信息來源:FreeBuf
本文以TSRC負(fù)責(zé)人flyh4t和白帽子專訪為素材編輯整理
2012年初,一則社會(huì)新聞攪動(dòng)了當(dāng)時(shí)還不成熟的互聯(lián)網(wǎng)安全圈。一人發(fā)現(xiàn)某電商城存在漏洞,該漏洞可獲取該商城所有用戶賬號(hào)、密碼及個(gè)人信息。在雙方溝通未果后,該名“勒索者”被警方控制。
前SRC時(shí)代
在那個(gè)沒有SRC的年代,白帽子發(fā)現(xiàn)漏洞的意義很局限,向網(wǎng)站或廠商報(bào)告漏洞的途徑少之又少,索性在自己的博客里公布,這也加深了雙方的對立與誤解,盡管存在少數(shù)心懷鬼胎的人低調(diào)地做些“買賣”。
然而,國內(nèi)這樣的空白沒有持續(xù)太久,畢竟包括谷歌、Facebook、微軟等外國互聯(lián)網(wǎng)公司都有了相對成熟的SRC應(yīng)急響應(yīng)機(jī)制或者漏洞獎(jiǎng)計(jì)劃,鼓勵(lì)了安全測試人員與企業(yè)一道維護(hù)系統(tǒng)安全。
就SRC而言,2012年5月建立的騰訊安全應(yīng)急響應(yīng)中心TSRC(Tencent Security Response Center)為中國首家企業(yè)自建漏洞收集平臺(tái),不僅開了歷史之先河,更是不負(fù)眾望地穩(wěn)坐口碑TOP1。那么“國內(nèi)最早SRC”的秘密武器究竟是什么?
SRC的破殼
讓我們將時(shí)鐘重新?lián)芑?012年3月底,騰訊應(yīng)急團(tuán)隊(duì)當(dāng)時(shí)剛處理完一個(gè)外部報(bào)告的嚴(yán)重安全漏洞,時(shí)任騰訊CTO Tony給安全部門的同事發(fā)了封郵件:
“這個(gè)漏洞很嚴(yán)重,公仔不足以表達(dá)我們的感謝……”
當(dāng)時(shí)的行業(yè)中,白帽子們發(fā)現(xiàn)漏洞通知廠商的行為并不多見,而廠商的答謝也非常簡單。但是騰訊安全應(yīng)急安全團(tuán)隊(duì)意識(shí)到是時(shí)候改變游戲規(guī)則了,于是在一番討論之后,Lake2、熾天使、coolc、ls、tony共同見證了TSRC的誕生。
初長
萬事開頭難。沒有開發(fā)、沒有產(chǎn)品、沒有設(shè)計(jì)、沒有運(yùn)營,這些職位都由TSR最初的幾個(gè)的安全人員兼任。
現(xiàn)任騰訊安全部負(fù)責(zé)人的Lake2曾在博客中提到:
“說實(shí)話當(dāng)時(shí)心里沒底,畢竟TSRC是業(yè)內(nèi)第一家企業(yè)自建漏洞收集平臺(tái),萬一平臺(tái)建好了沒人來報(bào)漏洞怎么辦?萬一同時(shí)來了無數(shù)個(gè)漏洞怎么辦?萬一被競爭對手坑了怎么辦?萬一……”
即便疑慮重重,他們還是開啟了一系列“小步快跑敏捷開發(fā)”。比較核心的在于TSRC漏洞報(bào)告系統(tǒng)打通了內(nèi)部的漏洞工單系統(tǒng),一經(jīng)確認(rèn)的漏洞就會(huì)自動(dòng)同步到工單系統(tǒng)驅(qū)動(dòng)業(yè)務(wù)修復(fù),修復(fù)后會(huì)自動(dòng)同步狀態(tài)到TSRC漏洞報(bào)到系統(tǒng)反饋給報(bào)告者復(fù)查。
“TSRC一期的系統(tǒng)開發(fā)及與內(nèi)部安全工單系統(tǒng)對接工作都是harite完成的,產(chǎn)品、網(wǎng)頁設(shè)計(jì)、文案話術(shù)、處理流程、微博、博客文章大部分都是我和harite做的。”
終于,騰訊漏洞報(bào)告平臺(tái)于2012年5月20日進(jìn)行內(nèi)側(cè),5月31日正式上線。
上線首月就有38位白帽子報(bào)告了上百個(gè)漏洞,其中不乏嚴(yán)重漏洞。隨后的幾個(gè)月,發(fā)現(xiàn)的漏洞數(shù)量也是一路攀升,7月176個(gè),8月280個(gè)……這還是最終確認(rèn)為漏洞的數(shù)量——還有更多確認(rèn)不是漏洞的報(bào)告(數(shù)倍于確認(rèn))。
成長
在收到了良好的反應(yīng)與廣泛支持之后,TSRC開始思索下一個(gè)方向。他們意識(shí)到跟所有的產(chǎn)品一樣,建設(shè)完成只是一個(gè)開始,關(guān)鍵要靠運(yùn)營。摸索中,他們找到了TSRC運(yùn)營的十六字箴言——小步快跑,大膽試錯(cuò),溝通為王,以德服人。
大膽試錯(cuò)
沒有生來便是成熟的產(chǎn)品。TSRC也一樣,作為國內(nèi)首家,他們更是沒有太多經(jīng)驗(yàn)和先驅(qū)可以拿來參照。
前期TSRC因?yàn)闆]有規(guī)則,經(jīng)常出現(xiàn)漏洞評分的爭議。于是他們很快發(fā)布了《騰訊外部報(bào)告漏洞處理流程》并且不斷更新,一直維護(hù)至今。
而后又存在漏洞推送到業(yè)務(wù)修復(fù)后,沒有修復(fù)徹底,又被外部發(fā)現(xiàn)。于是增加了“報(bào)告者確認(rèn)修復(fù)”的流程。
早期的幾個(gè)月里,考慮到經(jīng)費(fèi)問題,對白帽子的獎(jiǎng)勵(lì)采用的是按積分排序,按等級贈(zèng)送禮品。而這樣白帽子無法獲得喜歡的東西,于是“兌換制”誕生了。如此一來,白帽子提交漏洞的積極性就提升了。
溝通為王
分析過早期TSRC惹出爭議的所有問題之后,他們發(fā)現(xiàn)80%以上都是跟報(bào)告者的溝通問題。問題可能存在于對漏洞的評級、處理流程等地方,TSRC也在不斷優(yōu)化平臺(tái)建設(shè),相應(yīng)增加了評論功能,以及后來的“一鍵QQ聯(lián)系”功能。
不斷創(chuàng)新
今年是TSRC走過的第三個(gè)年頭,10月份他們將原有的“安全漏洞獎(jiǎng)勵(lì)計(jì)劃”正式升級為“威脅情報(bào)獎(jiǎng)勵(lì)計(jì)劃”,也就是,TSRC除原有的收集騰訊安全漏洞外,還收集與騰訊相關(guān)的任何安全威脅情報(bào),一經(jīng)確認(rèn),即按照威脅情報(bào)評分危害級別給予獎(jiǎng)勵(lì)。目前,已是小有收獲。
此外,TSRC也是首個(gè)主辦校園沙龍活動(dòng)的SRC?!笆澜珥敿壓诳湍感P小?0月15日來到上海交通大學(xué),兩位頂級黑客校友盤古實(shí)驗(yàn)室負(fù)責(zé)人徐昊(windknown)和全球黑客大賽世界冠軍陳良現(xiàn)身傳授經(jīng)驗(yàn),TSRC伴隨學(xué)子一同成長。
如何與白帽子相處
作為國內(nèi)成立的首個(gè)SRC,騰訊安全應(yīng)急團(tuán)隊(duì)一路走來,從無到有,從心里沒底到口碑“第一”,這其中不乏曲折與嘗試。產(chǎn)品好不好,用戶說了算。這里我們暫時(shí)將白帽子視為TSRC的用戶,聽聽他們的評價(jià)。
白帽子棟棟同學(xué):
“TSRC人文關(guān)懷簡直貼心,漏洞處理也快,(發(fā)生)爭議會(huì)邀請業(yè)界前輩一起商討,雖然我還沒遇到過。就比如我就提交過兩枚漏洞,禮品已經(jīng)收到一大堆了。還有,TSRC也在做公益。”
TSRC年度積分冠軍白帽子rasca1告訴FB小編,騰訊不僅獎(jiǎng)勵(lì)高、態(tài)度好,時(shí)不時(shí)還有活動(dòng),逢年過節(jié)還給白帽子發(fā)禮物的。
“全球應(yīng)該就這一家吧,所以說是宇宙第一SRC?!?
兩年前,無意間看到這個(gè)網(wǎng)站的rasca1,當(dāng)時(shí)還是個(gè)小白,提交了個(gè)XSS漏洞。然后便一直在TSRC提交漏洞,據(jù)他說雖然漏洞越挖越難,但是邊學(xué)邊挖中也收獲了很多。
對于白帽子們的如潮好評,TSRC現(xiàn)在負(fù)責(zé)人flyh4t告訴FB小編,首先謝謝大家的認(rèn)可:
“這里我要借助你們平臺(tái)感謝下白帽子。
大家經(jīng)常說我們TSRC福利好,在我看來還不是這樣的,我們給予白帽子的還太少了。比如一個(gè)漏洞,特別是高風(fēng)險(xiǎn)的,被黑客利用了,對我們騰訊業(yè)務(wù)和騰訊用戶所能造成的損失,不是這點(diǎn)禮品所能衡量的。
我們現(xiàn)在其實(shí)還是爭取到的資源比較有限,給予白帽子的物質(zhì)方面的還是太少了。”
2015互聯(lián)網(wǎng)安全年度評選
FreeBuf 主辦“2015互聯(lián)網(wǎng)安全年度評選”WitAwards報(bào)名通道已經(jīng)進(jìn)入萬眾期待的全民投票階段,年度最佳SRC、年度安全寶貝、年度安全團(tuán)隊(duì)、年度安全云、年度安全產(chǎn)品、最佳安全研究者等十二項(xiàng)大獎(jiǎng)花落誰家,答案最終會(huì)在明年FIT互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上揭曉。
你心目中的年度最佳SRC又是哪一家?我要投票
*FreeBuf 編輯部,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)