下一个阶段:GoEXP计划

  • A+
所属分类:安全闲碎
距离上一次提漏洞计划,已经过了有7年。最初提到某通用型漏洞计划(未避免炒作嫌疑,我就都不提名字了)时想法特别单纯,跟CVE一样收集通用型0day漏洞,有描述信息就好,能够证明漏洞复现我们就认为是有效的,同时给出奖金算是购买知识产权。后来升级到了新的漏洞平台,就变成了也收事件型漏洞,同样也是奖金机制,算是铺开了一个时代。再后来我创业的这几年,我感觉距离之前的预期还是存在很大差距的,主要是两方面:一方面白帽子社群的运营比较混乱,吹牛的多贡献的少,价值低质量差,这跟奖金机制的落地程度有直接关系;另一方面是越来越脱离当下的实际要求,也就是实战化体系化常态化。
随着时间的推移,国内的漏洞平台距离国外的漏洞平台差距越来越大,无论从人数规模漏洞质量品牌效果,都是肉眼可见的越拉越大。这倒是跟国内安全行业发展的现状是密不可分的,国家越来越重视网络安全,尤其是对作为核心竞争力的漏洞的重视程度越来越高,但是同时,又很担心无序的状态会让行业更加危险而不是更加安全。所以在响应地政策出台之前,关于漏洞研究就是一个比较尴尬的中间状态,大家尽可能的不去挖掘,不去讨论,不去发布,不能产生经济价值。说我们国家漏洞挖掘(通用型漏洞)或者渗透测试(事件型漏洞)的能力差是肯定不对的,恰恰相反,无论是顶级的PWN类型的比赛,还是实网类型的攻防活动,我们的技术队伍都证明了实力是很不弱的,当然你跟美国比还相差了几个身位,人家毕竟是老大哥,但是咱们终归还是有自己的一些能力的。
能力归能力,我一直说漏洞平台是运营出来的,不是开发出来的,也不是用钱砸出来的。国外的一些平台模式运营的很稳很健康,有收益,有学习交流的社区,有个人品牌的价值。就拿收益来说,一边是高额的经济利益,一边是畏手畏脚,所以很多人才流失就不难理解的,他们名都不要了,隐姓埋名地跑到国外平台去提交漏洞,早期只是为了换取奶粉钱,后来就变成了独立职业者。我们不差技术,不差经济投入,不差白帽子黑客的群体,我们缺一个既能解决法律的生存问题也能解决名利的发展问题的可持续发展的模式。
从这一个角度讲,显然事件型就直接被否决了,除了明确授权的服务模式或者众测模式,其他的事件型都属于灰色地带,白帽子和平台方确实是一番好意,但是风险一直存在,大家维持一个相对比较友善的环境而已,只是这种友善的坚固程度我不敢持太高的期望。对于通用型漏洞而言,世界上0day多不多?当然多,你看CVE一天更新多少条。但是咱们有吗?大家就比较尴尬,美帝这个糟老头子坏的很,让技术人员提交漏洞时都有详情,美其名曰要给厂商复现漏洞的场景,但同时又从不公开这些详情,义正言辞地说要保护各企业不被黑客攻击。这个做法太站得住脚了,换做我们也是一样的。但是关键是,不同国家的漏洞详情是不打通的,他们都有攻击代码,我们都没有,仔细一想好像哪里有不太对的地方。所以,艺术没有国界,但网络安全真的有国界,什么时候国与国之间把漏洞详细信息(攻击代码)同步了,咱们再说安全也没有国界会合适一点。
所以,漏洞的对抗,很长时间内大家都形成了不太全面的认识:只有0day才是核心竞争力。在没有真实的网络攻防对抗的情况下确实是的,又不打仗,大家冷战后为什么争先恐后的去往太空探索?就是传递一个信息,你们都看着,这是哥的实力。于是两拨人进入了狂欢,一拨人当然是原创漏洞的挖掘牛人,他们在哪个时代都是核心竞争力;而另一拨人开始比拼可扫描的漏洞数量,动辄几十万的漏洞库,各种版本比对url堆砌,越玩越歪自成一派。但是一旦进入了网络真实对抗的情况下,我们常说的实战对抗,这个问题就值得探讨了,比如我会把漏洞对应的核心竞争力改成:能够实际用于网络攻防对抗的真实有效的可利用漏洞数。这里有两层含义,一层是这个漏洞必须是真实的有实际利用价值的,另一层是都有实际的攻击代码的。换个角度来解释,比如CVE里面的漏洞也有一半是很水的,一群初入门的人为了证明自己拿CVE练手,有奔溃效果的也都能分配编号,一些根本没人用的CMS系统也能申请编号,这些漏洞并没有实际的利用价值;另一半有价值的漏洞他告诉你,你也没有攻击代码(EXP),看着不是瞎着急吗?
我们把实际可以利用的漏洞叫“靶标漏洞”,我们把攻击代码叫“EXP”,那么,未来实战化漏洞领域的PK,会更多的聚焦到“靶标漏洞的EXP数量”。这样一说,大家应该就能够更加清楚的看到,靶标漏洞未必只能是0day,一个Nday漏洞在实际的网络攻击中可能形成的危害更大,这取决于这个漏洞对应设备或者应用系统在全球的覆盖数量,也取决于使用这个软硬件的单位的价值。Nday的数量多获取难度低,0day的数量少获取难度高,在未打补丁的情况下,Nday就相当于0day,0day的战略价值更大,轻易不用,所以从损失上来看,我们明显远远低估了Nday的价值。0day的含义其实也就是一个能够实际达到攻击效果的漏洞,这种角度看,那种刷分的不叫0day。
从FOFA到Goby,我们所有的一切都围绕着实战化来进行的设计,如何梳理互联网暴露面,如果最高效率的完成信息收集,如何给资产分层分类,以及如何聚合靶标漏洞EXP,这些都是我们每天每夜思考的问题。我们距离最终目标还是非常遥远,但是我们很清晰的看到了未来:漏洞悬赏计划应该是围绕靶标漏洞的EXP来进行的新一代的模式。所以从Goby一开始,我们就建立了靶标漏洞的价值模式。只是我们花了很长时间去验证一件事情:如何统一大家的编程语言,让大家愿意都有意愿和有能力去提供EXP。从早期的Ruby语言,到一度想要切换成Python语言(用户群体实在是太广泛了),到最后我们坚定的选择了Golang语言,我们的漏洞引擎框架(内部叫goscanner)已经构建了太多太多的版本,总感觉还是不够完美,做扫描判断漏洞够用了,做EXP总差那么点意思。但是世界上哪有完美的事物呢?所有的完美正是在于由广泛的群体智慧输出的未知共同体。后来我们决定用Go内嵌Go脚本的方式来完成这一轮的创新,我们争取用最少的代码量完成满足85%以上的EXP开发需求。现在看来,慢慢够用了。后来的Goby红队专版引发大家超强的热情,进一步证明了我们方向的正确性,大家都是蓄势待发,编程难度不再是最主要的拦路虎,只要有意愿都能客服几行代码的语法问题。至于对白帽子们英文的要求,哎……永恒的痛。
只差最后的关键因素了:我希望大家不仅仅是由于热情而给行业做贡献。所有世界上带有颠覆性的突破式创新都是由具有自驱力的人带来的,但是这种自驱力是一种稀缺物,少数人有,大部分人没有。我们当然也不希望贡献者没有收获,哪怕他是基于一切的兴趣来源,我们也认为给与一定的回报是对他个人和社区比较合适的回馈。所以这一次,我们准备每年投入一笔资金,奖励提交靶标漏洞EXP的同学们。每一个审核过的漏洞,我们都直接给出1000元的现金奖励。漏洞可以是NDay,可以是0day,可以是物联网,也可以是软件业务系统,可以是高危,可以是中危。换句话说,只要满足我们认为的几个基本条件,就能拿到奖金:一)具有实战效果;二)具备EXP;三)之前没有人提交到平台(先来先得);四)审核通过(基础信息正确)。
我们把这个活动叫做“GoEXP计划”,时间是长期的,奖金是持续的,只要我们公司还活着,我们就尽全力坚持下来,这些漏洞我们只会用产品中帮助客户提前发现明确会被黑客攻击的漏洞,帮助客户更好的应对黑客攻击。希望大家能够一如既往地支持我们。
更多详情请关注Goby公众号。

本文始发于微信公众号(赵武的自留地):下一个阶段:GoEXP计划

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: