记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

专访腾讯应急响应中心TSRC:“国内最早SRC” 的前世今生

2015-12-14 21:30

本文以TSRC负责人flyh4t和白帽子专访为素材编辑整理

2012年初,一则社会新闻搅动了当时还不成熟的互联网安全圈。一人发现某电商城存在漏洞,该漏洞可获取该商城所有用户账号、密码及个人信息。在双方沟通未果后,该名“勒索者”被警方控制。

前SRC时代

在那个没有SRC的年代,白帽子发现漏洞的意义很局限,向网站或厂商报告漏洞的途径少之又少,索性在自己的博客里公布,这也加深了双方的对立与误解,尽管存在少数心怀鬼胎的人低调地做些“买卖”。 

然而,国内这样的空白没有持续太久,毕竟包括谷歌、Facebook、微软等外国互联网公司都有了相对成熟的SRC应急响应机制或者漏洞奖计划,鼓励了安全测试人员与企业一道维护系统安全。 

就SRC而言,2012年5月建立的腾讯安全应急响应中心TSRC(Tencent Security Response Center)为中国首家企业自建漏洞收集平台,不仅开了历史之先河,更是不负众望地稳坐口碑TOP1。那么“国内最早SRC”的秘密武器究竟是什么?

SRC的破壳

让我们将时钟重新拨回2012年3月底,腾讯应急团队当时刚处理完一个外部报告的严重安全漏洞,时任腾讯CTO Tony给安全部门的同事发了封邮件:

“这个漏洞很严重,公仔不足以表达我们的感谢……”

当时的行业中,白帽子们发现漏洞通知厂商的行为并不多见,而厂商的答谢也非常简单。但是腾讯安全应急安全团队意识到是时候改变游戏规则了,于是在一番讨论之后,Lake2、炽天使、coolc、ls、tony共同见证了TSRC的诞生。

初长

万事开头难。没有开发、没有产品、没有设计、没有运营,这些职位都由TSR最初的几个的安全人员兼任。

现任腾讯安全部负责人的Lake2曾在博客中提到:

“说实话当时心里没底,毕竟TSRC是业内第一家企业自建漏洞收集平台,万一平台建好了没人来报漏洞怎么办?万一同时来了无数个漏洞怎么办?万一被竞争对手坑了怎么办?万一……”

即便疑虑重重,他们还是开启了一系列“小步快跑敏捷开发”。比较核心的在于TSRC漏洞报告系统打通了内部的漏洞工单系统,一经确认的漏洞就会自动同步到工单系统驱动业务修复,修复后会自动同步状态到TSRC漏洞报到系统反馈给报告者复查。

“TSRC一期的系统开发及与内部安全工单系统对接工作都是harite完成的,产品、网页设计、文案话术、处理流程、微博、博客文章大部分都是我和harite做的。”

终于,腾讯漏洞报告平台于2012年5月20日进行内侧,5月31日正式上线。

上线首月就有38位白帽子报告了上百个漏洞,其中不乏严重漏洞。随后的几个月,发现的漏洞数量也是一路攀升,7月176个,8月280个……这还是最终确认为漏洞的数量——还有更多确认不是漏洞的报告(数倍于确认)。

成长

在收到了良好的反应与广泛支持之后,TSRC开始思索下一个方向。他们意识到跟所有的产品一样,建设完成只是一个开始,关键要靠运营。摸索中,他们找到了TSRC运营的十六字箴言——小步快跑,大胆试错,沟通为王,以德服人

大胆试错

没有生来便是成熟的产品。TSRC也一样,作为国内首家,他们更是没有太多经验和先驱可以拿来参照。

前期TSRC因为没有规则,经常出现漏洞评分的争议。于是他们很快发布了《腾讯外部报告漏洞处理流程》并且不断更新,一直维护至今。

而后又存在漏洞推送到业务修复后,没有修复彻底,又被外部发现。于是增加了“报告者确认修复”的流程。

早期的几个月里,考虑到经费问题,对白帽子的奖励采用的是按积分排序,按等级赠送礼品。而这样白帽子无法获得喜欢的东西,于是“兑换制”诞生了。如此一来,白帽子提交漏洞的积极性就提升了。

沟通为王

分析过早期TSRC惹出争议的所有问题之后,他们发现80%以上都是跟报告者的沟通问题。问题可能存在于对漏洞的评级、处理流程等地方,TSRC也在不断优化平台建设,相应增加了评论功能,以及后来的“一键QQ联系”功能。

不断创新

今年是TSRC走过的第三个年头,10月份他们将原有的“安全漏洞奖励计划”正式升级为“威胁情报奖励计划”,也就是,TSRC除原有的收集腾讯安全漏洞外,还收集与腾讯相关的任何安全威胁情报,一经确认,即按照威胁情报评分危害级别给予奖励。目前,已是小有收获。

此外,TSRC也是首个主办校园沙龙活动的SRC。“世界顶级黑客母校行”10月15日来到上海交通大学,两位顶级黑客校友盘古实验室负责人徐昊(windknown)和全球黑客大赛世界冠军陈良现身传授经验,TSRC伴随学子一同成长。

如何与白帽子相处

作为国内成立的首个SRC,腾讯安全应急团队一路走来,从无到有,从心里没底到口碑“第一”,这其中不乏曲折与尝试。产品好不好,用户说了算。这里我们暂时将白帽子视为TSRC的用户,听听他们的评价。

白帽子栋栋同学:

“TSRC人文关怀简直贴心,漏洞处理也快,(发生)争议会邀请业界前辈一起商讨,虽然我还没遇到过。就比如我就提交过两枚漏洞,礼品已经收到一大堆了。还有,TSRC也在做公益。”

TSRC年度积分冠军白帽子rasca1告诉FB小编,腾讯不仅奖励高、态度好,时不时还有活动,逢年过节还给白帽子发礼物的。

“全球应该就这一家吧,所以说是宇宙第一SRC。”

两年前,无意间看到这个网站的rasca1,当时还是个小白,提交了个XSS漏洞。然后便一直在TSRC提交漏洞,据他说虽然漏洞越挖越难,但是边学边挖中也收获了很多。

对于白帽子们的如潮好评,TSRC现在负责人flyh4t告诉FB小编,首先谢谢大家的认可:

“这里我要借助你们平台感谢下白帽子。
大家经常说我们TSRC福利好,在我看来还不是这样的,我们给予白帽子的还太少了。比如一个漏洞,特别是高风险的,被黑客利用了,对我们腾讯业务和腾讯用户所能造成的损失,不是这点礼品所能衡量的。
我们现在其实还是争取到的资源比较有限,给予白帽子的物质方面的还是太少了。”

2015互联网安全年度评选

FreeBuf 主办“2015互联网安全年度评选”WitAwards报名通道已经进入万众期待的全民投票阶段,年度最佳SRC、年度安全宝贝、年度安全团队、年度安全云、年度安全产品、最佳安全研究者等十二项大奖花落谁家,答案最终会在明年FIT互联网安全创新大会上揭晓。

你心目中的年度最佳SRC又是哪一家?我要投票

*FreeBuf 编辑部,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/articles/others-articles/89450.html

阅读:104541 | 评论:0 | 标签:人物志 其他 tsrc

想收藏或者和大家分享这篇好文章→复制链接地址

“专访腾讯应急响应中心TSRC:“国内最早SRC” 的前世今生”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云