27岁程序员转职赏金猎人:一个漏洞10万美元,比工资香多了
Bug 賞金的平均收入是軟件工程師平均工資的 2.7 倍,我們鼓勵(lì)你用業(yè)余時(shí)間兼職。
6 月 1 日,有報(bào)道稱,印度開發(fā)者 Bhavuk Jain 向蘋果安全團(tuán)隊(duì)報(bào)告了 Sign in with Apple(通過 Apple 登錄)中存在一個(gè)零日漏洞,它允許攻擊者遠(yuǎn)程劫持任意用戶賬戶,影響嚴(yán)重。為此蘋果向 Jain 支付了十萬美元的巨額賞金。
在去年的 WWDC 上,蘋果正式推出屬于自己的第三方登錄服務(wù)——Sign in with Apple(通過 Apple 登錄),允許用戶不必填寫表單、驗(yàn)證電子郵件地址和選擇新密碼從而通過 Apple ID 登陸第三方服務(wù)。截至目前,有許多開發(fā)者已經(jīng)將 Sign in with Apple 整合到應(yīng)用程序中,比如國(guó)外的 Dropbox、Spotify、Airbnb、Giphy ,國(guó)內(nèi)的喜馬拉雅、懶飯、廚房故事等。
這名開發(fā)者今年才 27 歲,他在一篇博文中聲稱,他于 4 月向公眾披露該漏洞之前,已向 Apple 報(bào)告。目前,Apple 已經(jīng)修復(fù)該漏洞,并給他支付了十萬美元賞金,作為 Apple 安全賞金計(jì)劃的一部分。
Jain 之前是一位主要使用 React Native 進(jìn)行移動(dòng)應(yīng)用程序開發(fā)的全棧工程師。現(xiàn)在,他已轉(zhuǎn)向成為了一名全職漏洞賞金獵人。
賞金致富變得普遍
Bug 賞金平臺(tái) HackerOne 在兩年前發(fā)布了一份調(diào)查報(bào)告,涉及到了該平臺(tái)上注冊(cè)的 1700 名 Bug 賞金獵人,該報(bào)告顯示頂級(jí)黑客的賞金平均收入是同一國(guó)家軟件工程師平均工資的 2.7 倍。
2019 年 8 月,HackerOne 還曾宣布,其平臺(tái)的 8 名黑客已成為百萬富翁,其中 19 歲的 Santiago Lopez (@try_to_hack) 于 2019 年 3 月成為第一個(gè)百萬富翁。
“現(xiàn)在,英國(guó)的 Mark Litchfield (?@mlitchfield?)、澳大利亞的 Nathaniel Wakelam (?@nnwakelam?)、瑞典的 FransRosen (?@fransrosen?)、香港的 Ron Chan (?@ngalog?)、以及美國(guó)的 Tommy DeVoss (?@dawgyg?) 都已躋身百萬黑客富翁行列,他們都提高了互聯(lián)網(wǎng)安全。”HackerOne 當(dāng)時(shí)表示。
來自德國(guó)的 Cosmin (@inhibitor181) 和 Eric (@todayisnew) 是今年早些時(shí)候(均在 2 月 24 日)公布的第七位和第八位的百萬黑客富翁。
今年 5 月,HackerOne 自豪地宣布:“黑客們通過我們的平臺(tái)上進(jìn)行永久的黑客攻擊,已經(jīng)賺取了 1 億美元的 Bug 賞金。”
該公司首席執(zhí)行官補(bǔ)充說,“由于他們的創(chuàng)造力和堅(jiān)韌不拔的精神,我們預(yù)計(jì),黑客們將在五年內(nèi)有望獲得 10 億美元的 Bug 賞金。”
HackerOne 僅一年就支付 5000 萬美元賞金。
如下圖所示,支付給黑客的賞金總額從 2014 年至 2016 年的 1000 萬美元增長(zhǎng)到 2017 年至 2019 年的 3000 萬美元,并在 2019 年第二季度至 2020 年第二季度達(dá)到 5000 萬美元。
在使用 HackerOne 來報(bào)告安全漏洞的黑客中,有 12% 能做到每年僅通過 Bug 賞金計(jì)劃獲得超過 2 萬美元的收入,而 1.1% 的黑客每年能獲得超過 35 萬美元的賞金,有 3% 的黑客每年獲得超過 10 萬美元的賞金。
HackerOne 表示:“我們用了五年的時(shí)間才達(dá)到 2000 萬美元賞金的級(jí)別,這一數(shù)字是在 2017 年第三季度達(dá)到的(見下面圖表)。”
“從那以后,事情就真的有了起色,接下來的 8000 萬美元賞金,只花了三年的時(shí)間。最近,我們迎來了有史以來最好的一周:僅僅六天,我們就支付了 240 萬美元的賞金!”
漏洞賞金水漲船高,讀到這里你是不是對(duì)傳說中的白帽黑客、Bug 賞金獵人、道德黑客這些群體產(chǎn)生了好奇心?作為一位普通開發(fā)者,能在業(yè)余時(shí)間從事這些工作嗎?一位來自 Bugcrowd Bug 賞金平臺(tái)綽號(hào)為 X3n0N 的年輕開發(fā)者,分享了他如何作為一位小白獲得 2000 美元的經(jīng)歷。而另一位開發(fā)者 Wineberg ,過去六年一直在兼職做 Bug 賞金獵人,由于賞金客觀,一年半前他轉(zhuǎn)成全職 Bug 賞金獵人。
賞金獵人入門
2012 年,還在大學(xué)學(xué)習(xí)計(jì)算機(jī)科學(xué)時(shí),一名綽號(hào)為 X3n0N 的年輕開發(fā)人員開始涉足 Bug 賞金獵人這一行業(yè)。
他通過閱讀網(wǎng)上論壇的帖子和文章,掌握了基本技能,在白帽黑客技術(shù)方面進(jìn)行了嘗試,在各種網(wǎng)站上梳理漏洞,并查看帶有用戶輸入框的網(wǎng)頁以尋找可能潛伏的跨站腳本或 SQL 注入攻擊漏洞。
據(jù)戰(zhàn)略與國(guó)際研究中心(Center for Strategic and International Studies,CSIS,美國(guó)兩大智庫之一,位于華盛頓特區(qū))的數(shù)據(jù),當(dāng)時(shí),造成超過 100 萬美元損失的網(wǎng)絡(luò)攻擊只有今天的四分之一。盡管現(xiàn)在有多家平臺(tái)促進(jìn) Bug 賞金計(jì)劃,以及強(qiáng)大的 Bug 賞金社區(qū),但當(dāng)時(shí)并沒有足夠的基礎(chǔ)設(shè)施來支持白帽黑客,也就是所謂的道德黑客。
X3n0N 的冒險(xiǎn)經(jīng)歷很快讓他遭到一家大型互聯(lián)網(wǎng)服務(wù)提供商的起訴。他發(fā)現(xiàn)了一個(gè)安全漏洞,這個(gè)漏洞使得劫持客戶賬戶成為可能,他因此可以更改提供商的任何客戶的寬帶套餐。于是,他給該公司發(fā)了一封電子郵件,報(bào)告了這一漏洞。他說,該公司沒有 Bug 賞金計(jì)劃,因此他沒有要求賞金,只是提醒他們注意這個(gè)漏洞,并要求他們確保安全。
但是,該公司收到 X3n0N 的郵件后,一點(diǎn)也不感激。他接著說道,很快,他就開始接到該公司律師的電話,威脅要將他告上法庭。整個(gè)事件傳到了他所在院校的校長(zhǎng)那里,這一經(jīng)歷讓他感到很不愉快。
由于他的行為顯然沒有惡意,所以整個(gè)事態(tài)很快就平息了。他報(bào)告該漏洞的電子郵件為他證明了清白:他的意圖是幫助互聯(lián)網(wǎng)提供商更加安全,而不是從中牟利。于是,該公司放棄了訴訟,只要求他正式道歉,并簽署一份保密協(xié)議,承諾不會(huì)將公司的漏洞公之于眾。
有了那次經(jīng)歷之后,他變得更加謹(jǐn)慎,但這并沒有阻止他繼續(xù)尋找 Bug 的決心。他了解到,有一些公司有官方的漏洞報(bào)告渠道,比如 Google。不久之后,他在 Google 的消息服務(wù)中發(fā)現(xiàn)了一個(gè)跨站腳本漏洞,該漏洞允許他通過在電話號(hào)碼輸入框中注入 JavaScript 代碼并竊取用戶的 Cookie,從而入侵用戶的賬戶。于是,他向 Google 報(bào)告了這一漏洞,Google 為他這一發(fā)現(xiàn)支付了 500 美元的報(bào)酬。
隨后,他因一次相關(guān)的跨站請(qǐng)求偽造攻擊而獲得賞金,盡管這次并不是他報(bào)告的,但他上一次的報(bào)告有助于 Google 發(fā)現(xiàn)這一漏洞,于是 Google 將賞金提高到 2000 美元。X3n0N 對(duì)這次經(jīng)歷感到很高興。“我真的很開心,也很驚喜。”他說,“當(dāng)我還在讀書的時(shí)候,我做夢(mèng)也沒想到我居然會(huì)掙到 2000 美元。”
從兼職轉(zhuǎn)為全職 ,賞金獵人回報(bào)可觀
Wineberg 在網(wǎng)絡(luò)安全行業(yè)工作了十一年。過去六年來,他一直在兼職做 Bug 賞金獵人,直到一年半前,他才轉(zhuǎn)成全職 Bug 賞金獵人。
Wineberg 說:“在過去幾年來,Bug 賞金獵人這一行業(yè)真的很流行,如果你有時(shí)間的話,還是有很多工作可以做的。我一直認(rèn)為,如果我肯花時(shí)間的話,我就能找到東西。通常情況下,當(dāng)我拿到報(bào)酬時(shí),將時(shí)間花在做 Bug 賞金獵人上是值得的。”
當(dāng)他換工作的時(shí)候,碰巧也需要搬家,因此無論如何都需要找一份新工作,所以這似乎是一個(gè)很好的機(jī)會(huì),可以嘗試全職 Bug 賞金獵人。“我想,如果不成功的話,大不了我還可以再去找工作,”Wineberg 說,雖然他還沒有感覺到再找工作的必要。“到目前為止,我真的很享受這份工作。”
每個(gè)星期,他都會(huì)挑選幾個(gè)目標(biāo)進(jìn)行測(cè)試,通常是提供 Bug 賞金計(jì)劃的公司最近推出的新產(chǎn)品。
Wineberg 表示:“我總是會(huì)試著去看一些新的東西,那些之前沒有做過賞金測(cè)試的東西,因?yàn)樵谶@些東西上總會(huì)有最多的發(fā)現(xiàn)。通常情況下,我會(huì)在我正在考慮的網(wǎng)站上進(jìn)行半個(gè)小時(shí)的測(cè)試,然后如果它看起來值得做更多的測(cè)試,我就會(huì)花幾天或一個(gè)星期左右的時(shí)間,只測(cè)試那一個(gè)網(wǎng)站……如果我立即發(fā)現(xiàn)了一個(gè)影響較小的漏洞,那往往是一個(gè)好的跡象,說明將會(huì)有更多的漏洞出現(xiàn)。”
Wineberg 稱,他把大約四分之一的工作時(shí)間花在閱讀安全新聞和其他研究人員發(fā)現(xiàn)的漏洞文檔上。這有助于他隨時(shí)關(guān)注新的漏洞,并了解他缺乏經(jīng)驗(yàn)的技術(shù)棧。
“有了 Bug 賞金,你所關(guān)注的每一個(gè)不同的目標(biāo)幾乎總是使用略有不同的技術(shù)來運(yùn)行其網(wǎng)站或系統(tǒng),”他說,“通常我會(huì)做的是,如果我遇到一種以前不經(jīng)常使用的技術(shù),我就會(huì)回頭尋找任何曾經(jīng)用這種技術(shù)報(bào)告過安全問題的人。我會(huì)閱讀以前的問題,然后要么去找那些問題,看看這些問題是否適用于目標(biāo),要么就去想一些新的方法,可能會(huì)有所發(fā)現(xiàn)。”
有些研究人員也會(huì)構(gòu)建自己的工具,將部分流程實(shí)現(xiàn)自動(dòng)化,這在一開始的時(shí)候需要時(shí)間來設(shè)置,但在以后的工作中會(huì)有幫助。這正所謂磨刀不誤砍柴工。Wineberg 有時(shí)會(huì)注意到自己在重復(fù)執(zhí)行同樣的任務(wù)時(shí),就會(huì)自己構(gòu)建工具,但大多數(shù)情況下,他并沒有專注于某個(gè)特定的方法來充分利用自動(dòng)化。
“我很喜歡看各種各樣的東西,”他說,“一大堆不同的客戶,一大堆不同類型的漏洞。”
Bug 賞金可以積累開發(fā)技能
對(duì)開發(fā)人員來說,做 Bug 賞金獵人可以是積累更多技能的一種有趣方式,哪怕他們當(dāng)作業(yè)余工作來做。
來自 Bugcrowd 的 McCracken 說,“你不會(huì)因?yàn)槁┒吹拇嬖诙斡伤?lsquo;漏雨’,你可能在一段時(shí)間內(nèi)不會(huì)有任何發(fā)現(xiàn)或獲得報(bào)酬。但是,你在學(xué)習(xí)安全方面的所有投資,都會(huì)在你的職業(yè)生涯、你的理解和構(gòu)建方式得到回報(bào),并且會(huì)讓你知道如何構(gòu)建更安全的應(yīng)用。”
Wineberg 對(duì)此觀點(diǎn)亦表示認(rèn)同。他說:“所有人群都可從中受益匪淺,尤其是當(dāng)他們是兼職的話。當(dāng)你全職工作時(shí),你需要有一定的連貫性和策略,并知道你的報(bào)酬如何安排。”
開發(fā)人員往往不會(huì)考慮他們的應(yīng)用程序的安全性如何,有時(shí)候從安全研究的角度來處理自己的應(yīng)用程序是有益的。
Wineberg 說,“開發(fā)人員了解他們的產(chǎn)品是如何運(yùn)作的,但往往不會(huì)去測(cè)試已部署的生產(chǎn)實(shí)例。在我還是顧問的時(shí)候,我們經(jīng)常與開發(fā)團(tuán)隊(duì)一起工作。如果我們發(fā)現(xiàn)一個(gè)問題,有時(shí)候我們會(huì)就這個(gè)問題對(duì)開發(fā)人員進(jìn)行描述,他們會(huì)說,‘不,它不是這樣工作的,這不是一個(gè)問題。’”
Wineberg 接著說,“我們發(fā)現(xiàn),如果給他們對(duì)自己的應(yīng)用程序進(jìn)行一些攻擊性測(cè)試的機(jī)會(huì),就像我們?cè)?Bug 賞金計(jì)劃中對(duì)自己的應(yīng)用進(jìn)行一些攻擊性測(cè)試那樣,他們就會(huì)帶著一堆問題離開。如果你是一名開發(fā)人員,它可以讓你深入了解現(xiàn)實(shí)世界中的事物是如何運(yùn)作的。”
Bug 越來越難被發(fā)現(xiàn),但賞金也在增多
如今,黑客行業(yè)發(fā)生了翻天覆地的變化。要在大型互聯(lián)網(wǎng)公司中發(fā)現(xiàn) Web 應(yīng)用程序的漏洞,難度在增大,但 Bug 賞金和 Bug 報(bào)告計(jì)劃也變得更加常見,公司也更愿意使用專業(yè)的滲透測(cè)試(Penetration Testing,也稱為 Pen Tensting)公司的服務(wù)。滲透測(cè)試公司,就像他們所說的那樣,幫助定位客戶系統(tǒng)中的漏洞,其運(yùn)作方式與傳統(tǒng)的咨詢公司類似,工作人員專門負(fù)責(zé)尋找安全漏洞。
Bug 賞金平臺(tái)的運(yùn)作方式有所不同。這些平臺(tái)更像是一個(gè)市場(chǎng),為自由 Bug 賞金獵人和對(duì)他們的服務(wù)感興趣的公司牽線搭橋。它們通過讓公司接觸大量黑客來吸引公司,反過來又通過提供愿意為其服務(wù)付費(fèi)的公司名單來吸引黑客。Bigcrowd于 2011 年作為世界首家 Bug 賞金平臺(tái)推出,之后很快就有很多其他平臺(tái)紛紛效仿。
Bugcrowd 安全運(yùn)營(yíng)總監(jiān) Grant McCracken 說:“眾包安全的理念是,如果你進(jìn)行滲透測(cè)試,通常會(huì)有一個(gè)人做評(píng)估。如果你有兩個(gè)人進(jìn)行評(píng)估,你可能會(huì)發(fā)現(xiàn)這樣做比一個(gè)人能夠發(fā)現(xiàn)更多的東西;而如果有 500 個(gè)人的話,那就是指數(shù)級(jí)增加了,可不是僅靠一兩個(gè)人發(fā)現(xiàn)所能比的。所以說,它是在利用大眾的力量和零工經(jīng)濟(jì)(gig economy)的可擴(kuò)展性來滿足網(wǎng)絡(luò)安全領(lǐng)域的需求。”
Bug 賞金平臺(tái)需要一段時(shí)間才能為主流所接受。Katie Moussouris 是另一個(gè)早期的 Bug 賞金平臺(tái) HackerOne 的前首席政策官,她在幫助其項(xiàng)目發(fā)展的過程中發(fā)揮了重要作用。她甚至成功與美國(guó)國(guó)防部合作,在 2016 年發(fā)起了試點(diǎn) Bug 賞金挑戰(zhàn)賽,名為“Hack The Pentagon”(入侵五角大樓)。逾一千名黑客參與其中,總共發(fā)現(xiàn) 138 個(gè)有效的安全漏洞。美國(guó)政府為此支付了大約 7.5 萬美元。該試點(diǎn)被國(guó)防部認(rèn)為是一次成功的概念驗(yàn)證。
挑戰(zhàn)賽結(jié)束后,時(shí)任國(guó)防部長(zhǎng) Ash Carter 說:“我們對(duì)某些系統(tǒng)和網(wǎng)站的關(guān)注者越友好,我們就能發(fā)現(xiàn)越多的漏洞,就能修復(fù)越多的漏洞,我們就能為我們的戰(zhàn)士提供更多的安全保障。”隨后,該試點(diǎn)項(xiàng)目又陸續(xù)發(fā)起了入侵陸軍、入侵空軍、入侵海軍陸戰(zhàn)隊(duì)的黑客挑戰(zhàn)賽,以及持續(xù)的漏洞披露計(jì)劃,任何人都可以報(bào)告他們發(fā)現(xiàn)的漏洞。
在這些努力的推動(dòng)下,以及在越來越重視安全防范措施的趨勢(shì)下,道德黑客的行為已得到更廣泛的接受。Bug 賞金計(jì)劃和雇傭黑客的公司現(xiàn)在將他們稱為“安全研究人員”,聽起來更體面。隨著這一舉動(dòng)成為主流,使得更多的人開始嘗試涉足 Bug 賞金獵人。如今,Bugcroud 平臺(tái)上已經(jīng)列出了大約 14 萬名研究人員。
與此同時(shí),公司越來越重視安全,這使得查找 Bug 變得更具挑戰(zhàn)性。提供滲透測(cè)試服務(wù)的咨詢公司 Rapid 在其 2019 年度調(diào)查報(bào)告稱,當(dāng)滲透測(cè)試員被聘請(qǐng)從公司網(wǎng)絡(luò)外部測(cè)試公司的系統(tǒng)時(shí),他們只有 21% 的時(shí)間能夠侵入網(wǎng)絡(luò)。成功攻擊公司網(wǎng)站的幾率更小,導(dǎo)致公司系統(tǒng)總訪問率只有 3%。
這些數(shù)字看上去,可能離理想中的零相去甚遠(yuǎn),但卻令人鼓舞。因?yàn)闈B透測(cè)試人員都是經(jīng)過嚴(yán)格訓(xùn)練的,能夠入侵系統(tǒng)。這對(duì)每個(gè)人來說都不啻為一個(gè)好消息,但這確實(shí)意味著在過去十年里,成功發(fā)現(xiàn) Bug 并因此獲取報(bào)酬的門檻已經(jīng)提高了。
熱情好客的社區(qū)
考慮到參與者眾多,安全意識(shí)也越來越強(qiáng),發(fā)現(xiàn) Bug 的難度也越來越大,社區(qū)還能受到如此歡迎,著實(shí)有點(diǎn)令人驚訝。
Wesley Wineberg 具有網(wǎng)絡(luò)安全背景,六年來一直從事尋找 Bug 的工作。
Wineberg 稱:“通常情況下,如果我向某人求助,或者想要分享一些技巧,人們真的都會(huì)對(duì)此持開放態(tài)度,而且非常友好。”
他解釋說,研究人員發(fā)現(xiàn)的數(shù)漏洞,大多都可以歸為幾類,這些漏洞可以通過使用廣為人知并有詳細(xì)記錄的技術(shù)來發(fā)現(xiàn),比如每年的OWASP 十大最關(guān)鍵 Web 應(yīng)用安全漏洞榜單上。當(dāng)然,如果是研究人員自己開發(fā)的更復(fù)雜、更創(chuàng)新的方法,它就不適用了。
“這里面存在一個(gè)平衡點(diǎn)。如果有人擁有別人無法使用的技術(shù),而他們得到了大量的發(fā)現(xiàn)并拿到了可觀的賞金,那他們就不會(huì)真的會(huì)去分享太多關(guān)于這項(xiàng)技術(shù)的信息。”Wineberg 說。
但大多數(shù)情況下,人們還是愿意互相幫助的。盡管有越來越多的人在尋找 Bug,但仍然有很多 Bug 等待被人們發(fā)現(xiàn)。
Wineberg 說:“每年都有越來越多的人在做 Bug 賞金獵人,但每年的目標(biāo)也會(huì)越來越多。如果有人想在某個(gè)目標(biāo)需要幫助的話,我會(huì)假設(shè)這個(gè)目標(biāo)和我這周的目標(biāo)不一樣,只是因?yàn)榭晒┻x擇的目標(biāo)實(shí)在太多了。”
除了研究人員之間互相學(xué)習(xí)之外,對(duì)于剛剛?cè)腴T的新手來說,也有很多資源可供學(xué)習(xí)。那些掌握基礎(chǔ)知識(shí)的人可以有目的地下載不安全的網(wǎng)絡(luò)應(yīng)用程序(因?yàn)槲唇?jīng)網(wǎng)站所有者的明確許可而入侵網(wǎng)站是聯(lián)邦犯罪),還可以跟隨實(shí)時(shí)黑客教程學(xué)習(xí),甚至進(jìn)行黑客游戲,該游戲旨在讓K-12 年級(jí)的學(xué)生成為黑客的新秀。
另一個(gè)很好的學(xué)習(xí)方式是閱讀研究人員寫的有關(guān)他們成功經(jīng)驗(yàn)的博文。2019 年,Teddy Katz 從 GitHub 獲得了 2.5 萬美元的賞金,這是 GitHub 有史以來最高的賞金,之后,他發(fā)布了一份詳細(xì)的教程,闡述了他是如何發(fā)現(xiàn)這一漏洞的。這一漏洞繞過了 GitHub 的授權(quán)流程中的檢查。
參考鏈接:
https://www.businessinsider.in/tech/news/indian-developer-earns-rs-75-lakh-for-finding-sign-in-with-apple-bug
https://builtin.com/software-engineering-perspectives/bug-bounty-hunting
https://www.bleepingcomputer.com/news/security/100-million-in-bounties-paid-via-hackerone-to-ethical-hackers/
總結(jié)
以上是生活随笔為你收集整理的27岁程序员转职赏金猎人:一个漏洞10万美元,比工资香多了的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 成都哪里有正规的布偶猫舍?
- 下一篇: 被列入实体名单后,哈工大、哈工程再躺枪,