2015年底,漏洞奖励平台HackerOne新任了一位CEO,荷兰人马特恩.米克斯。米克斯在世纪之交时任MySQL的CEO,8年之后离开赴任云计算公司Ecalyptus的CEO,该公司后被惠普收购。从惠普离开之后,米克斯出人意料的接受了HackerOne伸来的橄榄枝。
马特恩.米克斯
上任三个月之后,在HackerOne宣布内测新的漏洞订阅服务时,米克斯接受了知名黑客媒体 EI Reg 的采访,这位科技精英对黑客经济有着清晰、明确的想法,并对漏洞奖励市场有着无比的信心。
下面是安全牛翻译整理的采访内容:
记者:为什么来HackerOne?从你的职业生涯来看,与之前的领域区别很大。
米克斯:我知道自己只能当CEO。我考虑了很多公司,他们都给我提供了机会,但HackerOne吸引了我。
有两件事情是我喜欢做的,建立团队和给市场带来新的概念,这是吸引我的第一点。而且我相信黑客,把一件有意义的事交给他们做,更是一件令人兴奋无比的事情。不只对这个世界有意义,还能具备商业潜力。我想让世界更美好,也想有一个获利丰厚的业务,利己与利他有时并不矛盾。
记者:HackerOne至今已付出600多万美元的奖金,单个漏洞奖励最多达到3万美元。你们评定漏洞重要性的标准是什么,如何得到大数额的奖金?
米克斯:我们付出的奖励主要看客户付出多少钱,目前最大一笔的确是3万美元。漏洞提交者是不提条件的,但客户可以任意设置奖金数额,不过不能太低,否则白帽黑客下次就不会给你提交漏洞了。
我们有些研究人员提交了数百个漏洞,如果某个企业不公正的对待漏洞提交平台,也许不会伤害到提交漏洞的白帽黑客,但安全社区口碑很重要,首先大家就不会再给这家企业提交漏洞,而且它的不良名声会很快传播开来。
记者:对许多企业来说,花了很长的时间才认可漏洞众测的这种模式。目前还有对这种模式持抵制态度的吗?(编者注:此次采访时,美国国防部邀请黑客对五角大楼进行众测的消息还没有公开)
米克斯:几乎没有了,而且就算有也不是一个问题。一个运作良好的生态系统意味着,只有付出好的价钱才能确保高水平的白帽子给你提交漏洞。但黑客有着不同的驱动力,经济原因只是其中一部分。
得到认可是另一部分。找到一个漏洞,并为此而获得承认是有意义的。它意味着好的工作机会,以及在这个圈子中的名气。而且,智力上的挑战也同样重要。我们发现许多黑客并不一味追逐经济上的收益,比如他们会把漏洞出售给商业公司,但却拒绝收非营利组织和慈善机构的钱。
记者:有没有你们不会与某个研究人员做交易的时候,或者说在做支付漏洞奖励决定的时候,有没有道德界线的因素在里面?
米克斯:这里是有一套行为准则的,但更大程度是自我控制的问题。要想成为社区的一员,必须要有好的意图,心怀不轨的人是无法在这个社区呆下去的。
不过,我们还是有一套处理类似事情的机制。有时我们会联系提交漏洞的白帽黑客,说企业的反馈并不顺利,然后提出一些改善沟通的建议。另外一些时候,我们会对黑客说,你的确找到了漏洞,但违反了事先声明的政策。
大多数的冲突来源于不懂英文的白帽子,或者在漏洞提交方面缺乏与企业打交道的经验,或是企业认为漏洞的影响程度与漏洞提交者的看法不一致。
记者:HackerOne的漏洞列表是免费的,而你们也只从企业或厂商支付的漏洞奖励中抽取20%,因此很大的业务收入也许将来自于你们新推出的漏洞订阅服务,企业对这种新服务的接受程度是怎样的?
米克斯:漏洞订阅服务还没有正式推出,我们只是在内测,但已经有了很多的收益。
目前的状况是,当客户来到HackerOne,他们要么为白帽子提交的漏洞付钱,要么订购一个SaaS。这要看他们的技术背景了,雅虎和Adobe很乐意自己修补漏洞,另一些企业则想让我们帮他们处理问题。这些企业愿意付出每个月2000美元,以得到漏洞更新和一整套安全服务的系统。通过这种对每家企业收费的形式,我们能够提供更多的服务。
任何人都能使用免费服务,但我们将确保企业付给白帽黑客合适的奖励。我们对这些白帽子负有责任,任何使用服务的人都需要在某种程度上付出回报。我们想在黑客与企业之间建立起公平的交易,我们不想与那些不愿意奖励黑客的人打交道。
记者:你最近引用过一位于15岁巴基斯坦的小白帽在HackerOne上挣钱的例子,在你们的平台上有多少研究人员,他们的地理位置分布又是怎样的呢?
米克斯:全世界都有。北欧、俄罗斯、印度,巴基斯坦和孟加拉,当然美国更多,互联网应用普及率高的地区都有不少的白帽子。
记者:许多公司都在抱怨,招聘不到愿意为他们工作的黑客,你觉得这是为什么?
米克斯:人们说黑客的社交能力差,但我认为这是企业的问题。太多的企业把人当作机器人,告诉他们该穿什么、做什么,甚至是想什么,这对人类是不健康的。如果你开始像机器人一样的思考,那么机器人就能够把你替代。
黑客的技术水平越高,他们就越不愿意受约束,有些体制外的人拒绝接受命令,这一点可以理解。高智商的人通常都有强烈的独立感。给予他们做自己的自由,这是他们能够非常优秀的原因,而且绝大多数人只是想让世界变得更好。如果你试图强迫他们按某种固定模式做事情,你就限制了他们。无论男女,都有权力做自己认为自己擅长的事情,真实的社会就是这样子。如果人们没有自己作决定的权力,他们就会停止创造性的思考。
说来也怪,15年前我在Mysql的时候,也曾对拥护开源的人抱怨不已,那时的公司对这些自由者感到恐惧。而现在,社会对开源编程人员的需求很大,他们已经完全被接受,尽管他们有着各种各样的个人习惯。
安全牛评
漏洞众测在国内也已经越来越得到企业的认可,尤其是接纳新事物比较快的互联网企业和思想观念较为开放的南方地区。目前国内较大影响力的众测平台,补天、乌云和漏洞盒子的业务均已有了不小的增长。
虽然长远来看,众测市场一定是不断向上发展的趋势,但与国外不同的是,中国重要机构或重点行业的观望气氛还是很浓,对参与众测的黑客态度十分谨慎。在这一点上,美国国防部的做法可以借鉴,一是对白帽黑客的身份进行审查,二是尝试性的开放不太敏感的系统进行测试。
相关阅读
五角大楼也开始搞众测 奖励找到漏洞的黑客
漏洞奖励开始流行 金融机构止步不前?
美国军方想搞众测 成立军方漏洞响应计划
