當前位置：安全 → 行業動態 → 正文

中國頂級黑客的生意

責任編輯：editor005 |來源：企業網D1Net 2015-01-09 14:18:34 本文摘自：東方早報

如果一位年收入超過百萬元的頂級黑客，花費數月研究，發現了一個擁有上億活躍用戶網站的漏洞，那這個漏洞的價值應該是多大？

2014年12月底，鐵路12306售票網站被黑客“撞庫”，至少13萬條包括用戶名、密碼、身份證在內的個人信息流出。后來，12306加入了360旗下的漏洞響應平臺“補天”，最高懸賞2000元，號召網友查找自身是否存在安全漏洞。

表面上看，安全問題頻出的12306對安全問題重視了起來，但在安全圈內，很多人大呼2000元懸賞費“太低，沒有誠意”，不足以讓高手出招去找到那些真正要緊的大漏洞。業內人士稱，頂級黑客費時費力發現一個嚴重漏洞的價值可能超過百萬甚至更高。

被找出漏洞，中國廠商大多數僅表示感謝

“國內廠商對安全問題從不重視到重視，但重視了以后，該怎么做還處在摸索的階段。”國內頂尖“白帽子”黑客團隊KEEN的負責人王琦雖然未對12306的懸賞高低進行置評，但已然將國內互聯網安全現狀一語道破。

不管是“白帽子”，還是“黑帽子”，他們都統稱黑客，在挖掘和利用網絡上的各種漏洞。區別在于白帽黑客心存正義，他們發現漏洞后并不制造“武器”或是變身“軍火商”去獲利，而是提交給相關廠商，廠商有時候會給予酬金，但大多數時候僅僅表示感謝。

然而隨著網絡安全事件的頻繁發生，國內安全市場空前活躍。在國內知名漏洞報告平臺“烏云網”上，筆者看到，目前有上千位“白帽子”登記在冊。

“這兩年‘白帽子’越來越多，很多年輕人喜歡從找網站的漏洞入手，接觸安全技術。”剛剛當選“上海IT青年十大新銳”的王琦對筆者表示，“網站漏洞挖掘門檻相對較低，非常適合白帽子入門。”

王琦帶領的KEEN則主攻高端漏洞。國際最主要的安全會議中幾乎都能見到KEEN的身影，曾經多次演示過電影《竊聽風云》中“關機竊聽”、“悄無聲息從新iPhone上偷照片”、“智能汽車遙控無人駕駛”等高級漏洞在現實生活中的利用。在全球頂級安全賽事Pwn2Own上，KEEN找到了蘋果MacOSX、iOS漏洞、微軟Windows8.1的漏洞，成為這個賽事的首個亞洲冠軍團隊，并且連續兩年三次奪魁。

KEEN自稱發現的漏洞是蘋果安全團隊的兩倍。王琦說，KEEN所查找的漏洞難度都相當大。“操作系統就像一個黑盒子，需要對系統非常了解。研究人員有時甚至看不懂，但還得找到里面的問題，這需要多年的深厚計算機和數學知識積累。”

名聲在外之后，商業的機會也接踵而至。

目前KEEN為政府機構、智能設備廠商、互聯網金融和電商等提供安全檢測產品和服務，合作客戶中包括谷歌、微軟、華為、騰訊等知名企業。

“他們都是自己找上門來，有強烈的合作意愿。”王琦說。

一年百萬元收入

與普通的安全團隊相比，KEEN有著可觀的收入。

在筆者的追問下，王琦說，“有優秀成果的研究員加上獎勵到手，我們一年下來會給百萬元以上。”王琦不希望過分解讀這個工資：“我們是一個沒有生產資料的公司，沒有廠房沒有生產線，我們主要是人力成本，所以每個人的收益會比較多。”

在頂級黑客百萬元以上的合法收入占比中，除了廠商獎勵的部分，還有很大一部分是來自公司本身。王琦的邏輯是，“收入少，等于證明做一個不會拿漏洞干壞事的白帽子是沒有前途的，所以要樹立榜樣來激勵對正義的堅守。”

事實上，在商業利益與社會責任間的兩難抉擇，讓王琦幾次想放棄“白帽子”生涯。

但王琦還是堅持了下來，一方面是出于自身職業的熱愛，另一方面是國內安全環境的轉變，讓他看到了行業的希望。

對于未來，王琦預計，國內客戶將逐漸增多，國外的可能越來越難做：“這個事情在他們那兒也有壓力。”

王琦還吐槽說，“本質上，安全行業不好做的原因是，對優秀人才的智慧成果不夠尊重和重視。廠商說你應該把你發現的我的產品的漏洞無條件告訴我，因為你不能干壞事。但如果說我發現這個問題，你能夠給我足夠的獎勵嗎？”