黑客,在多數人眼裡是一種神級的存在。他們宅在屋裡喝著可樂吃著漢堡,依靠滑鼠和鍵盤就可以橫掃網際網路,賺錢對他們來說,就像碾死乙隻臭蟲那麼簡單。
而我們要說的,是那些真正從事合法而且有意義的安全研究的「白帽子」黑客,他們更像是守護我們安全的「網路特警」。雖然白帽子的收入不菲,但相比「黑帽子」,他們的收入仍然屬於「合理的範疇」。例如乙個成熟的,可以和黑帽子及黑產進行對抗的白帽子年薪大概在30萬左右。
不過,乙個牛x的白帽子,實際收入往往會高於這個數值,因為他們有很多途徑可以獲得「外快」。因為他們在做安全研究的時候,會發掘出諸多的「寶藏」——漏洞,而漏洞是「值錢」的。
「漏洞之王」到底能賺多少外快?
凡是有價值的東西,都可以進行交換。而白帽子發現的漏洞顯然非常有價值,所以漏洞平台往往會以各種形式鼓勵白帽子提交漏洞。例如漏洞平台烏雲,會以晉公升等級許可權、積分榮譽加上一小部分獎金作為對白帽子的獎勵。而360旗下的補天漏洞平台則更加「實惠」,一直以對白帽子的高額獎勵著稱。這兩種方式各有優劣,烏雲更有情懷,而補天更實誠。
最近,補天漏洞平台發布了去年對白帽子的獎金資料。其中一名叫做「a0」的黑客在一年間竟然提交了將近1000個漏洞,這種非人的水平讓這位大牛當之無愧地成為了「漏洞之王」。
2023年,a0 總共提交了929個有效漏洞,其中被認定的精品漏洞有171個。即使是按照精品漏洞來算,也可以達到平均2天乙個。根據補天平台提供的資訊,這位「賞金獵人」擒拿的漏洞,都是極其兇猛的「野獸」。
那麼,這些漏洞究竟有多恐怖呢?稍微列舉一二:
某涉及各大運營商的通用漏洞,可能導致上億使用者資訊洩露。
某涉及社保系統的**漏洞,可能洩露幾千萬居民資訊。
當然,這一級別的漏洞還有很多。補天平台出於安全原因不會對外公布漏洞細節,所以沒有辦法確定這些漏洞具體是針對哪些系統。
憑藉這些「野獸漏洞」,a0 拿到了90730元的現金獎勵。當然,這只是來自補天平台的獎勵。作為一名低調的 it攻城獅,這位大牛還有自己的主業。所以雖然獎金不菲,但這仍只是他的外快。
補天平台負責人林偉告訴雷鋒網,僅僅是漏洞數量,還不會讓 a0 贏得這麼多獎金。客觀上來說這些漏洞的質量還是很高的。林偉本身也是一名資深黑客的,在他眼裡整個中國的黑客水平在國際上已經位列第一梯隊。
【中國黑客在頂級黑客賽事 pwn2own 上】
中國黑客整體實力越來越強,漏洞的含金量越來越高。這已經成為乙個值得我們驕傲的事實。
乙個漏洞究竟值多少錢?
當然,之所以稱之為獎勵,其潛台詞就是:對於某些人來說,這些漏洞的價值可能遠超過獎金。那麼,這些漏洞對誰來說最有價值呢?價值又是多少呢?
舉乙個不恰當的例子,
乙個漏洞的身價可以和人來模擬。人們說李彥巨集的身價高,因為他可以調動的資源非常大,可以達成一般人不能達成的目標。而對於乙個漏洞來說,它的價值取決於人們可以用它做多大、多nb的事。
不幸的是,如果拋開法律和道德,可以用漏洞做的最nb的事而幾乎都是黑色產業。我們可以思考以下的問題:
1、對於網際網路金融企業,它們的安全漏洞值多少錢呢?
360副總裁兼首席安全官譚曉生表達了擔憂:
很多企業對自己的網路資產都不清楚。這些資產包括自己的網域名稱、頁面。很多人甚至不清楚自己到底有哪些服務,以及這些服務跑在哪些伺服器上。在這個問題上,黑客往往比企業更清楚,他們會研究企業所有的線上資產,然後找到最薄弱的環節突破進去。
這個突破口可能是**幾年前的**頁面,也可能是由於疏忽忘記下線的測試功能。
舉個例子,補天平台2023年在 p2p 行業就爆出了131個漏洞,而某個p2p平台內超過2000萬的資金賬戶就有20個,其中不乏超過1億元的賬戶。這樣漏洞百出的**會導致可怕的後果:如果被黑客注意到,他們通過技術破解甚至可以做到直接提現到自己的賬戶然後拍屁股走人。
譚曉生說,雖然這種事情暫時沒有發生,但未來很可能會有p2p平台因為資訊保安問題而倒閉。
2、對於工業控制系統,它的安全漏洞值多少錢?
【cnn展示:黑客通過入侵工控網路,讓裝置過載**】
3、盜取我們個人資訊的漏洞值多少錢?
一組震撼的數字足以說明問題:
2023年至今,全國已經有將近20億人次的個人資訊遭到洩漏,而僅僅根據補天平台上的漏洞資料,目前還有55.3億人次的個人資訊正暴露在黑客的槍口之下。
也就是說,你接到的所有詐騙**、釣魚郵件、欺詐簡訊,根源都來自於這條產業鏈。
4、威脅國防安全的漏洞值多少錢?
美國國防合約商雷神公司近年來不斷收購網路安全公司,包括黑鳥這類攻擊型的和 websense 這類防禦型的等等。而去年不斷被爆出的「海蓮花」、「暗黑客棧」等帶有政治色彩的黑客組織更是我們國防安全的重要威脅。而這些apt(高階持續性威脅)用來定向攻擊的**正是高危漏洞。
【2023年 漏洞軍火商 zerodium 發布的漏洞「牌價」】
經過這些思考,相信你也會同意:上述的絕大多數漏洞,都已經昂貴到無法定價。而這些領域的漏洞,都包含在白帽子的研究方向之內。
包括微軟、谷歌在內的科技巨頭都會提供數萬美元的「漏洞賞金」計畫,鼓勵黑客把自家的漏洞提供給自己。但是與此同時,在網路黑市裡,買主卻能輕易拿出十倍甚至更高的**來購買這個漏洞。
當你看到成千上萬的白帽子沒有選擇去把漏洞賣到黑市,而是去提交給安全平台獲取賞金。恰恰不是因為貪婪,而是因為無私。
有人形容白帽子「用自己的智慧型,把無數可怕的資訊災難化解在發生之前」,此言並不虛妄。
「漏洞之王」依然是普通人
如果你去了解白帽子的生活,你會發現即使是身為「漏洞之王」的 a0,也是利用自己的業餘時間搜尋漏洞的「手藝人」。你也許會得出這樣的結論:白帽子不是神,他們並不會用滑鼠和鍵盤印鈔。但他們的事業值得尊敬並且理應獲得金錢的獎勵。
相比之下,那些從事黑產的黑帽黑客雖然比 a0 賺得多不知多少倍,但他們卻永遠不能像 a0 一樣沐浴在人們善意的目光裡,也永遠不能像 a0 一樣平靜地站在舞台的聚光燈下。
「漏洞之王」雖然不善言辭,卻踐行了乙個不言而喻的真理:
依靠自己的智慧型合法地賺錢是這個時代最有尊嚴的生活方式。
「黑客」一年能賺多少錢?
實際上,江湖傳言中確有一些一夜暴富,一月之間從捷安特換成蘭博基尼的黑客故事。但是這些黑客無一例外都在從事 黑色產業 他們盜竊使用者的資訊,破解使用者的銀行賬戶,把使用者的資金裝進自己的口袋。換言之,他們是不折不扣的罪犯。業內人士告訴雷鋒網,在網路黑產興盛的最初幾年,確實有年入千萬,甚至上億的黑客。但...
開花店一年能賺多少錢?
我們經常會發現這種現象 同樣是開花店,有的人氣爆棚,有的卻冷冷清清,有的花束奇醜無比卻仍賺的盆滿缽滿,有的花束高階大氣卻還在苦苦掙扎。所以很多人產生這種疑問 開花店到底怎樣才能賺錢?可以發現,花卉消費近年來呈越來越旺的趨勢。據了解,2017年北京鮮花市場的消費約在10.51億元。記者走訪了幾家鮮花店...
一年多少錢 電大學費一年要多少錢?
電大學費一年要多少錢?電大學費確實是按年來收費,分3年繳納,由於有本科和專科不同的層次,其學費自然也不一樣。另外,電大的學費並非全國所有的分校都一致,它會根據當地物價局的標準來去制定,經濟越發達的城市和地區,其學費自然也越高。選擇不同的專業將有不同的學分要求,而電大的學費是根據學分來計算的,一般每學...