【51CTO.com 快译】寻找软件的安全漏洞是项艰苦的工作,但对一些别有用心的人来说这意味着大笔的金钱。
Charlie Miller博士是业内最著名的Mac电脑黑客之一。在今年的CanSecWest黑客大赛后,他的一项宣布引起了广泛关注。
Charlie Miller博士宣称,他以后将不再免费给软件厂商或其他人提供他找到的漏洞了。不仅如此,Charlie和他的几个朋友已经开始发起一项名为“No More Free Bugs(不再免费提供bug)”的运动,甚至设计了自己的Logo。——51CTO编者按:这位仁兄还是挺逗的,他在比赛之后向大众推荐Mac 称其病毒感染率低
如果你还不了解Charlie Miller,我可以简单介绍两句,在今年的CanSecWest黑客大赛,Charlie只花了10秒钟就攻克了Mac系统,而且据说他现在已经找到了破解iPhone shell的方法。
我认识并且非常尊重Charlie Miller,而且我相信他的意愿是好的,他只是想靠他的一技之长来生活——在这一点上任何人都一样,更何况长期以来,Charlie已经给软件软件厂商和我们这些安全工作者们提供了无数宝贵的工作。
不过我还是受到一个恼人的问题所困扰,就是Charlie今后会不会把他发现的bug出售给那些具有恶意企图的人?他尚未做出明确的声明,我希望也相信他不会,但现在我还不能肯定。
我很喜欢Charlie和那些黑客界的真正精英们。我在过去的20年中见过他们许多人,他们为人善良,我知道他们有很多更轻松的挣钱方法,但他们却一直走在寻找安全漏洞这条相对艰难的路上。我知道有些天才黑客独自发现了软件漏洞,但当他们提供给软件厂商时,他们的辛勤工作却经常换不来一点回报,因此他们觉得受到了羞辱。我也看到过很多最初是善意的黑客由于对软件厂商长年累月的态度不满,公开一个接一个的bug进行报复。当然我也见识过一些低劣的黑客,他们查找bug的目的就是想在软件厂商和竞争对手之间挑起事端,然后为他们发现的漏洞卖个高价。
路边的硬币捡不捡?
如今出售安全漏洞算是一个赚钱的机会,而且比以往任何时候都赚钱,尤其是如果你把自己放到黑帽阵营里——这里要向51CTO.com的读者解释一下,就像西部牛仔英雄一样,黑客实际上也有白帽和黑帽之分。普通大众想像中黑客一般指黑帽(Black Hat)骇客;而白帽(White Hat)黑客则是合法的黑客,其现实生活中的身份就是安全专业人士,他们的工作是寻找、测试和修补威胁计算机的漏洞,让狂野的互联网更加安全。
对于黑帽黑客来说,只要不在乎买家是谁,他们可以轻松的为自己找到的主流软件的安全漏洞并卖到5000美元或以上。黑市上的报价一般是保密的,但我确实看到过多达10万美元的报价,要求得到Windows Server 2003的远程缓冲区溢出漏洞。考虑到许多软件犯罪集团经常能够在大规模的犯罪计划里挣到数千万美元甚至更多,花上几万美元来购买安全漏洞还是相当划算的。
即使在白帽阵营里,许多合法的组织也付钱来购买软件的错误和漏洞。首先,许多软件厂商(包括我的全职雇主微软)本身会为内部和外部bug的搜索者们支付数百万美元,虽然金额总是会在bug被发现之前缩水。CanSecWest和其他黑客竞赛为新的零日攻击漏洞悬赏,而其他一些组织如Zero Day Initiative,也会为新的安全漏洞的发现付钱。这些机构最后会收回他们的成本,通过在其后向客户销售相关的安全产品。最后是一个几乎公开的秘密,美国政府拥有人数众多的寻找漏洞的团队,这是出于军事进攻和防卫的目的考虑。另外甚至还有一些漏洞被公开拍卖。
黑与白的抉择
但是在白帽与黑帽之间存在一个可悲的事实,对于一个同样的漏洞,白帽黑客通过正常渠道得到的收入远没有在黑帽市场中能得到的多。这是因为白帽黑客的目的是完善产品和保护用户,而黑帽黑客的目的就是赚钱。我在一个大软件公司的朋友告诉过我他们公司为其内部和外部漏洞的搜索者提供的费用,他说为每个发现的bug支付的钱常常不到25美元。可以想象任何正常工作的黑客,都很难指望这点钱过上体面的生活。
但是他们确实这样做了,我猜想他们有自己的小秘密。在这个世界上有很多赚钱的方式,我的电脑图书里如果加点非法的内容肯定能卖出更多,我也可以靠逃税来补充一点收入。但当我每天早晨从镜子中看到自己,我会说我对自己所做的很自豪。我做黑客的时候也挣过些钱,但我从来没有未经允许,也没有对任何人带有恶意。无论人性本身是否就带有些恶意的东西,但在我的DNA里它们算是失踪了。
许多以寻找软件漏洞为业的公司已经过上了体面的生活,虽然没有那么光彩照人。也许他们不会给发现的bug卖到5000美元以上,但他们已经建立起非常成功的正确运营方式。他们已经成为白帽阵营的名片,成为行业明星。公司的主人创建并养育了公司,为员工建立起长期的职业生涯,而且能迎着人们尊敬的目光,时刻高昂着头。——51CTO编者按:对白帽有兴趣的朋友可以看看“如何当好白帽子安全工程师”这篇文章。
对每一个名声不好的黑帽黑客,我都可以给出两个好名声的白帽黑客和他们公司的名字,他们是:@Stake、ZDI、iDefense、David Litchfield、Foundstone、Dave Aitel、Immunity,还有更多。
我赞同Charlie和其他“No More Free Bugs”的倡导者们应该靠自己最拿手的技能来谋生。但我希望他们至少应该先了解一下买家到底是怎么回事,然后再考虑是不是可以把漏洞出售给他。我们需要他们向我们保证,每一次他们都是站在我们这边。
【51CTO.com译稿,合作站点转载请注明原文译者和出处为51CTO.com】
原文:Should we pay hackers to find bugs? 作者:Roger Grimes
【编辑推荐】
