這不斷擴(kuò)張的漏洞披露數(shù)目,背后得益于對漏洞賞金計(jì)劃的不斷推進(jìn)和完善。隨著賞金激勵模式的不斷成熟,愈加多的企業(yè)、機(jī)構(gòu)甚至平臺積極參與其中,攜手眾多安全研究人員,共同挖掘與審核那些隱藏的或潛在的安全威脅,為網(wǎng)絡(luò)世界的安全保駕護(hù)航。
例如,在2023年,美國國防部攜手安全界的研究者,推出了備受矚目的第三輪“黑進(jìn)五角大樓”計(jì)劃。同時,OpenAI亦在同年宣布推出新一輪的漏洞懸賞活動。備受贊譽(yù)的漏洞眾測平臺HackerOne則在2023年10月公告,自公司創(chuàng)立之初的2012年起,其漏洞賞金計(jì)劃已向全球的白帽黑客以及安全研究人員分發(fā)了超3億美元的獎金。
回望2022年,白帽黑客通過漏洞賞金計(jì)劃向谷歌揭示了超2900個漏洞,為此,谷歌總共支付了逾千二百萬美元的懸賞金。在這其中,單一漏洞的獎金最高飆升至60萬美元,折合超400萬人民幣,無疑為漏洞發(fā)現(xiàn)者帶來了巨額的財富致富機(jī)遇。打破了過往漏洞賞金的紀(jì)錄,預(yù)示著安全研究者在此領(lǐng)域的努力與貢獻(xiàn)得到了前所未有的回報。
漏洞的價格取決于什么?
關(guān)于漏洞的估價問題,歷來爭議紛紛,哪怕是全球最受歡迎的漏洞懸賞平臺發(fā)布的價格也難免遭人質(zhì)疑,其中蘊(yùn)含的矛盾困境幾乎無解。決定一個漏洞的市場價值的因素何在?
在很多時候,我們習(xí)慣將漏洞的價值與其可能引發(fā)的危害和影響視為一體。拿2018年的情形作例,當(dāng)EOS系統(tǒng)被360安全團(tuán)隊(duì)揪出一處被標(biāo)稱價值百億的安全漏洞時,整個業(yè)界為之一震,周鴻祎也公開證實(shí)漏洞的真實(shí)性。那段風(fēng)波過后,每個網(wǎng)安人都對漏洞潛藏的巨大破壞力感到膽戰(zhàn)心驚。
然而,是否真的可以聲稱該漏洞真能享有百億美金的價標(biāo)?顯然是不可能。即便降至千分之一的估值,亦或許過于樂觀,要說不及萬分之一,則更加切中現(xiàn)實(shí)。漏洞與經(jīng)濟(jì)損失之間并非簡單的直線關(guān)聯(lián),黑客的成功在發(fā)現(xiàn)并利用漏洞時必須跨越重重技術(shù)門檻,其間復(fù)雜度和不確定性并立;如果漏洞始終未覺,它對企業(yè)則皆如無形,無損企業(yè)資產(chǎn)分毫。
因此,站在企業(yè)的角度,漏洞的價值是潛在的,而漏洞的價格是直觀的,兩者之間存在巨大差異。但如果站在攻擊者的角度,假如評估后發(fā)現(xiàn),通過利用漏洞成功竊取價值數(shù)百億的虛擬貨幣,那么這個潛在的價值將會直觀化,愿意為此付出上億美元的代價就變的可以理解,此時漏洞潛在價值和實(shí)際價格就可以劃等號。
對于漏洞的價格,站在企業(yè)角度,漏洞價值計(jì)算往往由企業(yè)在眾測方向的預(yù)算決定,即成本;對于網(wǎng)絡(luò)犯罪組織和黑灰產(chǎn)來說,漏洞價值取決于借此從企業(yè)和機(jī)構(gòu)處獲得的財富,即潛在收益;站在白帽黑客的角度,漏洞價值介于兩者之間,認(rèn)為企業(yè)給的錢太少,當(dāng)然不也敢奢求網(wǎng)絡(luò)犯罪組織的價格。
一個漏洞值多少錢?這是需求方(企業(yè)、機(jī)構(gòu)),平臺方(中測平臺),提供方(白帽)都必須要深入思考的問題。這個問題也在隨著漏洞賞金市場不斷成熟,網(wǎng)絡(luò)犯罪組織趨利性明顯,漏洞潛在威脅日益巨大而處于動態(tài)發(fā)展之中。
同時,影響漏洞賞金的決定因素也是多樣且復(fù)雜。從定義范圍,到建立有吸引力的支付區(qū)間和吸引具有堅(jiān)實(shí)基礎(chǔ)的研究人員積極參與,啟動一個獎勵項(xiàng)目會非常復(fù)雜,且會隨著項(xiàng)目的進(jìn)程愈趨復(fù)雜。
就目前來說,漏定價的兩大錨點(diǎn)是漏洞質(zhì)量與市場競爭。
1.漏洞質(zhì)量錨定漏洞價格的下限
無論外部因素多么復(fù)雜,漏洞的質(zhì)量決定了漏洞價格的下限,也是影響漏洞價格最核心的因素。簡單來說,就算是再差的環(huán)境里,那些嚴(yán)重/高危漏洞依舊具有相當(dāng)可觀的賞金,而哪怕漏洞眾測獎勵的環(huán)境再好,很多低質(zhì)量的漏洞也無法獲得收益。隨著漏洞眾測行業(yè)持續(xù)發(fā)展,將會出現(xiàn)高價值漏洞愈發(fā)值錢,低價值漏洞愈發(fā)廉價的情況。
2.市場競爭拉高漏洞價格的上限
隨著越來越多的企業(yè)和平臺參與到漏洞眾測領(lǐng)域,對于白帽和漏洞的爭奪戰(zhàn)也隨之打響,漏洞價格成為核心武器。為了吸引更多白帽的提交漏洞,企業(yè)和眾測平臺不得不拉高漏洞的價格,特別是對于某些重要的漏洞還會有額外的獎勵。考慮到不同漏洞對不同廠商的影響不一,如Clickjacking類型漏洞對某些企業(yè)來說很嚴(yán)重,但對其它企業(yè)來說只屬于informative類漏洞,因此漏洞的價格也是根據(jù)市場情況動態(tài)臺調(diào)整的。
如何計(jì)算漏洞價格?
漏洞價格經(jīng)過了精心的計(jì)算,而不是憑個人主觀拍腦袋決定,需要考慮的因素包括漏洞嚴(yán)重性、對最終用戶或客戶的影響范圍、項(xiàng)目預(yù)算、項(xiàng)目階段及保密性、廠商漏洞披露計(jì)劃成熟度等。
舉個栗子,TikTok此前發(fā)布的漏洞獎勵計(jì)劃便是基于CVSS規(guī)范評估漏洞危害,分為嚴(yán)重、高、中、低四檔,其中低危漏洞獎金在50-200美元之間,中危漏洞為200-1700美元,高危漏洞為1700-6900美元,嚴(yán)重漏洞為6900-14800美元。
不同的平臺、不同的時期,對于漏洞賞金的計(jì)算方式有所不同,這里分享一個常見的漏洞賞金計(jì)算公式,主要考慮因素是漏洞的嚴(yán)重程度和影響范圍:
漏洞賞金=基礎(chǔ)獎勵金額×漏洞嚴(yán)重程度系數(shù)×漏洞影響范圍系數(shù)
基礎(chǔ)獎勵金額:平臺為每個漏洞設(shè)置的基礎(chǔ)獎勵金額。這可以是一個固定值,也可以是一個范圍。基礎(chǔ)獎勵金額反映了平臺對漏洞的價值認(rèn)定。
漏洞嚴(yán)重程度系數(shù):平臺根據(jù)漏洞的嚴(yán)重程度將其分為不同級別,每個級別對應(yīng)一個系數(shù)。嚴(yán)重程度系數(shù)用于調(diào)整獎勵金額,使其與漏洞的嚴(yán)重程度相匹配。通常,嚴(yán)重程度越高的漏洞,對應(yīng)的系數(shù)越大,獎勵金額越高。
漏洞影響范圍系數(shù):平臺根據(jù)漏洞的影響范圍和潛在危害程度設(shè)置系數(shù)。影響范圍系數(shù)用于調(diào)整獎勵金額,使其與漏洞的影響范圍和潛在危害相匹配。一般來說,影響范圍越廣、潛在危害越大的漏洞,對應(yīng)的系數(shù)越大,獎勵金額越高。
眾測平臺賞金金額顯然不止于此,往往還會設(shè)計(jì)一個復(fù)雜的獎勵公式,以便能夠持續(xù)刺激白帽提交漏洞。對于比較熱門或迫切的漏洞,眾測平臺一般還會設(shè)置特定的漏洞賞金活動,引導(dǎo)白帽力量向某些漏洞領(lǐng)域傾斜。具體的漏洞計(jì)算規(guī)則可以考慮國內(nèi)主流的漏洞眾測平臺——漏洞盒子和補(bǔ)天眾測,在長時間的運(yùn)營中他們已經(jīng)積累了大量的運(yùn)營經(jīng)驗(yàn)和漏洞評估技巧。為避免被和諧,本文不分享上述平臺具體漏洞計(jì)算方式。
我們一起看一下阿里云曾發(fā)布的供應(yīng)鏈漏洞的獎勵計(jì)劃。該賞金計(jì)劃是為了更好地保障云上用戶的安全,提升安全防御能力,鼓勵白帽遵循漏洞披露機(jī)制,向其提交供應(yīng)鏈軟件的安全漏洞情報信息,具體獎勵金額如下:
從上面可以看出,阿里云對于漏洞的影響范圍提出了要求,即將漏洞影響廠商分為A-F級,且漏洞獎勵標(biāo)準(zhǔn)僅適用于規(guī)定的廠商,至于規(guī)定外的廠商,阿里云會根據(jù)廠商應(yīng)用流行程度和漏洞影響范圍,酌情給予獎勵。
在漏洞嚴(yán)重與緊急程度方面,阿里云依據(jù)CVSS 3.0標(biāo)準(zhǔn),從攻擊方式(AV)、攻擊復(fù)雜度(AC)、權(quán)限要求(PR)、用戶交互(UI)、影響范圍(S)等多個方面進(jìn)行計(jì)算,如下:
綜合評定,漏洞得分劃分為:
嚴(yán)重(9.6~10.0)
高危(7.0~9.5)
中危(4.0~6.9)
低危(0.1~3.9)
無效(0.0)
最終按照相應(yīng)的等級發(fā)放漏洞獎勵。
黑市的漏洞價格非常高
黑市上的漏洞基本集中在那些大威力的0-Day漏洞,其中又以iOS漏洞/安卓漏洞居多。2022年蘋果iOS某0day漏洞據(jù)說售價高達(dá)5500萬元。
近十年以來,世界各地的各種公司一直向安全研究人員提供賞金,鼓勵出售漏洞和利用這些漏洞的黑客技術(shù)。與HackerOne或Bugcrowd等傳統(tǒng)漏洞賞金平臺不同,這些漏洞軍火商公司不會向產(chǎn)品易受攻擊的企業(yè)發(fā)通知,而是將這些漏洞出售給政府客戶。
上圖是漏洞軍火商"Zerodium"發(fā)布的移動平臺漏洞價目表,可以看到,蘋果iOS系統(tǒng)的RJB Zero Click(零點(diǎn)擊、遠(yuǎn)程、永久越獄)漏洞以150萬美金的起步價格高居榜首。一些常見軟件的漏洞,如Chrome瀏覽器漏洞,價格在5至15萬美元之間,安卓系統(tǒng)漏洞價格則在1.5萬至10萬美元之間。
在電腦的桌面系統(tǒng)/服務(wù)器系統(tǒng)上,由于漏洞數(shù)量太多,單個漏洞價格相較移動平臺有所降低。其中Windows系統(tǒng)的Win RCE Zero Click(零點(diǎn)擊、遠(yuǎn)程、代碼執(zhí)行)漏洞以30萬美元起步的價格居于榜首,其價格會根據(jù)漏洞的影響范圍而浮動。
Zerodium的漏洞收購價取決于被攻擊的軟件或者系統(tǒng)的知名度和安全級別,以及提交的漏洞質(zhì)量(全鏈或部分鏈、支持的版本/系統(tǒng)/架構(gòu)、可靠性、繞過漏洞利用緩解、默認(rèn)與非默認(rèn)組件、流程延續(xù)等)。
據(jù)谷歌威脅分析小組(TAG)發(fā)布的報告數(shù)據(jù)顯示,商業(yè)間諜軟件正在持續(xù)購買零日漏洞。僅2021年,在TGA跟蹤的九大零日漏洞中,有七個來自于漏洞中間商,他們將收購的漏洞出售給具有資本或政府支持的組織,賺取巨額利潤。
其中就包括有大筆預(yù)算的美國政府和英國政府,正如我們所熟知的那一,美國中央情報局(CIA)或國家安全局(NSA)等機(jī)構(gòu)是漏洞購買的大客戶。
威脅分析小組正在持續(xù)跟蹤30多家供應(yīng)商,這些廠商的復(fù)雜性不同、公開度各異,但都在向政府支持的黑客出售漏洞。谷歌研究結(jié)果認(rèn)定,以往只有少數(shù)具備技術(shù)專長的政府才能開發(fā)并實(shí)施漏洞利用,但隨著漏洞供應(yīng)商的崛起,具備這種能力的政府已經(jīng)越來越多。這不僅會降低互聯(lián)網(wǎng)安全性,同時也將威脅用戶所依賴的信任。
需要注意的是,近年來被用在商業(yè)間諜領(lǐng)域的漏洞價格正在持續(xù)走高,這與間諜軟件秘密存儲0-Day漏洞的行為密不可分。
NSO的旗艦Pegasus軟件是間諜軟件領(lǐng)域的主要玩家之一,可以遠(yuǎn)程部署到iPhone和安卓設(shè)備上,因此客戶能夠訪問目標(biāo)手機(jī)上的數(shù)據(jù)和傳感器。它被以色列政府歸類為武器,其銷售對象僅限于外國政府,而不是私人實(shí)體。
它利用零日漏洞在設(shè)備所有者不注意的情況下滲入設(shè)備,一旦潛入了系統(tǒng),就可以復(fù)制消息、收集照片、記錄通話,甚至通過攝像頭或麥克風(fēng)秘密錄音。
在被指控其工具被政府和非政府機(jī)構(gòu)濫用以入侵新聞記者和政界人士的手機(jī)后,NSO Group遭到了多起訴訟。這家公司表示,其技術(shù)旨在幫助打擊恐怖主義活動以及抓捕戀童癖者和犯罪分子。
同樣在持續(xù)走高的還有虛擬貨幣領(lǐng)域的漏洞,當(dāng)一個漏洞可以隨意操控虛擬貨幣時,它的價格將會以驚人的速度上市。2022年在 immunefi區(qū)塊鏈漏洞獎金平臺上, satya0x憑借在跨鏈橋Wormhole上發(fā)現(xiàn)的一個漏洞,獲得1000萬美金,價格高到令人發(fā)指,這是傳統(tǒng)漏洞挖掘領(lǐng)域不可能存在的“天價”。
你今天挖漏洞了嗎?
當(dāng)我們一直在說全球進(jìn)入數(shù)字化轉(zhuǎn)型與數(shù)字經(jīng)濟(jì)之中時,卻未曾發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞正在以一種可怕的速度增長,危害性越來越高,和普通人的生活越來越近,物聯(lián)網(wǎng)/數(shù)字化/智能化等趨勢正在讓漏洞的威力成倍增加。
對于漏洞的懸賞也在持續(xù)增加。獎金數(shù)額的提升和范圍擴(kuò)大皆能表明,廠商們已然意識到了漏洞對安全的重要性。還需要注意的是,很多關(guān)鍵性的漏洞已經(jīng)成為網(wǎng)絡(luò)攻防戰(zhàn)的關(guān)鍵,在地緣政治博弈的全球背景下,漏洞已經(jīng)是一種戰(zhàn)略資源。
所以,你今天挖漏洞了嗎?
