Ben Sadeghipour，HackerOne技术客户经理，以及Katie Moussouris，Luta Security创始人兼首席执行官主持人：John Graham Cumming，Cloudflare首席技术官JGC：我们将讨论黑客攻击Katie Moussouris帮助人们解决安全漏洞。本·萨德吉普尔是HackerOne的技术客户经理，晚上也是黑客本·哈克：晚上好。告诉我们这个。BS：这取决于你问谁：如果他们鼓励这样做；或者，我们这样做是有充分理由的。"道德黑客"-我们这么做是有原因的。如果你在未经许可的情况下进行黑客攻击，那么黑客攻击可能是非法的；但我们并不是这样做的。你整晚都没睡我把自己锁在地下室JGC：说说你们公司的情况。KM：我在微软工作时，曾受邀向五角大楼作简报；五角大楼对在像微软这样的大公司中实施这个想法很感兴趣。"黑客攻击五角大楼"臭虫赏金的采用进展缓慢。我们有兴趣和像微软这样的大公司合作。五角大楼对实施私营部门的想法很感兴趣。我帮助五角大楼的内部团队问了一大堆问题。我告诉他们"你已经收到免费笔试了。你只是没有收到报告。"试图与黑客社区接触并提供向国防部报告的合法途径。对于世界上最大的军事组织来说，承认并没有发现所有的漏洞是很重要的。BS：两年前，没有人会承认他们入侵了政府。现在这是一次重要的谈话。日本海军已经做到了吗？BS：这是我们还不知道的事情。JGC：你所做的并不是违法的，但有一些法律。什么是灰色区域？你怎么不犯法？BS：只要你遵守政策，你就没事了。JGC：这是典型的吗？当你有潜在的影响时，你善意的黑客会开始制造一些冲突。他们会说：描述你复制的漏洞步骤和潜在的影响。我们有机会"澄清"范围界定规则。民族国家不同于私营公司。当你设置一个bug程序时，你是在给一个黑客许可；但是有一个很好的界限，那仍然是一个可能的重罪。当你从国防部的角度来考虑这个问题时，你需要保持追查民族国家、犯罪分子或任何不良行为者的能力。所以当你创建法律术语时，这是一种不同的权益。我现在和英国政府一起做这件事，映射到具体的法律：在给予许可的同时保留诉讼权。JGC：让我们谈谈臭虫奖励本身。这是怎么回事？简而言之：允许黑客入侵程序，并与他们有开放的通信线路。允许黑客进入应用程序的步骤。JGC：而且你有薪水……所以这种东西有市场。谁在这个市场上竞争？我更愿意把它看作是"进攻市场"。最高价通常在这里。他们为这种臭虫的专业知识和寿命付出了代价。不是卖给出价最高的人。它是关于补偿，认可和追求智力上的快乐，这就是为什么许多黑客追求这一点。防御性市场的薪酬较低。价格不是竞争因素。你将创造一个局面，你最终无法雇用你的工程师。所以我来看看：除了价格，你如何找到其他杠杆？JGC：你参与黑客攻击的动机是什么？BS：首先，好奇心。然后，为了能够帮助你，知道我可以有所作为。第三：金钱方面。JGC：我们如何为一家寻找它的公司创建正确的缺陷奖励计划？KM：我的公司防止过早的奖金发放；组织找我说他们从来没有报告过错误。我确保公司在后端有足够的自动化；有比启动缺陷奖励计划更有效的方法来发现漏洞。这比你发现这个bug的方式要多得多。JGC：你如何找到并激励合适的黑客？你没有得到很多低挂的水果吗？KM：有很多开源的好例子。你如何解释Heartbleed，一个在如此流行的代码库中存在了两年的bug？你如何吸引熟练的眼睛，并把他们集中在你想要的地方？微软收到了20万封关于bug的非垃圾邮件。它是关于理解行为经济学，而不是衡量一个项目的价值和定价。JGC：本，你对最近的Equifax漏洞有什么看法？这样的公司能做些什么来保护自己免受像你这样的人的伤害呢？BS：这是一个宽泛的问题。对我来说，我寻找默认设置。有一个不断更新这些东西的过程。更改默认设置。JGC：很多东西都被侵入；不一定是复杂的黑客攻击；而是软件没有更新，等等。虫子奖金有帮助吗？或者有更好的方法吗？虫子奖金有帮助吗？BS：是的，但它们不是唯一的解决办法。也许默认密码已经存在了好几年了，没有人更改过。当大量的Bug发现这些问题时，我们会修复它们，但不是唯一的解决方案JGC：黑客还能怎样帮助我变得更强？KM：不管你怎么发现这个bug，这都不是要解决的问题。无论你在哪里了解到漏洞都不是需要解决的问题。奖励臭虫是一种方法；但是如果一个奖励显示出一大堆悬而未决的成果，你可以找一个实习生来做这项工作。你可以做一些更有效率的事情。bug悬赏有助于提供系统的快速快照。它有助于证明一个观点，并证明存在漏洞。即使是作为消费者，即使我们不‘创造软件’，我们也要处理大量的bug。作为消费者，会有影响我们的缺陷。作为消费者，你如何做出基于风险的决定？公司也会做出同样的决定；bug悬赏有助于关注最有可能触发和重新配置的内容。JGC：在去年的总统辩论中，特朗普说黑客攻击可能是他地下室里的一个人。那么是谁在窃听东西？KM："每个人都在黑客攻击一切。"我们从法国人那里得到了"间谍"这个词，所以"黑客攻击只是工具箱里的一个新工具。"我们只是碰巧有我们自己的股票，我们需要和我们的盟友一起保护。JGC：国家之间存在信息不平衡。当我们认为间谍是第二古老的职业时，黑客似乎已经存在很久了。关于如何保护自己不受黑客攻击，你有什么建议？KM："解决基本问题。"我们一直在讨论漏洞协调，发现了一个bug，并有一个厂商修复了这个bug。那么fix部署呢？我们怎么处理？弄清楚补丁管理、风险和权衡以及监管环境。什么是缓解措施？在允许部署该测试之前，您应该部署多个测试。JGC：侵入某个东西是什么感觉？BS：感觉很棒。能够盲目地找出一些东西是很好的。问答：Q： 当我买车时，我可以看安全等级。5星级意味着你不太可能在车祸中丧生。有没有办法用这种方式确保计算机安全？KM:天哪，那不是很棒吗？有一些关于网络保险商联盟消费者类型评级的讨论，但它很快变得非常复杂。比如说，只数虫子。你把一个根本的错误原因算作一个错误吗？分类是复杂的；评级是复杂的。你如何计算和评分？一旦你评分，这意味着什么？当新的漏洞被发现，你如何处理五星级产品？当我们有了智能烤面包机，我的计划是有一个愚蠢的烤面包机。Q： 你能重新解释"攻守市场"吗？知识管理：攻击市场是购买漏洞或利用漏洞，以利用它们进行攻击，防御市场是像漏洞奖励计划或第三方漏洞获取服务。我的定义是：你买漏洞是为了什么？Q： 在政策决定方面，选民应该注意什么？KM：最近有一个提议，国土安全部应该提供一个漏洞赏金。我反对，你也应该反对。你不能制定一个运行顺利的窃听奖励计划。我担心头韵营销：推广一种方法。我担心的是，这些监管者认为，现在的一切都是一把铁锤，可以被窃听者悬赏的钉子击中。此外，还有一项立法建议，要求在美联储政府购买软件之前知道所有软件的成分清单。现在我们来做个合乎逻辑的结论。潜艇制造商现在不仅要知道每一个部件的成分表，而且…重要的是要让国会与明智的新技术政策选择保持一致，而不仅仅是流行的或最新的新闻。我们所有的会议都将直播！如果你不能参加Summit，下面是链接：cloudflare.com/summit17