上周一件值得关注的事情,就是Facebook先否认、后拒绝支付赏金给Chaman Thapa。Thapa称发现了可利用Facebook Notes服务漏洞发起反射DDoS[注]攻击。更有意思的,Facebook的结论得到很多安全专家的支持。从这个事情我们再比较一下几个国外大厂的漏洞赏金计划。谁最大方呢?
Facebook“无法修复”(won't fix)的漏洞
关于Facobook(以下简称FB)上周先否认、后拒绝支付赏金给独立安全研究者Chaman Thapa 发现的FB Notes服务漏洞的事件,Freebuf也发表了相应的译文,Taskiller同学已经在《我是如何利用FB DDoS攻击任意网站的》一文中做了很好地阐述,事件的整个过程在这里就不再赘述。
从Chaman Thapa的PoC中可以看到,用一台VM打出900Mbps的HTTP GET Flood应该是不错的“成绩”。如果按照这个比例,100个FB用户发起类似的攻击,将可以打出近100Gbps的7层DDoS流量。(注:攻击采用了放大机制,即用PDF文件替换普通的图片文件)
然而,对于如此“让人震惊”的结果,FB的答复是:“In the end, the conclusion is that there’s no real way to us fix this that would stop “attacks” against small consumer grade sites without also significantly degrading the overall functionality. Unfortunately, so-called “won’t fix” items aren’t eligible under the bug bounty program, so there won’t be a reward for this issue.”(最后的结论是,在不会明显影响网站整体功能的情况下,我们暂时没有办法真正修复这个问题使其不被用来“攻击”小网站。遗憾的是,由于所谓的“无法修复”,该bug不符合bug奖励计划,所以对该问题的报告也就不会有奖励。)(注:译文来自Taskiller)
单纯从数字上看,这本应该是一个不小的问题。然而,不少安全专家表态,支持FB的结论——这不是一个严重的问题。
先别急“问候”他们的家人,我们先看看大家是怎么说的。全球No.1 的DDoS防护厂商Arbor跳出来说——这种攻击在实际中价值不大。Arbor公司安全工程和应急小组的分析师说,“我不可能选择这种攻击手段。”Arbor公司的研究总监也认为,“(这样的攻击)用现有的防护技术就可以防护”。还有的专家认为,Thapa的攻击流量相对太小(tiny),对网站的威胁不大。此外,更有观点认为攻击者可以选择的反射媒介很多,例如DNS、NTP和CHARGEN,放着这些现成的资源不用,偏偏选择FB Notes实在不划算。
也许大家的见识和适应力真的不同以往了——1G以下的DDoS看都不看了。Akamai/Prolexic刚发布的季度DDoS报告也大谈 200Gbps的DDoS攻击。可怜的Thapa,面对FB这样一个庞然大物,900Mbps的DDoS真的可能不具备太多的说服力。如果是90G结果可能会有不同;当然,也可能会被FBI请去喝茶。
不管怎样,我们不能说FB不重视安全。从回复中可以看出,FB把这个问题和业务进行了权衡。结论是,问题存在,但是没有大到需要对业务进行调整的程度。难道让FB因为这个问题就停掉Notes服务吗?或者FB真的认为这个问题的确不是一个“大问题”。
Who Knows? Who Cares?
从FB的拒绝想到的诸多赏金计划
实际上,大家关注FB对Thapa “say no”这个事情,其中的一个焦点就是FB的赏金。FB没说问题不存在,而是不给赏金。可能大家还不知道,FB是唯一一个漏洞赏金没有封顶的厂商。
小伙伴们惊呆了!大手笔啊!微软、谷歌都弱爆了!
且慢。在下结论之前,我们先对比着看一下微软、谷歌和FB的漏洞赏金计划。
比较明显,国外厂商的漏洞计划普遍具有排他性:给了我就别给别人,给了别人我就不给钱了。其实这也可以理解,把我的漏洞给了别人,还指望我掏钱是不太可能的。
三个厂商对比,微软相对比较大方——10万美刀!不过,实际没几个人拿到(笔者注:TK教主有幸成为其中之一)。因此,这10万美刀大多数情况下还是摆设。
那么赏金“上不封顶”的FB是不是最大方的呢?个人认为,噱头的概念更大一些。迄今为止最大的一笔应该是去年底巴西计算机攻城狮Reginaldo Silva获得的3万多美刀。