專訪:24歲大學生白帽子Ben的成長史
責編:rhliu |2015-01-22 16:39:29黑客也有好壞之分,也就是所謂的黑帽子和白帽子。24歲的大三學生Behrouz(“Ben”) Sadeghipour就是一名白帽子,他用自己的實際行動在與黑帽子做斗爭,與此同時還掙得了大量現金。
他每周大概會用20個小時的時間來挖漏洞,當然找漏洞并不是無償的,公司一般都會給予一定的現金獎勵或者其他一些獎勵。目前,Sadeghipour在圈內小有名氣,他時常會被邀請作為白帽子參加一些安全會議。
1、你是怎樣開始白帽子工作的?
我之前就已經了解到,像谷歌,雅虎,微軟等這樣的大公司,他們會雇傭一些白帽子來測試其系統,不少公司是通過第三方平臺發布測試項目,如果發現漏洞就會給予一定的獎勵。
2、你是怎樣獲得這份實習工作的?
2月份的時候,我是作為一名自由職業者開始挖漏洞,當時找到了很多的漏洞,所以公司對我的印象比較深刻。后來我就開始在Twitter上和Bugcrowd運營副總Jonathan Cran聊天。之后我又在拉斯維加斯的一個白帽子會議上遇見了cran和公司的其他幾位高管。7月份他們就給了我一個實習的機會, 9月就開始了我的實習生涯。我希望畢業以后能在Bugcrowd或者類似的安全公司工作。
3、作為一個SOHO白帽子能掙多少?
提交20-30個漏洞報告大概掙了2萬美元。事實上我提交了至少有100份漏洞報告,只是有些公司沒有給現金獎勵,只是給了紀念性T-shirt之類的東西。但是有些比較厲害的白帽子,加上原有工作的工資,他們的年薪大概會在7-8萬美元。
4、你怎么決定做白帽子的?
在我小的時候,媽媽嚴格限制我上網,她甚至會設置電腦登錄密碼。而我會一直坐在電腦前破解密碼直至成功。從那時起我就開始閱讀黑客相關的文章,并學會了自己寫代碼,之后也一直堅持自己的愛好從事計算機相關的工作。
但在我18歲的時候,我決定不在從事計算機相關的工作了,因為我的家人一直在告訴我黑客是違法的,我也不想做違法的事,所以就決定放棄計算機類的工作。曾停滯了三年,直到我聽說了漏洞獎金這回事。很尷尬,因為我后來我才知道黑客有黑帽子、白帽子之分,黑帽子是邪惡的,他們會竊取用戶數據;而白帽子是正義的,他們主要是從事一些研究并阻止黑客利用漏洞。
做黑帽子還是做白帽子取決于是想以骯臟的方式掙很多錢還是以高尚的方式掙較少的錢。
5、為什么不好好讀大學課程,要做白帽子?
做白帽子是理論聯系實際的一個絕佳途徑,大學里學的理論知識相對很簡單,而通過實際挖漏洞可以學到更多。就我個人而言,我9個月的挖洞歷程比我之前在學校里學的要有用的多。
6、你是怎樣合理安排學業和工作的?
我大概每周會花20個小時用在挖漏洞上,其他時間還是用在學業上。
7、你最值得自豪的成績是什么?
我過去曾讀過一些關于牛人的文章,我當時就想我要是也能成為那樣的人就好了,我還希望能做到雅虎的前十名。我做到了!還有就是我的家人現在都以我為榮,谷歌中輸入我的名字就會出現很多關于我的文章,我已經是小有名氣了!
