中國頂級黑客的生意 在商業(yè)利益與社會責任間兩難抉擇
責編:admin |2015-01-13 17:53:48如果一位年收入超過百萬元的頂級黑客,花費數(shù)月研究,發(fā)現(xiàn)了一個擁有上億活躍用戶網(wǎng)站的漏洞,那這個漏洞的價值應(yīng)該是多大?
2014年12月底,鐵路12306售票網(wǎng)站被黑客“撞庫”,至少13萬條包括用戶名、密碼、身份證在內(nèi)的個人信息流出。后來,12306加入了360旗下的漏洞響應(yīng)平臺“補天”,最高懸賞2000元,號召網(wǎng)友查找自身是否存在安全漏洞。
表面上看,安全問題頻出的12306對安全問題重視了起來,但在安全圈內(nèi),很多人大呼2000元懸賞費“太低,沒有誠意”,不足以讓高手出招去找到那些真正要緊的大漏洞。業(yè)內(nèi)人士稱,頂級黑客費時費力發(fā)現(xiàn)一個嚴重漏洞的價值可能超過百萬甚至更高。
被找出漏洞,中國廠商大多數(shù)僅表示感謝
“國內(nèi)廠商對安全問題從不重視到重視,但重視了以后,該怎么做還處在摸索的階段。”國內(nèi)頂尖“白帽子”黑客團隊KEEN的負責人王琦雖然未對12306的懸賞高低進行置評,但已然將國內(nèi)互聯(lián)網(wǎng)安全現(xiàn)狀一語道破。
不管是“白帽子”,還是“黑帽子”,他們都統(tǒng)稱黑客,在挖掘和利用網(wǎng)絡(luò)上的各種漏洞。區(qū)別在于白帽黑客心存正義,他們發(fā)現(xiàn)漏洞后并不制造“武器”或是變身“軍火商”去獲利,而是提交給相關(guān)廠商,廠商有時候會給予酬金,但大多數(shù)時候僅僅表示感謝。
然而隨著網(wǎng)絡(luò)安全事件的頻繁發(fā)生,國內(nèi)安全市場空前活躍。在國內(nèi)知名漏洞報告平臺“烏云網(wǎng)”上,筆者看到,目前有上千位“白帽子”登記在冊。
“這兩年‘白帽子’越來越多,很多年輕人喜歡從找網(wǎng)站的漏洞入手,接觸安全技術(shù)。”剛剛當選“上海IT青年十大新銳”的王琦對筆者表示,“網(wǎng)站漏洞挖掘門檻相對較低,非常適合白帽子入門。”
王琦帶領(lǐng)的KEEN則主攻高端漏洞。國際最主要的安全會議中幾乎都能見到KEEN的身影,曾經(jīng)多次演示過電影《竊聽風云》中“關(guān)機竊聽”、“悄無聲息從新iPhone上偷照片”、“智能汽車遙控無人駕駛”等高級漏洞在現(xiàn)實生活中的利用。在全球頂級安全賽事Pwn2Own上,KEEN找到了蘋果MacOSX、iOS漏洞、微軟Windows8.1的漏洞,成為這個賽事的首個亞洲冠軍團隊,并且連續(xù)兩年三次奪魁。
KEEN自稱發(fā)現(xiàn)的漏洞是蘋果安全團隊的兩倍。王琦說,KEEN所查找的漏洞難度都相當大。“操作系統(tǒng)就像一個黑盒子,需要對系統(tǒng)非常了解。研究人員有時甚至看不懂,但還得找到里面的問題,這需要多年的深厚計算機和數(shù)學知識積累。”
名聲在外之后,商業(yè)的機會也接踵而至。
目前KEEN為政府機構(gòu)、智能設(shè)備廠商、互聯(lián)網(wǎng)金融和電商等提供安全檢測產(chǎn)品和服務(wù),合作客戶中包括谷歌、微軟、華為、騰訊等知名企業(yè)。
“他們都是自己找上門來,有強烈的合作意愿。”王琦說。
一年百萬元收入
與普通的安全團隊相比,KEEN有著可觀的收入。
在筆者的追問下,王琦說,“有優(yōu)秀成果的研究員加上獎勵到手,我們一年下來會給百萬元以上。”王琦不希望過分解讀這個工資:“我們是一個沒有生產(chǎn)資料的公司,沒有廠房沒有生產(chǎn)線,我們主要是人力成本,所以每個人的收益會比較多。”
在頂級黑客百萬元以上的合法收入占比中,除了廠商獎勵的部分,還有很大一部分是來自公司本身。王琦的邏輯是,“收入少,等于證明做一個不會拿漏洞干壞事的白帽子是沒有前途的,所以要樹立榜樣來激勵對正義的堅守。”
事實上,在商業(yè)利益與社會責任間的兩難抉擇,讓王琦幾次想放棄“白帽子”生涯。
但王琦還是堅持了下來,一方面是出于自身職業(yè)的熱愛,另一方面是國內(nèi)安全環(huán)境的轉(zhuǎn)變,讓他看到了行業(yè)的希望。
對于未來,王琦預(yù)計,國內(nèi)客戶將逐漸增多,國外的可能越來越難做:“這個事情在他們那兒也有壓力。”
王琦還吐槽說,“本質(zhì)上,安全行業(yè)不好做的原因是,對優(yōu)秀人才的智慧成果不夠尊重和重視。廠商說你應(yīng)該把你發(fā)現(xiàn)的我的產(chǎn)品的漏洞無條件告訴我,因為你不能干壞事。但如果說我發(fā)現(xiàn)這個問題,你能夠給我足夠的獎勵嗎?”
王琦說自己真的處于矛盾期:“打個比方,比如我發(fā)現(xiàn)ATM機能自動吐錢的漏洞,報告給銀行,結(jié)果可能只獎勵幾千塊錢,但這個漏洞有可能是我花幾個月,耗公司之力來發(fā)現(xiàn)的。現(xiàn)在廠商普遍能夠給到的回報還比較低。”
- 零售巨頭因勒索攻擊運營中斷數(shù)月,預(yù)計損失近30億元
- Pwn2Own 2025柏林黑客大賽:冠軍團隊斬獲32萬美元
- AI驅(qū)動時代,安全跨越鴻溝的困境和機遇
- 曝光:國內(nèi)某打印機官方軟件感染竊密木馬超半年
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元