一、黑客的定义
黑客:一类喜欢挑战智力,并能够创造性地突破限制的人。
(译者注:在本报告中,“黑客”一词均指进行漏洞研究和漏洞挖掘的白帽黑客。)
二、摘要
我们正处在一个充满黑客的时代。一些黑客被誉为英雄;一些黑客不断被媒体提及;一些黑客被认为是邪恶的化身;还有一些假想的黑客,不断出现在好莱坞电影之中。
在HackerOne,我们认同Keren Elezari的观点——黑客是互联网的免疫系统。我们需要Elon Musk这样的人来创造技术,也同样需要Keren和Mudge这样的人来研究并发现这些技术创新之中的缺陷。
每发现并修复一个漏洞,互联网的安全系数就随之多增加了一分。在HackerOne社区中,安全研究人员日复一日地重复着同一项工作——寻找漏洞,以负责任的方式向相关组织报告漏洞,并抢在犯罪分子利用漏洞之前将其修复。这个社区十分强大,并且还在不断发展。在短短两年的时间之内,我们的注册用户就增长了10倍。
这份调查报告,是白帽黑客社区有史以来规模最大的调查,共有1698名受访者参与其中。当你阅读这份报告时,你会发现白帽黑客社区所具有的品质:保持好奇、不懈探索、团结互助、乐善好施。
据统计,有四分之一的黑客曾经向慈善组织捐款,许多黑客都会与其他黑客及安全研究人员无偿分享知识。在没有现金奖励的情况下,黑客们已经帮助美国国防部解决了近3000个漏洞。
他们会报告安全漏洞,因为他们认为这才是最正确的做法。
在加州大学伯克利分校、塔夫茨大学、卡内基梅隆大学等顶级学府中,黑客技术已经成为了一门有学分的课程。如今,世界各地的黑客都在通过寻找漏洞来获得收入。各种漏洞奖励计划向所有人开放,并提供丰厚的奖励。在一些国家,黑客的总收入甚至能达到软件工程师收入的16倍。
尽管我们已经取得了很多成就,但在未来,还有许多工作要去完成。绝大多数企业(福布斯全球企业2000强中的94%)都没有一个面向外界的漏洞收集计划。有近四分之一的黑客没有报告他们发现的漏洞,仅仅因为相应的公司没有提交漏洞的渠道。
关于如何应对这一挑战以及迄今取得的进展,请阅读“企业正在逐步接受外界提交的漏洞”章节。
在现代数字社会中,黑客已经成为了重要成员之一。作为一份记录黑客的档案,通过这份报告大家可以深入了解黑客的想法,查看世界各地的统计数据和增长指标,掌握近期发现的漏洞,并阅读一些漏洞奖励计划参与者的故事。
三、主要调查结果
- 漏洞的奖金可能会改变一些黑客的生活。在印度,顶尖黑客所获得的收入,是软件工程师薪资中位数的16倍。顶尖研究人员所获得的收入,是软件工程师薪资中位数的2.7倍。
- 有近四分之一的黑客没有报告他们发现的漏洞,仅仅因为相应的公司没有提交漏洞的渠道。
- 金钱奖励仍然是黑客进行漏洞挖掘的主要原因,但与2016年相比,该原因已经从第一下降至第四。如今,黑客更多地以“拥有学习机会”作为漏洞挖掘的首要动力,“享受挑战的快感”和“过程非常有趣”并列第二。
- 在HackerOne社区中,有23%的成员来自印度,20%的成员来自美国,6%的成员来自俄罗斯,4%的成员来自巴基斯坦,4%的成员来自英国。
- 有将近58%的黑客是自学成才。约50%的黑客在大学本科或研究生阶段学习过计算机科学,26.4%的黑客在高中或高中之前学习过计算机科学,然而仅有不到5%的黑客是在课堂上学会黑客技术的。
- 有37%的黑客表示,他们只是将黑客技术作为闲暇时间的业余爱好。在HackerOne黑客群体中,大约有12%的黑客年收入在2万美元(约合12.8万人民币)以上,有3%的黑客年收入超过10万美元(约合63.9万人民币),有1.1%的黑客年收入达到35万美元(约合223.6万人民币)。有25%的黑客所获得的漏洞奖励占其年收入的50%以上,有13.7%的黑客所获得的漏洞奖励占其年收入的90%-100%。
四、地理分布
HackerOne社区的黑客几乎遍布全球各个国家和地区。印度、美国、俄罗斯、巴基斯坦和英国分别位列前五名,其中印度与美国的黑客成员占比为43%。如此广泛的黑客成员分布,使“黑掉整个地球”这句话成为了可能。由于大多数安全奖励计划都是在线发布、在线提交的,因此黑客可以轻松找到新开展的、奖励丰厚的机会。美国或英国的某家企业,可以直接与印度或俄罗斯的黑客展开紧密合作,从而迅速找到最关键的漏洞所在。
4.1 漏洞奖励的国际资金流
在2017年5月发布的《黑客驱动的安全报告》中,我们向大家介绍过,位于印度的黑客已经获得总计超过180万美元的奖金。然而,尽管印度的黑客获得了数百万的奖励,但这些用于奖励的资金大部分都不是印度的公司所支付的。下面的图表展现了HackerOne平台上漏洞奖励资金的流入和流出情况。
4.2 漏洞猎人的经济状况
漏洞奖金往往可以改变黑客的生活。我们将参与漏洞奖励计划最为优秀的人员的收入与同类工作薪资情况进行了比较。针对40个国家和地区,我们分别获取了薪资数据。结果表明,顶尖研究人员所获得的收入,是软件工程师薪资中位数的2.7倍。那么,哪个国家二者相差最为悬殊呢?答案是印度。在印度,顶尖黑客所获得的收入,是软件工程师薪资中位数的16倍。这也就意味着,挖掘漏洞比写代码更能赚钱。这也是目前越来越多人从事黑客行业的一大原因。
4.3 黑客聚焦:Sandeep
五、人口统计
如今的黑客,往往都是年轻、好奇、天才的专业人士。超过90%的黑客年龄在35岁以下,约58%的黑客是自学成才,约44%的黑客是IT专业人士。教育仍然是HackerOne社区所努力的重点。加州大学伯克利分校的学生们可以在课堂上学习黑客知识并获得相应学分。在课堂之外,黑客们也经常会分享他们的知识,并竭尽所能帮助他人。要学好黑客相关的知识,需要持续不断地努力学习,并且需要对这方面知识拥有强烈的兴趣。
5.1 年龄
在HackerOne上,90%以上的黑客年龄在35岁以下,超过50%的黑客在25岁以上,18岁以下的黑客超过8%。大多数(45.3%)的黑客年龄在18至24岁之间,其次是37.3%的黑客年龄在25至35岁之间。
5.2 教育程度
绝大多数黑客(58%)都是自学成才,约67%的黑客通过在线资源、博客、书籍或通过他们所在的社区(包括其他黑客、朋友、同事等)学习黑客技巧和诀窍。
5.3 职业
将近一半的黑客从事IT/软件/硬件领域的工作,其中有44%以上的人专注于安全研究,有33%的人从事软件开发。在HackerOne,仅有25%的黑客是学生。有13%的黑客表示,他们每周的全部时间或40小时以上的时间,会用来进行黑客相关工作。
5.4 每周进行黑客相关工作的时间
超过66%的黑客每周花费20小时或更少的时间进行黑客相关工作,有44%的黑客每周花费10小时或更少的时间。超过20%的黑客每周会花费超过30小时。
5.5 黑客教育的趋势
为社区赋能,是我们的核心价值观之一。黑客都是充满好奇心的,而我们的目标就是通过黑客教育来满足大家的这种好奇心。
5.5.1 通过学习黑客获得大学学分
我们非常荣幸能够与加州大学伯克利分校合作,训练学生如何寻找漏洞并开发更安全的软件。关于该合作项目的细节,请阅读CNN的文章:http://money.cnn.com/2017/12/01/technology/berkeley-cyberwar-hackers-students/index.html 。这是大学为以黑客技术为核心的教育产品提供学分的首例尝试。
5.5.2 思想创新源于多元化
2017年6月,Lookout和HackerOne合作举办了一个安全教育活动,我们将女性工程师召集在一起,开展了一次黑客和网络安全的研讨会。HackerOne平台上的绝大多数黑客都是男性,但我们的最终目标是为所有对黑客技术感兴趣的人提供教育。在本次研讨会上,我们组织了赏金挑战赛、教育研讨会、黑客攻击体验以及能够赢取拉斯维加斯DEF CON 25免费参与机会的抽奖活动。
5.5.3 从最好的资源学习
HackerOne已经发行了超过10000本Peter Yaworski的《Web Hacking 101》( https://leanpub.com/web-hacking-101 )。到目前为止,平台上的新黑客成员都有资格免费获得一份该书的副本。此外,我们还为学生和社群团体提供面对面的研讨会,并与我们实时的黑客活动相结合。其中的一个较为知名的活动,就是我们在拉斯维加斯W酒店屋顶泳池边,由Frans Rosen进行的现场直播,主题为如何组建安全团队并不断获得影响力( https://www.youtube.com/watch?v=Uyjkgsu-mrU )。此外,Hacktivity是我们社区的首页,其中包括可以披露的全部漏洞详情、黑客介绍、开展的项目以及漏洞奖励活动。披露的Hacktivity报告是黑客们学习的一个优秀资源。大家可以在这里查看到最近20个报告的摘要:https://www.hackerone.com/blog/top-20-upvoted-reports-on-hacktivity 。
5.6 黑客聚焦:Nicole
六、经验与信号
尽管目前有许多黑客都是年轻人,但近29%的黑客拥有6年以上的经验,其中有超过10%的黑客至少从2006年起(至少拥有11年经验)就一直在进行入侵等相关工作。对于我们来说,年龄并没有太大的意义。针对某位黑客提交的全部漏洞,信号(Signal)可能是最重要的衡量指标,也是HackerOne的关注焦点。关于信号的详细解释请参见:https://support.hackerone.com/hc/en-us/articles/207377903-What-are-Signal-and-Impact- 。实际上,HackerOne所发布的漏洞有较好的信噪比(Signal to Noise Ratio),而且我们相信会变得越来越好。
6.1 最重要的事情:黑客的信号
HackerOne拥有业界最佳的“信噪比”(SNR)。在《黑客驱动的安全报告》中,我们向大家展现了过去几年的信噪比,其结果表明该值正在稳步提升。虽然我们为自己是第一名而感到自豪,但我们仍在不断追求更好:我们已经开始了一项充满雄心的产品开发工作,用于消除所有程序的“噪音”。在测试过程中,我们已经看到了明显的信号值改善。2018年将是重要的一年,敬请期待我们的更多改变。
信噪比的相关定义:
(1) 明确的信号(Clear Signal):漏洞报告状态被置为“已解决”。这意味着该漏洞是已经过漏洞响应小组验证的有效安全漏洞。
(2) 名义上的信号(Nominal Signal):漏洞报告已经关闭,并且状态被置为“有价值的信息”或者“重复提交的漏洞”。尽管并没有提供明确的信号,但这些报告大多数从技术层面上看是准确的,并且能够提供给研究人员进行参考。
(3) 噪音:这些漏洞报告状态被置为“不适用”或“无效提交”。这些漏洞并不真实存在,作为信噪比(SNR)之中的“噪音”。
6.2 黑客聚焦:Jack
七、目标与工具
黑客如何选择要参与的漏洞项目?他们使用的工具是什么?他们喜欢选择什么样的攻击面?仔细阅读这一章节,就可以找到上述问题的答案。
7.1 最受欢迎的工具
在HackerOne,近30%的黑客使用Burp Suite来帮助他们寻找漏洞,有超过15%的黑客使用自己开发的工具。其他用于寻找漏洞的工具包括:Web代理及扫描器(12.6%)、网络漏洞扫描器(11.8%)、漏洞检查工具(9.9%)、调试器(9.7%)、WebInspect安全评估工具(5.4%)、Fiddler HTTP协议调试代理工具(5.3%)和ChipWhisperer(0.8%)。
7.2 热衷于研究网站、API以及数据保护技术
黑客更喜欢Web应用程序。有超过70%的受访者表示,他们最喜欢用来进行攻击的平台或产品是网站,其余占比较高的依次为:API(7.5%)、自身使用的技术/自己拥有的数据(5%)、Android移动应用程序(4.2%)、操作系统(3.1%)和物联网产品(2.6%)。
7.3 黑客聚焦:James
八、动机
漏洞猎人寻找漏洞只是为了获得奖金吗?错!毫无疑问,奖金的激励是一个重要的因素,但还有一些其他东西比金钱更为重要。例如,好奇心是整个黑客社群持之以恒的动力来源。一些厉害的黑客会参加更为高级的漏洞探寻计划(例如美国国防部组织的漏洞挖掘活动),黑客们非常希望能尽其所能,让互联网变得更加安全。
8.1 金钱并不是首要驱动力
金钱奖励仍然是黑客进行漏洞挖掘的主要原因,但与2016年相比,该原因已经从第一下降至第四。如今,黑客更多地以“拥有学习机会”作为漏洞挖掘的首要动力,“享受挑战的快感”和“过程非常有趣”并列第二。黑客进行攻击的其他主要原因分别为:促进职业发展、拥有保护和防御的机会、在世界上做好事。总体来说,他们想要不断提升并扩展自己的技能,希望从中得到乐趣,同时也想要在这个过程中为建设更安全的互联网做出自己的一份共享。
8.2 奖励级别和学习机会最为重要
这些激励机制会驱使黑客们更加关注漏洞,无论是想要获得收入,还是希望磨练自己的技能。超过23%的黑客表示,他们会根据奖励的多少来选择要参与的活动。超过20%的黑客表示,他们会根据挑战性和学习机会来进行选择。其他占比较高的决定因素分别是:喜欢的企业品牌(13%)、安全团队的响应速度/程度(10.7%)和对企业的认可度(9.7%)。
8.3 寻找黑客最喜欢的攻击维度:跨站脚本XSS
我们还调查了黑客最喜欢的攻击维度、技术和方法,有超过28%的受访黑客表示他们更喜欢挖掘XSS漏洞,其次占比较高的分别是SQL注入(23.1%)、模糊测试(5.5%)和暴力破解(4.5%)。
8.4 如何使用漏洞奖励的奖金
在五年内,HackerOne共计发放了2.3亿美元的奖励,预计截止到2020年,我们将发放10亿美元的奖励。在本文4.1中,我们已经给出了资金流的分布图,但具体到每一位黑客,他们是如何使用所获得的奖金的呢?在拉斯维加斯的线下黑客活动中,我们与一些黑客进行了沟通,以下是他们接受采访时的一些回答:
8.5 黑客聚焦:Sam
九、真正的社区:共同努力,获得回报
我们在社交网络上有一个标签和口号,是#TogetherWeHitHarder(团结一心,无坚不摧),意思是说,假如一个社区的全体成员能团结一致地开展一个共同的事业,那么所产生的影响将是无限的。正是黑客的团结一致,才使得互联网变得更加安全。
9.1 经常会独自工作,善于向他人学习
大约有三分之一(30.6%)的黑客更喜欢单独工作,有31.3%的黑客喜欢阅读其他黑客的博客并从中学习,有13%的黑客时常会与其他同伴一起工作,有9%的人经常与其他黑客合作,8.7%的黑客当过其他黑客的导师或接受过其他黑客的指导,7.1%的黑客曾与其他人共同提交过漏洞报告。
9.2 汇聚全社区的力量,参与全球黑客活动
在线交流是我们大部分社区的互动方式。然而,线上失去了面对面讨论问题、共进午餐以及击掌庆祝的机会。HackerOne不仅仅是黑客社群,更相信黑客直接与安全团队相连接所带来的价值。2017年,我们共举办了四场线上黑客活动:在旧金山、阿姆斯特丹、拉斯维加斯和纽约。我们与客户紧密合作,邀请世界各地的顶级会员抽出时间来参加线下活动。这些活动汇集了一些最有潜力的人才,同时连接了具有实力的安全团队,可以共同发现漏洞,探讨攻击面,并能够建立起一些人之间的友情桥梁。
9.3 黑客聚焦:Frans
十、企业正在以更为开放的态度接收提交的漏洞
针对没有开展漏洞披露政策(VDP)的公司,需要考虑采取怎样的流程和渠道来安全地报告漏洞。并且,我们需要为发现漏洞的黑客提供一个“安全港湾”。最合法且安全的方式就是不披露这些漏洞,因为大多数黑客都无法找到披露漏洞的合适途径。
事实上,有近四分之一的黑客没有报告他们发现的漏洞,仅仅因为相应的公司没有提交漏洞的渠道。但这并不意味着他们会不负责任地披露漏洞情况,他们往往被迫通过其他渠道(例如社交媒体、向企业相关部门发送邮件)告知漏洞详情,但也经常会被忽视,或是被误解。
关于漏洞披露政策(VDP):这是组织用来接收外部提交漏洞的正式方法。通常采用 security@domain.XX 的电子邮件形式,这种方式在ISO 29147标准中被定义。但与漏洞奖励计划不同的是,漏洞披露政策并不会向提交者发放金钱奖励,但这一政策仍然非常有效。例如,美国国防部已经通过他们的漏洞披露政策获悉并修复了近3000个安全漏洞。您可以在我们的指南中阅读漏洞披露政策的最佳实践方式: https://info.hacker.one/vdp-guide/ 。
然而,如今的企业正在以更为开放的态度接收提交的漏洞。根据我们面向黑客的调查显示,有72%的企业与此前相比公开透明程度有所增加,有34%的企业公开透明程度有显著提升。
美国国防部在过去的18个月中,共计修复了约3000个漏洞,每月修复漏洞数超过167个,每天大约有6个漏洞被提交。更多内容可以阅读:https://www.wired.com/story/hack-the-pentagon-bug-bounty-results/ 。
10.1 黑客聚焦:Tommy
十一、总结
在互联网发展史中,有一些非常关键的漏洞,都是由于好奇心的驱使再加之黑客的不断努力,而被发现和解决。Acalvio Technologies首席安全架构师Chris Roberts曾这样说:“不幸的是,黑客们经常被描绘成坏人,但我认为在过去的20至30年中,我们其实是好人。我们的工作,是为了帮助大家了解风险,并帮助大家从真正意义上缓解风险。”
HackerOne社区是世界上最大的白帽黑客社区,我们将持续致力于测试并探寻各类组织中存在的安全漏洞——无论是炙手可热的硅谷初创企业,还是像谷歌应用商店、星巴客、通用汽车甚至美国国防部这样全球知名的大型企业、市场和机构。
HackerOne的使命是让世界的互联网变得更加安全。我们已经取得了非常大的进展,但还有很多工作要继续完成。脆弱性披露政策目前已经获得了监管,并得到了各行业的支持(详情参见:https://www.hackerone.com/blog/The-Voices-of-Vulnerability-Disclosure-Look-Whos-Talking-About-VDPs ),这是一个潮流发生转变的典型案例。针对企业管理者,运用漏洞披露政策,不仅会为想要提供帮助的道德黑客创造一个安全港湾,还会让您的公司变得更加安全,您的客户数据不会受到任何影响,同时您还拥有了一个来自五湖四海的安全团队。
HackerOne还在投资其他黑客社区,以便继续发展壮大,并不断与全球的安全团队展开密切合作,帮助他们实现目标。团结一心,无坚不摧。
11.1 黑客聚焦:Brett
11.2 方法论
HackerOne在2017年12月,对来自195个国家和地区的1700多名黑客进行了调查。这些接受调查的黑客,都曾经在HackerOne上至少提交过1个有效安全漏洞。部分调查结果是从HackerOne平台上收集而来,这些数据来源与900多个漏洞奖励计划和漏洞披露计划。
11.3 关于HackerOne
HackerOne是全球排名第一的安全平台,帮助各种组织在受到攻击前了解并修复关键漏洞。我们合作过的组织包括:美国国防部、美国分析事务局、推特、GitHub、任天堂、松下、高通、Square移动支付、星巴克、Dropbox和许多国家的互联网应急中心(CERT)。目前有1000多个组织信任HackerOne所提交的漏洞。同时,HackerOne已经帮助客户修复了超过57000个漏洞,并已累计发放2.3亿美元的漏洞奖励。HackerOne总部位于旧金山,在伦敦和荷兰设有办事处。
让互联网变得更加安全,是每一位白帽黑客应该坚持的使命。