这个特别版的快进是在舞台上录制的Techonomy大会(在新窗口中打开)在纽约市。我的嘉宾是马丁·米科斯,首席执行官HackerOne(在新窗口中打开)该公司将数千名白帽黑客与向他们支付漏洞赏金的公司联系起来。
对于精英黑客来说,这可能意味着数千甚至数百万美元。下面,我们将讨论不断发展的安全本质,我设法让他说出他最喜欢的黑客电影。
丹·科斯塔:马丁,谢谢你今天的到来。这是一群相当有技术含量的读者,但让我们解释一下什么是bug赏金,它们是如何工作的,以及一次赏金可以赚多少钱。
貂上个月举办:让我们从坏消息开始。没人想被黑,但每个人都被黑了。每个消费者,每个公司,每个人都会被黑客入侵。幸运的是,不管我们请求与否,都有人在解决这个问题。我们要求他们做这件事,但他们无论如何都会做的。这是年轻的一代。他们正在为我们所有人解决问题,因为我们无能为力。我们把头埋在沙子里。我们不知道我们为后代制造了什么垃圾。但他们会解决的。
漏洞奖励是基于这样一种理念,即如果你拥有一款网页应用或手机应用,那么如果好人能够入侵,那么坏人也可能会入侵。如果好人不能闯入,那么坏人可能也不能。我们让好人试着破门而入吧。如果他们闯进来,你可以修好它,一切都好。如果他们不能闯入,一切都好。这就是我们所做的。那是我们的事。今天,我们有40万自由黑客,安全专家,研究人员,不管你怎么称呼他们,发现者,他们在你所有的网站和移动应用程序中寻找软件漏洞,并向公司报告。他们发现什么,我们就给他们赏金。
马丁·米科斯提供黑客即服务(HaaS)你已经将HackerOne建立为黑客服务。你可以看到所有的漏洞。你的自由黑客员工可以登录,寻找他们擅长诊断和解决的问题,并从公司中挑选工作。你是怎么找到那些黑客的?你如何审查他们?
这是一种黑客服务,但每个人都可以自己动手。你可以和你的邻居组成一个邻里守望队。你不需要一家公司为你精心安排。跟我们在一起容易多了,但你们也可以自己做。最棒的是我们不招募黑客。就像国家安全局或军情六处。他们没有任何招聘广告。大家都知道怎么注册。
我们来谈谈圣地亚哥·洛佩兹。我们在PCMag上报道过他几个月前。这个故事传开了。一个了不起的故事,给我们讲讲他吧。
是的。我们有40万名黑客,都很了不起,当然,他们中的一些人比其他人更了不起,第一个在我们平台上赚到100万美元的是圣地亚哥·洛佩兹。他住在布宜诺斯艾利斯。他才19岁。你19岁的时候做了什么?
这家伙在几年的时间里学会了如何破解美国所有这些了不起的公司——国防部、陆军、空军和高盛——建立的每一个可能的软件系统。不管你有什么,他都能闯进去,而且他才19岁。幸运的是他是个好人。幸运的是,他发现什么我们就给他钱,他赚了一百万。他想创业。
我在这里找到了这个数字——来自Verizon、Twitter、WordPress和政府机构的产品和服务中有1670个安全漏洞。
是的,还有更多,但是我们的一些项目是保密的,所以我们不能公布名字。
他赚了一百万美元。很明显,他很有前途。黑客的平均收入是多少?这是他们维持生计的一种方式吗?这是他们晚上可以做的爱好吗?
这是一个数学问题因为现在我必须说这是一个幂律分配集。就像好莱坞或者体育联盟。每个人放学后都会打篮球;不是每个人都能进NBA的。这是一个非常尖锐的金字塔,在顶端你赚了很多钱,在底部你什么都赚不到,在中间,你赚得不多。一般……(我们的黑客)有一半是24岁或更年轻。一般来说,他们都是学生,所以他们会利用周末打工来偿还一些学生贷款或生活费。如果他们是专业人士,他们可能是一家非常有声望的公司的安全工程师,然后在晚上,一些周末,他们做这些额外的工作来发现漏洞。
这些黑客的目标是拥有安全专家和开发人员的大型成功公司。为什么他们不能自己做呢?为什么他们需要外部公司来做渗透测试?
国防部就是一个很好的例子。他们三年前来找我们,说‘你能不能运行一个叫做黑进五角大楼的项目?我们有无限的预算。我们有无限的技能。我们拥有世界上最强大的武器,但我们找不到我们的安全漏洞。”
这与软件可能在很多方面出错的事实有关。(但)就连国防部也雇不到40万名安全人员。我们有这些技能,我们使用它们来解决正确的问题。我们都可以分享。这是应对网络风险的唯一途径,因为它是一种不对称威胁。害人的人很少,他们对我们所有人都造成了巨大的伤害。保护我们自己的唯一方法就是联合防御,把我们所有的防御力量聚集在一起,分享知识。这就是我们所做的。
因此,圣地亚哥将在数十家不同的公司中运用同样的技能。如果其中一个雇佣了他,其他的人就会失去他的投入。
你还可以利用全球劳动力,这是很多公司无法做到的。这给了HackerOne很多独特的价值。
以前也有人这样做过。它被称为开源软件。它的工作原理。它优于所有其他软件方法。我们在安全方面也在做同样的事情,这是一个令人遗憾的安全状态。全世界每年在网络安全上花费1200亿美元。这些都是防御机制,它们试图保卫周边并建造更坚固的墙。在一个相互联系的社会里,墙不起作用。你必须以不同的方式建立安全。这就是为什么这种机制比以前发明的任何机制都强大得多。
你如何审查黑客?显然,当他们申请工作或试图从HackerOne获得工作时,他们是一名白帽黑客。你怎么知道在周末他们不会戴上黑帽子,用他们的知识和专长来对付那些公司呢?
媒体总是问每件事的阴暗面。让我先说,世界上好人比坏人多一千倍,所以一开始罪犯很少,非常非常少。其次,我们对他们很差,所以他们不注册,这意味着当你注册了HackerOne,你没有特别的好处,没有特殊的访问权限,没有特殊的工具。
即使一个罪犯注册了,在我们的系统中取得进展的唯一方法就是向系统的所有者提供一个漏洞报告,在这一点上,罪犯已经变成了一个非罪犯。在我们的体制里,唯一的办法就是做个好人。
有点像消防员。你怎么知道消防员不是纵火狂?谁会去接受那些训练,那些可怕的工作?只是做纵火狂更容易。因此我们不会让它们进入系统。当然,我们会审查他们,跟踪他们。我们知道IP地址他们已经报名了。当我们给他们钱的时候,我们有他们的税务信息。我们做背景调查。当我们入侵五角大楼时,五角大楼说,必须是美国公民和守法公民纳税,所以我们为他们检查了所有这些。我们可以这么做。在金字塔的顶端,我们有最严格,最安全,像特工一样的黑客他能黑进你需要的任何东西。
你认为安全威胁来自哪里?是有问题的软件没有打补丁?它是恶意软件那么外部攻击呢?是民族国家在试图窃取知识产权吗?
情况更糟。只有你和我。这个问题不是技术问题。这是人类的问题。人类是没有纪律的。他们容易受骗。他们不愿意承认自己的弱点。这些都是问题所在。
告诉我具体情况。大多数消费者做错了什么,使他们容易受到攻击?
我们有责任建立一个消费者可以变得愚蠢和草率的社会。当然,如果他们不是很好,但我们不能要求或要求他们成为网络安全专家。那将不是一个人道的社会。我们必须建设一个普通公民不必知道太多的社会。
同时,我们也学到了,像在医院卫生。每个人都知道,当你去医院的时候,你必须洗手。我们每次都这样做。我们在网络安全方面也需要类似的做法。或者在航空领域。过去经常有飞机从天上掉下来。他们不再这么做了。这只是因为我们汇集了防御力量,航空公司无可指责地分享了所有安全信息,并寻找根本原因。在软件行业,我们所要做的就是成长并做同样的事情。我知道这一点,因为我在那里开发了所有那些今天不起作用的软件。 I'm on the accused bench as much as I'm now repenting for my sins.
让我问你一个我们在PCMag上经常遇到的问题。这里有很多关于科技公司和国家的故事,这些公司投资的科技公司正在制造不应该被信任的产品。每隔几年人们就会质疑卡巴斯基安全软件,因为他们是一家俄罗斯公司,他们与俄罗斯政府有联系。美国不想买华为硬件和5克基础设施因为它不信任它,现在英国可能会做同样的事情。你如何看待这些漏洞?这些是真正的弱点,还是这些公司只是想获得竞争优势?
现在你将得到我今天的第二次反对。我不怪其他国家。美国的罪犯太多了。即使没有俄罗斯、中国和韩国的东西,我们美国的网络问题也已经够多了。当然,可能存在一些威胁,但这不是问题所在。问题是犯罪确实存在,而且只需要一小群人就能造成很大的破坏。
然后是地缘政治。如果美国禁止一些中国公司,那么中国将禁止一些美国公司。如果你想远离它,你可以。这不是网络安全的本质。网络安全的本质是共享信息、合作、遵守纪律和做到无可指责,尽管我们需要互相问责。这是可行的,但很困难。
航空业就是这样做的。他们从不责怪任何人,但他们会互相问责。这也是网络安全的关键。
你认为公司之间是否需要更多的监督和合作来创建这些基线和安全基础设施?
绝对的。我认为国会已经在采取行动了。NIST有一个非常好的网络安全框架。英国也有类似的政策。司法部建议对所有人进行黑客测试。国防部正在这么做。国土安全部正在这么做。你看到政府现在比美国企业更早采取行动。这是一个非常健康的迹象。当然,这是一艘大船,我们有很多问题。 Even if I claim cybersecurity is heading in the right direction, we will have even worse problems before we see the fruits of all those efforts.
您个人有什么建议其他消费者在日常生活中更安全的吗?
我对自己的密码很有纪律。我不会两次使用相同的密码。我不会给宠物起任何名字之类的。我被我的密码弄糊涂了。
你用吗?密码管理器,就像LastPass?
是的,我喜欢。我做的事。对有些人来说,我不这么认为。我的同事说我应该使用服务。在那里,我自己更保守一点,认为可以,但不是为了我的银行账户。在那里,我将得到这段令人惊讶的长文本,看起来完全像胡言乱语,我希望它们是胡言乱语。
你可以用歌词,只用首字母。这是一个很好的技术。
是啊,但是太多人喜欢唱歌了。是唯一的。找一些别人不关心的东西。
此外,有人工智能还有一直在破解密码的算法。你几乎也要比他们更聪明。
是的,但所有好的(系统),比如网上银行系统,只允许你在特定的时间间隔和特定的次数尝试新密码,然后它就会锁定账户多因素身份验证。在那个特定的区域,要保证安全并不难。也许聪明的人会在某个时候发明无密码认证。
我们已经做过好几次了它的到来,它的到来一年过去了,我们还在输入密码,收到电子邮件和手机短信。你觉得我们很快就能实现无密码的未来吗?
我是个乐观主义者。我想我们会解决所有的问题。我只是不知道什么时候。另一个问题是我们使用标识符作为密码。社会安全号码应该只是一个标识符;这不应该是秘密。我的名字不是秘密;它是一个标识符,你可以指向我。我的社会安全号码也应该只是一个标识符,而不是一个密钥,不是一个密码。这是几十年前在美国犯下的一个错误,它必须在某个时候得到解决,因为如果需要作为标识符的东西被用作密钥,社会将无法运转。
最后一个问题。我得知道:有没有什么电影这是对的?
好吧,运动鞋是一部很棒的电影。你们都应该看,这是我们的事,非常棒。还有一部电影我们必须提一下。黑客。为什么?蹩脚的电影。为什么它很重要?
安吉丽娜·朱莉。
安吉丽娜·朱莉。她是女性黑客的榜样。很多女性黑客告诉我,当她们看到这部电影时,她们决定自己也可以成为一名黑客,这不仅仅是男孩的事。忽略电影的品质,钦佩安吉丽娜·朱莉,因为她是这样一个榜样。
这是生活的忠告。马丁·米科斯,各位。
谢谢你!
什么是双因素身份验证?
