Google技术项目经理Kevin Stadmeyer:Google漏洞奖励计划经验分享

2012-12-18 90091人围观 ,发现 6 个不明物体 资讯

摘要:Google 技术项目经理Kevin Stadmeyer发表《Google漏洞奖励计划经验分享》主题演讲。Kevin Stadmeyer目前负责Google漏洞奖励计划的推行。演讲涵盖了几点:奖励计划的历史、起因、流程,以及介绍谷歌网络应用和发现的问题。

Google漏洞奖励计划发展史

首先谈一谈历史,为什么我们要这么做呢?首先我们这么做是因为我们不喜欢钱,喜欢漏洞。给解决问题的人们付钱,让大家给我们找漏洞,这样我们钱少了,漏洞多了,大家很高兴。Google创始人给了我们足够的钱,我们想给人付钱,因为他们花时间来发现Google的漏洞,我们确保人们能为花出的时间得到公正的回报,因为找到漏洞的并不是没有投入的。相反你要花时间,要投入精力,因为我希望你们会觉得作出这样的工作能够得到我们的报酬。

实际上我的老板开始这个项目时并不是针对谷歌,因为谷歌自己有一个项目。因为Chrome,一个非常复杂的系统,因此在我们这个系统里面把Chrome项目加进来就太复杂了。我们在2011年12月1日开始这个项目,当时贴了一个博客的文章,我们当时觉得第一天可能会收到三五个漏洞,但事实上我们收到了四五十个漏洞。

所以显然人们意识到很多问题,而且四十到五十个漏洞不可能在一个小时内发现,所以更可能的是人们找到了这些漏洞,他们并没有向我们披露,因为他们不知道怎么处理这些BUG,当然其中还有一些法律的问题,包括访问网页服务的时候,人们希望确保当他们找到并且公布这些BUG的时候,谷歌不会不高兴。

所以基本上大家知道,我们是希望能够那些给我们披露信息的人给一些奖励,所以谷歌的网页我们因为什么准备,怎么开始的,还有其他一些程序。启动这个程序是相当困难的,大家知道因为这是有一些争议性的,你必须要跟所有的谷歌用户说,我们希望能够让一些人闯入你们应用程序里面,而且我们还会付他们钱。另外我们还需要获得各种各样的支持和回报。

谷歌竟然没有专门的产品安全人员!

首先就是安全团队,谷歌实际上没有自己专门的产品安全的人员,我们有一个独立的安全人员,他们提供24×5的服务,我们觉得我们启动这个服务就会有过多的负荷,我们主要安全团队工作会过多,所以我们采取措施避免这个风险。所以我们所做的措施就是我们建立了一个工作室,这个工作室里面有一些高层的工程师,他们和产品工程师坐到一起,在一个房间里,当我们发现程序BUG的时候,我们会和安全工程师进行对话,探讨做一些事情。确保这些BUG是获得追踪,如果我们获得这些BUG获得追踪,我们会和安全团队一起修补这些漏洞。

我们还和其他部门一起合作,我们还会和法律团队进行合作。一般来说,律师不会倾向于接受我们的倡议,但是幸运的是谷歌的工程师态度更加积极,他们更愿意支持我们的项目。但是他们有一些前提,就是说我们不能够在受到制裁的国家奖励一些人,因为这些人是生活在不同的国家,比如说伊朗、叙利亚,根据法律的规定,我们是不能够给生活在这些国家的人提供相关的奖励。所以我们不能和这些国家的人进行合作,但是如果获得这些国家的漏洞,我们不可以给他们一些奖励,我们可以感谢他们,但是不能够给他们奖励,这是出于法律原因。

有时候16岁以下的未成年人也会给我们报告一些问题,我们也愿意感谢他们,也和他们合作,但是出于法律的原因,也不能给他们奖赏。预算是很有意思的问题,我们创始人拿了很多钱,他对安全非常关注,所以劝说他给我们相当多、没有限制的预算也是很容易的,因为我们不知道这要花多少钱,发现的漏洞究竟值多少钱,所以基本上我们是采取一种非常盲目的方式,不限制预算。

我们还有谷歌工程师参与进来,不仅仅是安全部门的工程师,产品安全工程师对这个项目也很感兴趣,可以说谷歌的每一个人都非常重视安全的问题。所以把这个理念推荐给他们非常容易,另外我们还要决定一个事情是非常容易的,一开始我们以为是网页的应用程序,除了这个网页之外还有其他的问题,有一些问题不是安全问题,比如EXCEL,有人给你一个链接,你上去以后获得谷歌的服务,我们支付的漏洞不会帮助我们解决相关问题,现在我们获得一些相关的应用程序。

除此之外我们还必须排除新的应用程序,排除时间是六个月,为什么这么做呢?就是因为谷歌一般会在这个产品的应用周期的早期就会把产品推出去,在这个早期的时候,也许相关的公司不能更多将资源关注安全问题,所以我们会给他六个月时间提前,让他们能够和谷歌的工程师进行面谈,然后六个月之后,我们会把这个服务交给我们VIP用户,然后会找到一些相关安全问题。

Google支付的安全范围

首先我们来看一下什么样的范围,我们的网页上所有的内容都是属于安全防范的范围。所有的这些应用程序和服务,我们往往提出这样一个问题,就是为什么我们在这个城市里面排除客户端的应用程序,答案很简单就是资源上的限制,你很难处理这么多的问题。你很难处理很多问题,你很难获得相关方一些相关报告,还有一些模糊测试或者其他一些检验。Chrome浏览器有自己的VIP,所以我们也愿意支付有关Chrome应用程序的安全问题。

基本上Google所有这些桌面的、Android的还有其他一些设备都是受到我们的安全保护。我们总是欢迎能够获得桌面电脑安全的报告,在有些情况之下,可能有一些汇报方关注并不是金钱,而是其他一些奖赏的方式。我们主要购买的是什么?我们现在不断支出更多的钱,我们觉得我们所支付的钱不够,所以我们需要支付更多的钱,优化这个程序,修改起来是比较容易的。

  • 第一个方面是Mixed Scripting,就是你有一个资源的时候,通过这种混合的内容,你可以在获得不同的信息,但是如果不支付的话,可能发现不了重大的安全漏洞。像Google.com,如果你想找到这个Mixed Scripting,一般是一百美元,三百美元,甚至达到一千三百七十美元。
  • 另外XSRF,每一个堆都是100美元,所以XSRF一般是一百三十七美元,这个取决于位置和安全漏洞的程度。如果你发现一个XSRF Google.com会改变你的地点,比如说从美国到加拿大,这样因为你生活在国外可能拿到奖赏。如果你可以通过MAILE的方式可以找到攻击方可以得到奖赏。
  • XSS是我们最大的范畴,有很多的漏洞,每有几十个和几万个,一般情况下我们支出13到37美元费用,但是如果这个漏洞引起特别大的关注,找到一些用户或者是原因,我们会增加费用。
  • 另外是Auth Bypass基本上是该获得数据就能获得数据,基本例子就是访问其他人mail或者利用其他人的营销战略。
  • SQL因为我们支付1万美元,所以我们找到谷歌里面很多SQL的漏洞,我们不会用SQL,我们用的是BECHTEBL,但是还是有很多人帮我们找到了SQL漏洞。比如说有人有一个SQLIMAP,有人会告诉我们在SQL找到的了漏洞你们付我们钱吧。有些人会给我们发出说Google MAP拼写不对,有一些程序上的漏洞,但是SQLIMAP并不运行SQL。有的人把自己的报告放上去。
  • RCE,你可以在谷歌的服务器上进行RCE任何个服务器都会支付两万美元,唯一问题就是验证证明,提供这种证明也是比较容易的,一般情况之下你可以在日志里面说找到RCE漏洞,然后我们就会给你钱。

有什么样排除不包括以下的攻击,第一个就是DOS服务驳回,因为我们在DOS方面做了很多事情,有些情况之下是我们购买或者是获得的。这种程序可能漏洞更高,100多天也能进入Google系统里面,因此也受到我们保护。很多人会在DOS找到漏洞,做的很成功,但是我们说这不能获得我们的奖赏。

Google不为以上攻击付钱

另外就是公司基础架构,我们不会支付针对公司基础架构的攻击,如果说你找到了这个代码执行,然后你找到这方面漏洞了,但是不能够获得我们的奖赏。如果说你把它放到了在公司基础架构找到了BUG,在其他地方又找到了漏洞还是可以获得我们的奖赏。有的时候你会说在A页里面获得了漏洞,然后我们看一下BCD也会出现漏洞,那么我们也会支付用户所汇报的漏洞。

SEO的黑帽,我们不会针对这种漏洞报告进行支付。我们有一个团队,他们对于搜索的质量进行了大量的工作,所以这也是排除在外的。像网页视图都是不符合攻击奖赏的,ACQUISITIONS如果六个月以下也是排除在攻击之外的。

我刚才提到的,最近我们极大调整了我们相关内容,主要是因为我们可以通过找到这种BUG需要很多时间和精力,所以我们必须要给人们提供大量的精力机制,能够让他们帮助我们找到这个漏洞最有可能发生的方面。

Google调整了付款额,最高奖金额度是3133.70美元

我们的问题并不是要去买这些BUG,我们关注的并不是这些BUG是否会造成漏洞,我们只不过是希望给你奖赏感谢你花费的时间。基本上我们并没有就这些制定过多的规则,我们会要求你负起你们的责任跟我们进行披露,如果说你这么做的话,我们会给你支付钱,我们会支付的钱这是因为你找到了这个漏洞,但是我们不会支付你钱修补这些领域,如果你给我们汇报一个BUG,第二天放到博客上面,这也不会让我们给你付额外的钱。一般来说我想这个TWITTER花一到六个月时间。人们会对我们进行有效的披露的漏洞是很难修补的,实际上这些汇报方都给我们足够的时间来修补这些漏洞。

Duble Click是Google的程序,我们收到了一份电邮,这并不是高新的科群,问题就是你怎么把这些放到Duble Click,这个上载的文件检查一下,他再检查其他,但是这里会发生一些事情,会让人很难看。一方面我们没有办法对文件进行有效的检查,我们会放再一个WEB EAX里面,我们实际上不应该分到网页目录里面,我们可以放到执行里面,我们也许可以用更加好的方式来进行文件的上载和检查。他的总值达到了3133.7,这是新的点数之下,旧的点数之下是5000到20000之间,这个是特别简单,你只要在公司检查PHP的文件就可以了。

合理性、合格性,怎么确保你才是合格性,首先进行合理的通知,我们知道一个BUG之前进行通知,如果通知之前就放到自己微博上,这就不是合理的通知。如果你跟我们进行了通报,但是几个星期之内我们也许并没有对你进行回报,你披露是没有问题,一般来说我们接收到你们通报,两个小时之内就会进行回应。有些情况之下,有些人他们汇报了Google PLAS,他们在早上汇报,晚上的时候就关闭了,就已经修补了,所以我们是非常关注这些BUG,如果这些涉及到信誉、可信度的问题,Google每一个人都想停下手上的任何工作,立刻解决你所提的问题。

私底下信息披露,我们是希望你只向我们进行披露,当然我们要执行这一点是非常有限的。有的情况你可以通过第三方进行披露,比如说VDI,如果你这么做我们不会给你钱,我们会提及你这个披露,但是不会给你钱。

适当的测试也是很重要的。只有你进行访问的时候才可以测试,你只是闯入其他人MAILE帐户是不可以的,你必须有合适的测试手段才可以测试,在有效手段之下可以获得RCE的BUG,我们会进行调查,发现他们能够访问其他客户的文件,我们发现其实这个其他的客户和这个披露方是朋友,所以是可以这么做的。

这就意味着我们叫做第一个提出最好的BUG,如果你是第一个可以得到很快的付款,所有都是通过我们这样一些系统,很容易看到这样一个E—Maile 402或者401得到一个建议。

总体来说,这个安全测试里边有很多资源,我们有很多一些点击填一个表,自动后来去找到,这是比较小的可以这样做,我们有重包的办法,我们有很多地方可以去找到的。我们还有很多智能的一些BUG,我只是讲了其中一两个,还有很多有趣的BUG,其中报告第一类BUG是一位先生,他给我们放了一些PS的转化,从葡萄牙翻译成西班牙语言的翻译这样一种BUG,我们这样做也是很有意思的东西。

Google BUGS/月

Google每个月的BUG数量,这是每个月看的情况,在我们VIP差不多有几个BUG,有的人引起注意马上跳跃到上百个甚至五十个BUG,所以有很多BUG上升了,然后又下降了,在四月的时候,他们开始支付更多钱为这些BUG,然后再有这些报告上升,这很显然人们开始注意到我们做的工作,像在媒体上发布的一样,关注他们的工作在这上面来做,我们这里面也是提出VIP这样项目,是非常受欢迎的,就是能够从Google和FACEBOOK方面支付他们,这是我们Google漏洞查找一个计划。

这是很有意思一个饼图,他们解释了发现BUG类型,我们也是他们给我们报告我们才看到了,一开始的时候看到这个饼图是一样的,更新一下比例发生改变不是很大,总的来讲,研究68%、70%这样的情况,我一个朋友做了一个统计,他证明了68%都是跨站点脚本的BUG,这个是非常有魔力的数字。你可以看到它是最大的一部分,68%点几,下一个是叫跨站点的请求伪造,也是一部分,还有其他的一些这是像XSS 、SXRF等等,85%是新人找到的BUG,15%是现有的旧人的发现,他多数是重复BUG,还有一些非常聪明的人是专注于这么去做,全职、还有兼职的他们做点工作。

可以看到他们位置都是在德国和美国,有一些德国人他们把我们所有钱赚走了,不管什么原因,他们有些朋友可以聚在一起可能攻击我们的Google,这个是我们在全球支付钱情况一个热途,很多国家都是可以拿到,我们也去很多一些报告者亚洲和非洲缺少一些,这是重要一些地方。我们还有很多报告来自拉美地区,比如说巴西有很多这样的报告。

20%人发现有多少个BUG呢?80%的规则,所以这是20%对80%的规则,这可能有一些经验,有一些是正常的,基本上他找到一个BUG,后面会找到很多BUG,可能是在GooglePLASE发50个,下面有20个,后面有8个BUG,这是比较神奇的过程。

我们付出多少钱呢?平均目前为止我们支付了4388978人民币,转换成70多万美元,所以我们也是确实付出大量的钱。这里面我们差不多我们可以说有二三万有效的报告,这里面我们也支持了差不多四万多支出的BUG,所以你可以得到这个付款,可以得到一些奖励,这是非常有意思的BUG。

计划实行的挑战

第一个挑战就是劣质报告,就是获得一些现金,来找一些BUG,包括一些桌面应用系统,他们给我们很大压力,我们也希望他们能找到一些能用的BUG,他们在一些关键的BUG上还是有很多工作涉及到对话或一些调试,我们希望人知道我们非常高兴他们给我们提供报告。

还有我们任何时候给我们发E-Mail,我可以为这样一个BUG付钱,有一些人不喜欢为漏洞付钱,他们比较反对这样一些想法,也这是很遗憾的。

之外还要进行管理,这也是要花很多钱的。另外还有团队工作人员我们每三周就轮换一下,这是我们整个工作的情况,在这方面肯定要投入大量的资源。

另外还有不是漏洞的情况,我们拒绝给他们付钱,有一些人不太高兴,双方之间的交流就会比较棘手。我们之间反复进行沟通,为什么这不是一个漏洞呢?这个产品团队的期望到底是什么呢?那么我们也是要努力确保沟通后,每一个人离开的时候感到高兴。

最近有这样一个问题,就是透明度的问题,有的人把一个漏洞发给我们,那么实际上他们是对现有问题一个重复汇报,我们就不会付钱,因为我们以前就知道了。这种情况下,有人就会说你们是骗人的,你怎么证明这是重复的漏洞呢?很显然我没法告诉你,我以前汇报报告了这个人的具体情况,在这种情况下,我会做出更多的努力,会告诉他,我知道你在这种情况下会非常沮丧,但是我再次向您保证这个漏洞确实已经有人报告过了。

这里边比较有意思的一点,就是有一些人听说了我们这样一个项目,他们就发一些钓鱼的软件,利用这样一个电子邮件,实际上我们对这么一个邮件还是有影响的,那么他们整个内容就会说你的帐户发出了一个漏洞BUG报告发给了Google的安全团队,要还会说这里边有很多不好的语法错误,还会说你看这里边有不少的语法错误、拼写错误等等,我们就觉得你可能是一个机器人或者是自动产生的文件。

如果你在这方面回复任何拖延的话,会导致更多的安全协议启动,所以我们就会给Google团队写信,几个小时之内把它关掉。在这方面有什么建议呢?你要喜欢漏洞,对我们来说我挺开心欢的,我们要喜欢漏洞,有这样一个态度,那么我们每当收到一个漏洞的报告,那么我们知道它就会使我们这个组织更为安全,重要的是要非常严格的管理,你的ERP项目或者其他项目都要非常严格,如果你对安全不确定的话,一定要认真的对待,那么要有时间作出回应,而且我在谷歌我们非常高兴的就是我们大部分问题都是每周七天,每天24小时工作来作出应对,因此大多数情况下我们也会很快的就做出回应。

另外要根据具体的情况,要告诉为什么它不是一个漏洞,为什么我们没有办法付钱,要非常尊敬作出这样的回应。另外还要为资源进行分类,在一开始我们的增长非常的快,在两周之后它的增长大概就是在四倍到五倍,那么另外最后这一些漏洞都会得到修复,安全也就得到了保证。要有一些软件开发者和你进行合作,以便能够进行修复。

为了构建测试、Beta测试的BUG付钱,一般在这个系统中如果发现相关安全的漏洞,我们会付钱,一般情况下会有一些不是问题的问题。在谷歌我们发现有一些时候会很难有一个系统,我们认为通常不是安全问题,而且从小的方面,开始逐步的扩大它的范围。另外还要考虑全球的问题,大家看一看地图展示了我们实际上给全世界所有的人付钱,在我们Google的安全团队也是非常国际化的。另外还有一些人使用自己的语言,有些时候是需要把他们的信翻译一下。

另外还要有很好的公关团队。坦率的说,你要寻找最好的东西,钱并不是一切,我们会提供一个很好很高的荣誉,每周都发出宣传报告。另外再做一些事情,比如说使他们成为我们邀请对象去渡假或者是提供体恤。

结论就是这个是不是有利于Google的发展?答案是肯定的,那么你否也开始这个漏洞的计划呢?我们答案也是肯定的。

—————————————————————————————————————————

转载自:http://www.csdn.net/article/2012-12-13/2812790

PS:
这个翻译的很一般,英文原文暂时无从获取,因此各位先将就看一下吧。
目前国内已有企业实施或计划实施漏洞奖励计划,Google的经验之谈可供借鉴。

发表评论

已有 5 条评论

取消
Loading...
css.php