中国顶级黑客的生意 在商业利益与社会责任间两难抉择

  如果一位年收入超过百万元的顶级黑客,花费数月研究,发现了一个拥有上亿活跃用户网站的漏洞,那这个漏洞的价值应该是多大?

  2014年12月底,铁路12306售票网站被黑客“撞库”,至少13万条包括用户名、密码、身份证在内的个人信息流出。后来,12306加入了360旗下的漏洞响应平台“补天”,最高悬赏2000元,号召网友查找自身是否存在安全漏洞。

  表面上看,安全问题频出的12306对安全问题重视了起来,但在安全圈内,很多人大呼2000元悬赏费“太低,没有诚意”,不足以让高手出招去找到那些真正要紧的大漏洞。业内人士称,顶级黑客费时费力发现一个严重漏洞的价值可能超过百万甚至更高。

  被找出漏洞,中国厂商大多数仅表示感谢

  “国内厂商对安全问题从不重视到重视,但重视了以后,该怎么做还处在摸索的阶段。”国内顶尖“白帽子”黑客团队KEEN的负责人王琦虽然未对12306的悬赏高低进行置评,但已然将国内互联网安全现状一语道破。

  不管是“白帽子”,还是“黑帽子”,他们都统称黑客,在挖掘和利用网络上的各种漏洞。区别在于白帽黑客心存正义,他们发现漏洞后并不制造“武器”或是变身“军火商”去获利,而是提交给相关厂商,厂商有时候会给予酬金,但大多数时候仅仅表示感谢。

  然而随着网络安全事件的频繁发生,国内安全市场空前活跃。在国内知名漏洞报告平台“乌云网”上,笔者看到,目前有上千位“白帽子”登记在册。

  “这两年‘白帽子’越来越多,很多年轻人喜欢从找网站的漏洞入手,接触安全技术。”刚刚当选“上海IT青年十大新锐”的王琦对笔者表示,“网站漏洞挖掘门槛相对较低,非常适合白帽子入门。”

  王琦带领的KEEN则主攻高端漏洞。国际最主要的安全会议中几乎都能见到KEEN的身影,曾经多次演示过电影《窃听风云》中“关机窃听”、“悄无声息从新iPhone上偷照片”、“智能汽车遥控无人驾驶”等高级漏洞在现实生活中的利用。在全球顶级安全赛事Pwn2Own上,KEEN找到了苹果MacOSX、iOS漏洞、微软Windows8.1的漏洞,成为这个赛事的首个亚洲冠军团队,并且连续两年三次夺魁。

  KEEN自称发现的漏洞是苹果安全团队的两倍。王琦说,KEEN所查找的漏洞难度都相当大。“操作系统就像一个黑盒子,需要对系统非常了解。研究人员有时甚至看不懂,但还得找到里面的问题,这需要多年的深厚计算机和数学知识积累。”

  名声在外之后,商业的机会也接踵而至。

  目前KEEN为政府机构、智能设备厂商、互联网金融和电商等提供安全检测产品和服务,合作客户中包括谷歌、微软、华为、腾讯等知名企业。

  “他们都是自己找上门来,有强烈的合作意愿。”王琦说。

  一年百万元收入

  与普通的安全团队相比,KEEN有着可观的收入。

  在笔者的追问下,王琦说,“有优秀成果的研究员加上奖励到手,我们一年下来会给百万元以上。”王琦不希望过分解读这个工资:“我们是一个没有生产资料的公司,没有厂房没有生产线,我们主要是人力成本,所以每个人的收益会比较多。”

  在顶级黑客百万元以上的合法收入占比中,除了厂商奖励的部分,还有很大一部分是来自公司本身。王琦的逻辑是,“收入少,等于证明做一个不会拿漏洞干坏事的白帽子是没有前途的,所以要树立榜样来激励对正义的坚守。”

  事实上,在商业利益与社会责任间的两难抉择,让王琦几次想放弃“白帽子”生涯。

  但王琦还是坚持了下来,一方面是出于自身职业的热爱,另一方面是国内安全环境的转变,让他看到了行业的希望。

  对于未来,王琦预计,国内客户将逐渐增多,国外的可能越来越难做:“这个事情在他们那儿也有压力。”

  王琦还吐槽说,“本质上,安全行业不好做的原因是,对优秀人才的智慧成果不够尊重和重视。厂商说你应该把你发现的我的产品的漏洞无条件告诉我,因为你不能干坏事。但如果说我发现这个问题,你能够给我足够的奖励吗?”

  王琦说自己真的处于矛盾期:“打个比方,比如我发现ATM机能自动吐钱的漏洞,报告给银行,结果可能只奖励几千块钱,但这个漏洞有可能是我花几个月,耗公司之力来发现的。现在厂商普遍能够给到的回报还比较低。”

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:男子接诈骗电话智斗 骗子为“保持通话”帮交话费