信息來(lái)源:FreeBuf
本文以TSRC負(fù)責(zé)人flyh4t和白帽子專(zhuān)訪(fǎng)為素材編輯整理
2012年初,一則社會(huì)新聞攪動(dòng)了當(dāng)時(shí)還不成熟的互聯(lián)網(wǎng)安全圈。一人發(fā)現(xiàn)某電商城存在漏洞,該漏洞可獲取該商城所有用戶(hù)賬號(hào)、密碼及個(gè)人信息。在雙方溝通未果后,該名“勒索者”被警方控制。
前SRC時(shí)代
在那個(gè)沒(méi)有SRC的年代,白帽子發(fā)現(xiàn)漏洞的意義很局限,向網(wǎng)站或廠商報(bào)告漏洞的途徑少之又少,索性在自己的博客里公布,這也加深了雙方的對(duì)立與誤解,盡管存在少數(shù)心懷鬼胎的人低調(diào)地做些“買(mǎi)賣(mài)”。
然而,國(guó)內(nèi)這樣的空白沒(méi)有持續(xù)太久,畢竟包括谷歌、Facebook、微軟等外國(guó)互聯(lián)網(wǎng)公司都有了相對(duì)成熟的SRC應(yīng)急響應(yīng)機(jī)制或者漏洞獎(jiǎng)計(jì)劃,鼓勵(lì)了安全測(cè)試人員與企業(yè)一道維護(hù)系統(tǒng)安全。
就SRC而言,2012年5月建立的騰訊安全應(yīng)急響應(yīng)中心TSRC(Tencent Security Response Center)為中國(guó)首家企業(yè)自建漏洞收集平臺(tái),不僅開(kāi)了歷史之先河,更是不負(fù)眾望地穩(wěn)坐口碑TOP1。那么“國(guó)內(nèi)最早SRC”的秘密武器究竟是什么?
SRC的破殼
讓我們將時(shí)鐘重新?lián)芑?012年3月底,騰訊應(yīng)急團(tuán)隊(duì)當(dāng)時(shí)剛處理完一個(gè)外部報(bào)告的嚴(yán)重安全漏洞,時(shí)任騰訊CTO Tony給安全部門(mén)的同事發(fā)了封郵件:
“這個(gè)漏洞很?chē)?yán)重,公仔不足以表達(dá)我們的感謝……”
當(dāng)時(shí)的行業(yè)中,白帽子們發(fā)現(xiàn)漏洞通知廠商的行為并不多見(jiàn),而廠商的答謝也非常簡(jiǎn)單。但是騰訊安全應(yīng)急安全團(tuán)隊(duì)意識(shí)到是時(shí)候改變游戲規(guī)則了,于是在一番討論之后,Lake2、熾天使、coolc、ls、tony共同見(jiàn)證了TSRC的誕生。
初長(zhǎng)
萬(wàn)事開(kāi)頭難。沒(méi)有開(kāi)發(fā)、沒(méi)有產(chǎn)品、沒(méi)有設(shè)計(jì)、沒(méi)有運(yùn)營(yíng),這些職位都由TSR最初的幾個(gè)的安全人員兼任。
現(xiàn)任騰訊安全部負(fù)責(zé)人的Lake2曾在博客中提到:
“說(shuō)實(shí)話(huà)當(dāng)時(shí)心里沒(méi)底,畢竟TSRC是業(yè)內(nèi)第一家企業(yè)自建漏洞收集平臺(tái),萬(wàn)一平臺(tái)建好了沒(méi)人來(lái)報(bào)漏洞怎么辦?萬(wàn)一同時(shí)來(lái)了無(wú)數(shù)個(gè)漏洞怎么辦?萬(wàn)一被競(jìng)爭(zhēng)對(duì)手坑了怎么辦?萬(wàn)一……”
即便疑慮重重,他們還是開(kāi)啟了一系列“小步快跑敏捷開(kāi)發(fā)”。比較核心的在于TSRC漏洞報(bào)告系統(tǒng)打通了內(nèi)部的漏洞工單系統(tǒng),一經(jīng)確認(rèn)的漏洞就會(huì)自動(dòng)同步到工單系統(tǒng)驅(qū)動(dòng)業(yè)務(wù)修復(fù),修復(fù)后會(huì)自動(dòng)同步狀態(tài)到TSRC漏洞報(bào)到系統(tǒng)反饋給報(bào)告者復(fù)查。
“TSRC一期的系統(tǒng)開(kāi)發(fā)及與內(nèi)部安全工單系統(tǒng)對(duì)接工作都是harite完成的,產(chǎn)品、網(wǎng)頁(yè)設(shè)計(jì)、文案話(huà)術(shù)、處理流程、微博、博客文章大部分都是我和harite做的。”
終于,騰訊漏洞報(bào)告平臺(tái)于2012年5月20日進(jìn)行內(nèi)側(cè),5月31日正式上線(xiàn)。
上線(xiàn)首月就有38位白帽子報(bào)告了上百個(gè)漏洞,其中不乏嚴(yán)重漏洞。隨后的幾個(gè)月,發(fā)現(xiàn)的漏洞數(shù)量也是一路攀升,7月176個(gè),8月280個(gè)……這還是最終確認(rèn)為漏洞的數(shù)量——還有更多確認(rèn)不是漏洞的報(bào)告(數(shù)倍于確認(rèn))。
成長(zhǎng)
在收到了良好的反應(yīng)與廣泛支持之后,TSRC開(kāi)始思索下一個(gè)方向。他們意識(shí)到跟所有的產(chǎn)品一樣,建設(shè)完成只是一個(gè)開(kāi)始,關(guān)鍵要靠運(yùn)營(yíng)。摸索中,他們找到了TSRC運(yùn)營(yíng)的十六字箴言——小步快跑,大膽試錯(cuò),溝通為王,以德服人。
大膽試錯(cuò)
沒(méi)有生來(lái)便是成熟的產(chǎn)品。TSRC也一樣,作為國(guó)內(nèi)首家,他們更是沒(méi)有太多經(jīng)驗(yàn)和先驅(qū)可以拿來(lái)參照。
前期TSRC因?yàn)闆](méi)有規(guī)則,經(jīng)常出現(xiàn)漏洞評(píng)分的爭(zhēng)議。于是他們很快發(fā)布了《騰訊外部報(bào)告漏洞處理流程》并且不斷更新,一直維護(hù)至今。
而后又存在漏洞推送到業(yè)務(wù)修復(fù)后,沒(méi)有修復(fù)徹底,又被外部發(fā)現(xiàn)。于是增加了“報(bào)告者確認(rèn)修復(fù)”的流程。
早期的幾個(gè)月里,考慮到經(jīng)費(fèi)問(wèn)題,對(duì)白帽子的獎(jiǎng)勵(lì)采用的是按積分排序,按等級(jí)贈(zèng)送禮品。而這樣白帽子無(wú)法獲得喜歡的東西,于是“兌換制”誕生了。如此一來(lái),白帽子提交漏洞的積極性就提升了。
溝通為王
分析過(guò)早期TSRC惹出爭(zhēng)議的所有問(wèn)題之后,他們發(fā)現(xiàn)80%以上都是跟報(bào)告者的溝通問(wèn)題。問(wèn)題可能存在于對(duì)漏洞的評(píng)級(jí)、處理流程等地方,TSRC也在不斷優(yōu)化平臺(tái)建設(shè),相應(yīng)增加了評(píng)論功能,以及后來(lái)的“一鍵QQ聯(lián)系”功能。
不斷創(chuàng)新
今年是TSRC走過(guò)的第三個(gè)年頭,10月份他們將原有的“安全漏洞獎(jiǎng)勵(lì)計(jì)劃”正式升級(jí)為“威脅情報(bào)獎(jiǎng)勵(lì)計(jì)劃”,也就是,TSRC除原有的收集騰訊安全漏洞外,還收集與騰訊相關(guān)的任何安全威脅情報(bào),一經(jīng)確認(rèn),即按照威脅情報(bào)評(píng)分危害級(jí)別給予獎(jiǎng)勵(lì)。目前,已是小有收獲。
此外,TSRC也是首個(gè)主辦校園沙龍活動(dòng)的SRC。“世界頂級(jí)黑客母校行”10月15日來(lái)到上海交通大學(xué),兩位頂級(jí)黑客校友盤(pán)古實(shí)驗(yàn)室負(fù)責(zé)人徐昊(windknown)和全球黑客大賽世界冠軍陳良現(xiàn)身傳授經(jīng)驗(yàn),TSRC伴隨學(xué)子一同成長(zhǎng)。
如何與白帽子相處
作為國(guó)內(nèi)成立的首個(gè)SRC,騰訊安全應(yīng)急團(tuán)隊(duì)一路走來(lái),從無(wú)到有,從心里沒(méi)底到口碑“第一”,這其中不乏曲折與嘗試。產(chǎn)品好不好,用戶(hù)說(shuō)了算。這里我們暫時(shí)將白帽子視為T(mén)SRC的用戶(hù),聽(tīng)聽(tīng)他們的評(píng)價(jià)。
白帽子棟棟同學(xué):
“TSRC人文關(guān)懷簡(jiǎn)直貼心,漏洞處理也快,(發(fā)生)爭(zhēng)議會(huì)邀請(qǐng)業(yè)界前輩一起商討,雖然我還沒(méi)遇到過(guò)。就比如我就提交過(guò)兩枚漏洞,禮品已經(jīng)收到一大堆了。還有,TSRC也在做公益?!?
TSRC年度積分冠軍白帽子rasca1告訴FB小編,騰訊不僅獎(jiǎng)勵(lì)高、態(tài)度好,時(shí)不時(shí)還有活動(dòng),逢年過(guò)節(jié)還給白帽子發(fā)禮物的。
“全球應(yīng)該就這一家吧,所以說(shuō)是宇宙第一SRC。”
兩年前,無(wú)意間看到這個(gè)網(wǎng)站的rasca1,當(dāng)時(shí)還是個(gè)小白,提交了個(gè)XSS漏洞。然后便一直在TSRC提交漏洞,據(jù)他說(shuō)雖然漏洞越挖越難,但是邊學(xué)邊挖中也收獲了很多。
對(duì)于白帽子們的如潮好評(píng),TSRC現(xiàn)在負(fù)責(zé)人flyh4t告訴FB小編,首先謝謝大家的認(rèn)可:
“這里我要借助你們平臺(tái)感謝下白帽子。
大家經(jīng)常說(shuō)我們TSRC福利好,在我看來(lái)還不是這樣的,我們給予白帽子的還太少了。比如一個(gè)漏洞,特別是高風(fēng)險(xiǎn)的,被黑客利用了,對(duì)我們騰訊業(yè)務(wù)和騰訊用戶(hù)所能造成的損失,不是這點(diǎn)禮品所能衡量的。
我們現(xiàn)在其實(shí)還是爭(zhēng)取到的資源比較有限,給予白帽子的物質(zhì)方面的還是太少了。”
2015互聯(lián)網(wǎng)安全年度評(píng)選
FreeBuf 主辦“2015互聯(lián)網(wǎng)安全年度評(píng)選”WitAwards報(bào)名通道已經(jīng)進(jìn)入萬(wàn)眾期待的全民投票階段,年度最佳SRC、年度安全寶貝、年度安全團(tuán)隊(duì)、年度安全云、年度安全產(chǎn)品、最佳安全研究者等十二項(xiàng)大獎(jiǎng)花落誰(shuí)家,答案最終會(huì)在明年FIT互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上揭曉。
你心目中的年度最佳SRC又是哪一家?我要投票
*FreeBuf 編輯部,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)