当前位置:首页 > 网络安全 > 正文内容

哪里能找到黑客高手帮忙(在哪里可以找黑客帮忙)

hacker10个月前 (01-28)网络安全70

  

  ◆ 漏洞银行创始人Steve罗清篮

  文| 铅笔道 记者 薛婷

  ?导语

  “Pwn”发音类似“砰”,这是一个黑客俚语,代表攻击成功,操控了被“黑”设备。

  有一群黑客“Pwn”的目的并非窃取对方信息,而是找到系统的漏洞,提醒企业尽早修复,他们俗称白帽黑客。

  然而,部分黑客游走在黑帽与白帽之间。如何让黑帽转为白帽?如何让白帽更好地为企业查找漏洞?

  为此,白帽黑客罗清篮创办了漏洞银行(BUGBANK)。平台一端连接白帽,一端连接企业,其业务流程如下:企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价——最后企业通过平台向白帽支付费用。

  目前,漏洞银行注册的白帽有1万多名(20%是95后),每月发现漏洞超过2000个。企业客户约为1000家,以政府、电商、互联网金融、游戏行业为主,如宜信、51job、大众点评等。

  近期世纪佳缘抓捕白帽事件令白帽群体处于风口浪尖。罗说:“我特别喜欢白帽们,他们并不是一个纯粹商业化的群体,而是一群技术宅,希望外界不要有太多的打压。”

哪里能找到黑客高手帮忙(在哪里可以找黑客帮忙)

  

  注: 罗清篮已确认文中数据真实无误,铅笔道愿与他一起为内容真实性背书。

  提交漏洞不曝光

  罗清篮自小爱好黑客。出生在信息安全世家的他,打小学起接触网路安全;初中和高中时已是《黑客防线》的特约签约作者。

  时光辗转到大学时期,他依然泡在这个行业。参加各种黑客比赛之余,他组织了一个社团——大学网络协会。2009年他上大三,从社团里挑了一帮伙伴,办起了公司。

  

  ◆漏洞银行的产品之神&联合创始人Madison张雪松

  那是他第一次创业。经企业授权,他们模拟黑客找到入侵企业核心数据等的方法或路径,由此撰写风险评估报告。此外,公司还开发销售防护硬件产品。

  一做便是五年。期间,公司被一家传统企业投资,盈利情况良好。罗坦言,“当时不太懂投融资”。

  2013年年底,他被一家名为乌云(WooYun)的平台所吸引。其模式为通过白帽提交、公开企业的漏洞。“由于媒体对漏洞曝光趋之若鹜,该平台的知名度迅速升温。”

  罗清篮很受启发。“乌云开创了漏洞提交的先河。”

  然而,他个人认为,乌云的模式有一个比较致命的弱点:公开企业漏洞。“过去几年服务客户的过程中,感觉不少客户挺反感将漏洞公开。”

  曾有一家在美国纳斯达克上市公司的CTO对他抱怨道:“当时乌云上公开了一个公司系统漏洞,股价遭受影响,当天跌了5%。”

  这个点触动了他。“如果我们做一个漏洞提交平台,但是不曝光企业的漏洞,而是对接白帽与企业,让企业尽快修补漏洞,这样企业的认同度是否会更高呢?”

  他决定尝试一番,创办了漏洞银行。“传统企业投资理念不会那么超前,需要找一家风投单独来做这个项目。”

  2014年新年一过,罗一手筹备开发提交平台,一手接触风投。经朋友介绍,他收到了来自软银中国资本的橄榄枝,顺利敲定500万美元A轮融资。

  游走的白帽群体

  在罗清篮的设想中,白帽发现提交企业的漏洞后,企业为其付费。但由于黑客行业混乱,加之不知企业付费意愿如何,罗花了很长时间走访验证。

  他发现很多企业是痛并快乐着。“首先他们也接受乌云的这种曝光形式,虽然有一些声誉上的影响,但是帮企业提早发现了隐患。”他笑着说,“我们希望企业不痛也能快乐。”

  但是也有企业对白帽心存恐惧。比如,企业授权黑客测试系统,他找到了10个漏洞,但是只告诉企业7个,自己留了3个可能去做其它交易。“这会让企业无形中遭受损失,由于经过授权,也不好纠责。”

  况且部分白帽群体本身就游走在黑帽与白帽之间,互联网还催生出一种黑色产业链。有些企业会雇佣黑帽黑客攻击竞争对手,黑帽在未经授权的情况下,找到漏洞直接读取数据,转卖牟利或者用流量攻击对方网站。

  “互联网金融行业有近50%的企业遭受过黑帽黑客攻击。”他补充道,“黑帽的法律风险极高,如果白帽有较好的生存空间,一般是不会转去做黑帽的。”

  此外,一些企业对于安全问题存在偏见和忽视。“有的企业不愿意让白帽提交漏洞,他担心白帽除了会获取利益外,会持续不断地提交漏洞,或者引起黑帽的关注。”

  有些处于早期的企业,忙于业务本身,并不愿在安全上投入。“等之后业务做大出现问题,他们再亡羊补牢,发现付出的成本更大,我见过很多鲜活的例子。”

  

  ◆漏洞银行的“运营黑帮”

  为了规避以上种种问题,2015年年初,漏洞银行网站上线,罗没有大张旗鼓宣传,而是默默地做起内测。“先要让企业提升对安全的认知度,并且靠市场机制聚拢白帽群体,或许能让黑帽转白帽。”

  半年内测

  罗清篮邀请了几十家之前积累的企业用户参与,平台同时入驻了一批圈内知名的白帽。“全靠白帽朋友之间互相介绍。”

  首先,内测企业要授权允许平台上的白帽测试查找漏洞。“这样规避了法律风险。”

  

  ◆漏洞银行的黑客教主&联合创始人张博文

  其次,平台对白帽有保护机制。“例如一些重点项目的测试,会对白帽的身份和IP进行备案。防止出现发现10个漏洞只告诉7个的情况。”

  罗还推翻了传统的漏洞评级方式。行业里的漏洞通常分为高危、中危和低危,“我觉得这样分比较水”。

  有些漏洞从白帽角度来看,技术难度很高,费了很多精力才挖掘到。但是提交给企业后,对方认为这个漏洞可能并不会对业务系统造成多大的影响。

  如此,“可能引起白帽的愤怒,感觉技术未受到重视。也许会在网上曝光夸大企业漏洞,或者进行黑色交易。”

  于是,他独创了一种方式——联合诊断。平台自建了由白帽组成的专家团队,当时约有20人,负责对白帽审计,确定漏洞的有效性和技术难度。

  随后,平台把评判结果交给企业,由企业做出业务危害性评判。“我们设置了从P0(威胁最高)到P6(威胁最低)七级评判标准。”

  内测期间,白帽提交测试企业的漏洞后,平台代企业奖励白帽。根据漏洞的危害不同,奖励从几百元到上万元不等。

  若白帽提交的漏洞并非内测企业的,平台有两种处理方式。如果能找到该企业,会通知企业来入驻监测,获取授权;若联系不到,平台会拒收。

  经过半年内测,平台汇集了约3000个白帽,约500家企业,每月提交漏洞约1000个。

  过程中,他们发现了企业的其它需求。“有些企业的服务器分为内网和外网,他在外部做测试时,可能只针对外网,但是内网也有可能存在漏洞。”

  为此,漏洞银行提前标注可检测的网络资产,对指定的网络资产实现有效监控,第一时间通知相应的负责人。

  年中,罗清篮觉得模式跑通,决定正式运营漏洞银行。

  每月超2000个漏洞

  平台不再代替企业付费。其业务流程如下,企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价。“把定价的权限交给企业。”

  费用由企业通过平台支付给白帽,白帽不与企业直接沟通。“白帽是一群技术人员,不太懂商务那一套;企业方可能认为白帽在拿漏洞威胁。”

  平台从中做沟通,制定标准和规则。“我们会告诉企业其它平台的定价范围,任他们参考。”

  如果出现企业故意低价或者不出价的情况,白帽可向平台反馈申诉。“平台会介入调查,如果情况属实,会下架该企业或者降低企业的检测排名。这样白帽会意识到这是一个没有支付能力的公司,会把精力放在寻找其它公司的漏洞上。”

  倘若问题出在白帽身上,比如白帽出现黑色交易、威胁企业等极端行为,平台会直接封号并冻结账号。

哪里能找到黑客高手帮忙(在哪里可以找黑客帮忙)

  多种机制促进漏洞提交形成市场价。期间,白帽数量快速增长。“圈子不大,口碑传播。”

  

  ◆ 黑客聚餐的姿势是酱紫的

  为提高白帽的活跃度,今年3月,他上线社区栏目“PWN”(黑客俚语,代表攻击成功)。在这里,黑客可以自由发表观点,上传检测报告(必须对企业信息打码处理),分享新技术等。

  每周和每月,平台会对白帽个人或团体做声望排行榜。评价范围包括其所写的PWN文,发现漏洞质量、数量等。“排名靠前的除了现金奖励外,还会被邀请参加线下沙龙交流等活动。”

  不久后,平台对排名靠前的白帽个人或团体进行专访报道,挖掘其背后的故事。“我想包装他们,打造在行业里的知名度,算是一种变相地扶持。”

  6月,漏洞银行推出SaaS产品,将对接白帽与客户的服务全部自动化处理。“白帽向平台投诉的话,只要附加理由,系统便自动化处理。我们将近一年多的运营经验形成了规范化操作,代替了人工。”

  原本,为白帽对接一家企业,需要10~15天,如今一天甚至半天即可。“双方实时处理漏洞。”

  接下来,罗计划增加评价功能,由白帽与企业互评。“无论定价还是交易,全是靠双方的信任,评价形成的口碑将是一种约束。”

  在SaaS产品中,白帽只是为企业提供服务的一部分。如今,他正在对接其它信息安全企业入驻平台。“企业登录平台后,经过简单操作,便能有白帽为他监测漏洞,还有其它企业提供安全咨询、修补、防护产品等。”

  目前,漏洞银行线上月流水超过50万元,注册的白帽有1万多名(20%是95后),每月发现漏洞超过2000个。企业客户约为1000家,以政府、电商、互联网金融、游戏行业为主。罗下一步打算拓展互联网保险行业的客户。

  近期,世纪佳缘抓捕白帽事件闹得沸沸扬扬。罗清篮感叹道:“打压白帽群体没有任何好处,是逼着白帽转黑帽。一旦没有了白帽,那将全都是黑帽。”

/The End/

编辑 王 方校对 王 姝

求报道

请加pencil-news为好友

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/145824.html

分享给朋友:

“哪里能找到黑客高手帮忙(在哪里可以找黑客帮忙)” 的相关文章

立秋是几月几日

说到立秋,大家可能还会觉得比较远,确实算一下也还有将近一个月的时间,大家知道今年的立秋是在什么时候吗,具体的时间是2020年8月7日09:06:03,星期五,农历六月十八,因此在这一天大家就可以吃很多的美食,那么接下来大家就随百思特小编一起了解看看~   立秋是几月...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

尚村最新水貂皮毛价格,丹麦貂皮衣大概多少钱

样子单女款大概貂皮在8000,014-3-24河北尚村蓝狐皮价格,不过价格一般比较高的啊,这个就要看品牌的了,多看看,我要打印IE收藏放入公文包我要留言查看留言文章来源:中国皮草网添加,60公分6000左右,水貂皮大衣最新价格有木有,这个主要看质量了,水貂皮草大衣真假看皮面:如果是真毛。 元/张,5...

宝钢价格行情最新报价,宝钢股份2021年10月钢材价格

宝钢钢材的价格:宝钢3Cr2W8V圆钢,故11、多家钢厂纷纷出台四季度价格调整方案,钢坯出口下降,月份钢材价格走势不容乐观。 要全面考虑下.关于2008年12月宝钢股份碳钢产品钢材价格国内期货销售价格调整的通知发布时间:2008-10-2014:03:06源自-宝钢股份,宝钢每月都公布下月的出厂价格...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

ems邮政快递查询(ems快递附近网点查询)

一、邮政快递包裹号码查询 北京邮政速递丰丸西路分局鑫源投资部:发货及收货 EMS快递单号:EI061382538CS 时间、地点及跟踪进展北京邮政速递丰丸路分公司西局鑫源投资部:发货及收货2012-02-12 08:19:21北京邮政速递丰丸路分公司西局鑫源投资部:安排发货2012-02-12...

评论列表

可难春慵
10个月前 (01-28)

我们做一个漏洞提交平台,但是不曝光企业的漏洞,而是对接白帽与企业,让企业尽快修补漏洞,这样企业的认同度是否会更高呢?”  他决定尝试一番,创办了漏洞银行。“传统企业投资理念不会那么超前,需要找一家风投单独来做这个项目。”  2014

痛言听弧
10个月前 (01-28)

间互相介绍。”  首先,内测企业要授权允许平台上的白帽测试查找漏洞。“这样规避了法律风险。”    ◆漏洞银行的黑客教主&联合创始人张博文  其次,平台对白帽有保护机制。“例如一些重点项目的测试,会对白帽的身份和IP进行备案。防止出现发现10个漏洞只告诉7个的情况。” 

夙世鸽屿
10个月前 (01-29)

    ◆ 漏洞银行创始人Steve罗清篮  文| 铅笔道 记者 薛婷  ?导语  “Pwn”发音类似“砰”,这是一个黑客俚语,代表攻击成功,操控了被“黑”设备。  有一群黑客“Pwn”的目的并非窃取对方信息,而是找到系统的漏洞,提醒企业尽早修复,他们俗称白帽黑客。  然而,部分

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。