實際上,江湖傳言中確有一些一夜暴富,一月之間從捷安特換成蘭博基尼的黑客故事。但是這些黑客無一例外都在從事“黑色產業”。他們盜竊用戶的信息,破解用戶的銀行賬戶,把用戶的資金裝進自己的口袋。換言之,他們是不折不扣的罪犯。業內人士告訴雷鋒網,在網絡黑產興盛的最初幾年,確實有年入千萬,甚至上億的黑客。但這只是少數人,而且隨著國家對網絡犯罪的對抗力度越來越大,可以很清楚地看到“從事”這項犯罪的人排著隊鋃鐺入獄。
而我們要說的,是那些真正從事合法而且有意義的安全研究的“白帽子”黑客,他們更像是守護我們安全的“網絡特警”。雖然白帽子的收入不菲,但相比“黑帽子”,他們的收入仍然屬于“合理的范疇”。例如一個成熟的,可以和黑帽子及黑產進行對抗的白帽子年薪大概在30萬左右。
不過,一個牛X的白帽子,實際收入往往會高于這個數值,因為他們有很多途徑可以獲得“外快”。因為他們在做安全研究的時候,會發掘出諸多的“寶藏”——漏洞,而漏洞是“值錢”的。
“漏洞之王”到底能賺多少外快?
凡是有價值的東西,都可以進行交換。而白帽子發現的漏洞顯然非常有價值,所以漏洞平臺往往會以各種形式鼓勵白帽子提交漏洞。例如漏洞平臺烏云,會以晉升等級權限、積分榮譽加上一小部分獎金作為對白帽子的獎勵。而360旗下的補天漏洞平臺則更加“實惠”,一直以對白帽子的高額獎勵著稱。這兩種方式各有優劣,烏云更有情懷,而補天更實誠。
最近,補天漏洞平臺發布了去年對白帽子的獎金數據。其中一名叫做“a0”的黑客在一年間竟然提交了將近1000個漏洞,這種非人的水平讓這位大牛當之無愧地成為了“漏洞之王”。
2015年,a0 總共提交了929個有效漏洞,其中被認定的精品漏洞有171個。即使是按照精品漏洞來算,也可以達到平均2天一個。根據補天平臺提供的信息,這位“賞金獵人”擒拿的漏洞,都是極其兇猛的“野獸”。
那么,這些漏洞究竟有多恐怖呢?稍微列舉一二:
某涉及各大運營商的通用漏洞,可能導致上億用戶信息泄露。
某涉及社保系統的網站漏洞,可能泄露幾千萬居民信息。
當然,這一級別的漏洞還有很多。補天平臺出于安全原因不會對外公布漏洞細節,所以沒有辦法確定這些漏洞具體是針對哪些系統。
憑借這些“野獸漏洞”,a0 拿到了90730元的現金獎勵。當然,這只是來自補天平臺的獎勵。作為一名低調的 IT攻城獅,這位大牛還有自己的主業。所以雖然獎金不菲,但這仍只是他的外快。
補天平臺負責人林偉告訴雷鋒網,僅僅是漏洞數量,還不會讓 a0 贏得這么多獎金。客觀上來說這些漏洞的質量還是很高的。林偉本身也是一名資深黑客的,在他眼里整個中國的黑客水平在國際上已經位列第一梯隊。
有很多事實可以佐證他的判斷。從前不久舉辦的世界知名黑客大賽 Pwn2Own 的比賽結果來看,360Vulcan 團隊僅用11秒就攻破頂級難度的 Chrome 瀏覽器;來自騰訊的 Sniper 戰隊更是問鼎了賽事最高榮譽:世界破解大師,這些都是超一流的成績。
【中國黑客在頂級黑客賽事 Pwn2Own 上】
中國黑客整體實力越來越強,漏洞的含金量越來越高。這已經成為一個值得我們驕傲的事實。
一個漏洞究竟值多少錢?
當然,之所以稱之為獎勵,其潛臺詞就是:對于某些人來說,這些漏洞的價值可能遠超過獎金。那么,這些漏洞對誰來說最有價值呢?價值又是多少呢?
舉一個不恰當的例子,
一個漏洞的身價可以和人來類比。人們說李彥宏的身價高,因為他可以調動的資源非常大,可以達成一般人不能達成的目標。而對于一個漏洞來說,它的價值取決于人們可以用它做多大、多NB的事。
不幸的是,如果拋開法律和道德,可以用漏洞做的最NB的事而幾乎都是黑色產業。我們可以思考以下的問題:
1、對于互聯網金融企業,它們的安全漏洞值多少錢呢?
360副總裁兼首席安全官譚曉生表達了擔憂:
很多企業對自己的網絡資產都不清楚。這些資產包括自己的域名、頁面。很多人甚至不清楚自己到底有哪些服務,以及這些服務跑在哪些服務器上。在這個問題上,黑客往往比企業更清楚,他們會研究企業所有的線上資產,然后找到最薄弱的環節突破進去。
這個突破口可能是網站幾年前的促銷頁面,也可能是由于疏忽忘記下線的測試功能。
舉個例子,補天平臺2015年在 P2P 行業就爆出了131個漏洞,而某個P2P平臺內超過2000萬的資金賬戶就有20個,其中不乏超過1億元的賬戶。這樣漏洞百出的網站會導致可怕的后果:如果被黑客注意到,他們通過技術破解甚至可以做到直接提現到自己的賬戶然后拍屁股走人。
譚曉生說,雖然這種事情暫時沒有發生,但未來很可能會有P2P平臺因為信息安全問題而倒閉。
2、對于工業控制系統,它的安全漏洞值多少錢?
很早以前就有專家提出:理論上黑客可以通過漏洞入侵電力系統,造成電網大面積癱瘓,甚至基礎設施損壞。去年圣誕節前夕,在烏克蘭西部,這個預言變成了現實。安全公司微步在線向雷鋒網(搜索“雷鋒網”公眾號關注)展示的資料顯示,這很可能是由俄羅斯背景的黑客組織“暗黑能源”精心策劃的一場攻擊。而來自知道創宇的工控安全專家王得金告訴記者,全球有數萬個工業設備直接暴露在互聯網上。而這些漏洞一旦被黑客巧妙利用,可能會造成不可估量的損失。
3、盜取我們個人信息的漏洞值多少錢?
在證券、金融、電商等在線系統網站上,我們經常要登記自己的賬號、密碼,銀行卡信息,身份證號、家庭地址。
一組震撼的數字足以說明問題:
2011年至今,全國已經有將近20億人次的個人信息遭到泄漏,而僅僅根據補天平臺上的漏洞數據,目前還有55.3億人次的個人信息正暴露在黑客的槍口之下。
也就是說,你接到的所有詐騙電話、釣魚郵件、欺詐短信,根源都來自于這條產業鏈。
4、威脅國防安全的漏洞值多少錢?
美國國防合約商雷神公司近年來不斷收購網絡安全公司,包括黑鳥這類攻擊型的和 Websense 這類防御型的等等。而去年不斷被爆出的“海蓮花”、“暗黑客棧”等帶有政治色彩的黑客組織更是我們國防安全的重要威脅。而這些APT(高級持續性威脅)用來定向攻擊的武器正是高危漏洞。
【2015年 漏洞軍火商 ZERODIUM 發布的漏洞“牌價”】
經過這些思考,相信你也會同意:上述的絕大多數漏洞,都已經昂貴到無法定價。而這些領域的漏洞,都包含在白帽子的研究方向之內。
包括微軟、谷歌在內的科技巨頭都會提供數萬美元的“漏洞賞金”計劃,鼓勵黑客把自家的漏洞提供給自己。但是與此同時,在網絡黑市里,買主卻能輕易拿出十倍甚至更高的價格來購買這個漏洞。
當你看到成千上萬的白帽子沒有選擇去把漏洞賣到黑市,而是去提交給安全平臺獲取賞金。恰恰不是因為貪婪,而是因為無私。
有人形容白帽子“用自己的智慧,把無數可怕的信息災難化解在發生之前”,此言并不虛妄。
“漏洞之王”依然是普通人
如果你去了解白帽子的生活,你會發現即使是身為“漏洞之王”的 a0,也是利用自己的業余時間搜尋漏洞的“手藝人”。你也許會得出這樣的結論:白帽子不是神,他們并不會用鼠標和鍵盤印鈔。但他們的事業值得尊敬并且理應獲得金錢的獎勵。
相比之下,那些從事黑產的黑帽黑客雖然比 a0 賺得多不知多少倍,但他們卻永遠不能像 a0 一樣沐浴在人們善意的目光里,也永遠不能像 a0 一樣平靜地站在舞臺的聚光燈下。
“漏洞之王”雖然不善言辭,卻踐行了一個不言而喻的真理:
依靠自己的智慧合法地賺錢是這個時代最有尊嚴的生活方式。
京公網安備 11010502049343號