的检查人员。只有少数几个是好的。这不是关于发现错误——很多人都在寻找错误——但也有很多重复的错误。重复发生是因为果实低挂。漏洞奖励不能代替渗透测试员。”
Moussouris再次提醒听众注意漏洞成熟度模型,并表示它也不完全是工程。她说:“如果法律和沟通小组能够理解我们试图推广的概念,漏洞小组将会更加成功。”“我们正试图让你解决这个问题。不,90天的期限并没有威胁到你。这实际上是为了用户的最大利益。我们不想让这只虫子永远呆在那里。”
最终目标应该是什么?“你想要看到的是一个进程,天辰平台登录从许多任何人都能找到的唾手可得的成果,到越来越少的更复杂的bug,”Moussouris说。“我们能从现有的漏洞奖励计划中得到这种措施吗?”没有。”