中國(guó)頂級(jí)黑客的生意

責(zé)任編輯:editor005

2015-01-09 14:18:34

摘自:東方早報(bào)

國(guó)內(nèi)頂尖“白帽子”黑客團(tuán)隊(duì)KEEN的負(fù)責(zé)人王琦雖然未對(duì)12306的懸賞高低進(jìn)行置評(píng),但已然將國(guó)內(nèi)互聯(lián)網(wǎng)安全現(xiàn)狀一語(yǔ)道破。但王琦還是堅(jiān)持了下來,一方面是出于自身職業(yè)的熱愛,另一方面是國(guó)內(nèi)安全環(huán)境的轉(zhuǎn)變,讓他看到了行業(yè)的希望。

如果一位年收入超過百萬(wàn)元的頂級(jí)黑客,花費(fèi)數(shù)月研究,發(fā)現(xiàn)了一個(gè)擁有上億活躍用戶網(wǎng)站的漏洞,那這個(gè)漏洞的價(jià)值應(yīng)該是多大?

2014年12月底,鐵路12306售票網(wǎng)站被黑客“撞庫(kù)”,至少13萬(wàn)條包括用戶名、密碼、身份證在內(nèi)的個(gè)人信息流出。后來,12306加入了360旗下的漏洞響應(yīng)平臺(tái)“補(bǔ)天”,最高懸賞2000元,號(hào)召網(wǎng)友查找自身是否存在安全漏洞。

表面上看,安全問題頻出的12306對(duì)安全問題重視了起來,但在安全圈內(nèi),很多人大呼2000元懸賞費(fèi)“太低,沒有誠(chéng)意”,不足以讓高手出招去找到那些真正要緊的大漏洞。業(yè)內(nèi)人士稱,頂級(jí)黑客費(fèi)時(shí)費(fèi)力發(fā)現(xiàn)一個(gè)嚴(yán)重漏洞的價(jià)值可能超過百萬(wàn)甚至更高。

被找出漏洞,中國(guó)廠商大多數(shù)僅表示感謝

“國(guó)內(nèi)廠商對(duì)安全問題從不重視到重視,但重視了以后,該怎么做還處在摸索的階段。”國(guó)內(nèi)頂尖“白帽子”黑客團(tuán)隊(duì)KEEN的負(fù)責(zé)人王琦雖然未對(duì)12306的懸賞高低進(jìn)行置評(píng),但已然將國(guó)內(nèi)互聯(lián)網(wǎng)安全現(xiàn)狀一語(yǔ)道破。

不管是“白帽子”,還是“黑帽子”,他們都統(tǒng)稱黑客,在挖掘和利用網(wǎng)絡(luò)上的各種漏洞。區(qū)別在于白帽黑客心存正義,他們發(fā)現(xiàn)漏洞后并不制造“武器”或是變身“軍火商”去獲利,而是提交給相關(guān)廠商,廠商有時(shí)候會(huì)給予酬金,但大多數(shù)時(shí)候僅僅表示感謝。

然而隨著網(wǎng)絡(luò)安全事件的頻繁發(fā)生,國(guó)內(nèi)安全市場(chǎng)空前活躍。在國(guó)內(nèi)知名漏洞報(bào)告平臺(tái)“烏云網(wǎng)”上,筆者看到,目前有上千位“白帽子”登記在冊(cè)。

“這兩年‘白帽子’越來越多,很多年輕人喜歡從找網(wǎng)站的漏洞入手,接觸安全技術(shù)。”剛剛當(dāng)選“上海IT青年十大新銳”的王琦對(duì)筆者表示,“網(wǎng)站漏洞挖掘門檻相對(duì)較低,非常適合白帽子入門。”

王琦帶領(lǐng)的KEEN則主攻高端漏洞。國(guó)際最主要的安全會(huì)議中幾乎都能見到KEEN的身影,曾經(jīng)多次演示過電影《竊聽風(fēng)云》中“關(guān)機(jī)竊聽”、“悄無(wú)聲息從新iPhone上偷照片”、“智能汽車遙控?zé)o人駕駛”等高級(jí)漏洞在現(xiàn)實(shí)生活中的利用。在全球頂級(jí)安全賽事Pwn2Own上,KEEN找到了蘋果MacOSX、iOS漏洞、微軟Windows8.1的漏洞,成為這個(gè)賽事的首個(gè)亞洲冠軍團(tuán)隊(duì),并且連續(xù)兩年三次奪魁。

KEEN自稱發(fā)現(xiàn)的漏洞是蘋果安全團(tuán)隊(duì)的兩倍。王琦說,KEEN所查找的漏洞難度都相當(dāng)大。“操作系統(tǒng)就像一個(gè)黑盒子,需要對(duì)系統(tǒng)非常了解。研究人員有時(shí)甚至看不懂,但還得找到里面的問題,這需要多年的深厚計(jì)算機(jī)和數(shù)學(xué)知識(shí)積累。”

名聲在外之后,商業(yè)的機(jī)會(huì)也接踵而至。

目前KEEN為政府機(jī)構(gòu)、智能設(shè)備廠商、互聯(lián)網(wǎng)金融和電商等提供安全檢測(cè)產(chǎn)品和服務(wù),合作客戶中包括谷歌、微軟、華為、騰訊等知名企業(yè)。

“他們都是自己找上門來,有強(qiáng)烈的合作意愿。”王琦說。

一年百萬(wàn)元收入

與普通的安全團(tuán)隊(duì)相比,KEEN有著可觀的收入。

在筆者的追問下,王琦說,“有優(yōu)秀成果的研究員加上獎(jiǎng)勵(lì)到手,我們一年下來會(huì)給百萬(wàn)元以上。”王琦不希望過分解讀這個(gè)工資:“我們是一個(gè)沒有生產(chǎn)資料的公司,沒有廠房沒有生產(chǎn)線,我們主要是人力成本,所以每個(gè)人的收益會(huì)比較多。”

在頂級(jí)黑客百萬(wàn)元以上的合法收入占比中,除了廠商獎(jiǎng)勵(lì)的部分,還有很大一部分是來自公司本身。王琦的邏輯是,“收入少,等于證明做一個(gè)不會(huì)拿漏洞干壞事的白帽子是沒有前途的,所以要樹立榜樣來激勵(lì)對(duì)正義的堅(jiān)守。”

事實(shí)上,在商業(yè)利益與社會(huì)責(zé)任間的兩難抉擇,讓王琦幾次想放棄“白帽子”生涯。

但王琦還是堅(jiān)持了下來,一方面是出于自身職業(yè)的熱愛,另一方面是國(guó)內(nèi)安全環(huán)境的轉(zhuǎn)變,讓他看到了行業(yè)的希望。

對(duì)于未來,王琦預(yù)計(jì),國(guó)內(nèi)客戶將逐漸增多,國(guó)外的可能越來越難做:“這個(gè)事情在他們那兒也有壓力。”

王琦還吐槽說,“本質(zhì)上,安全行業(yè)不好做的原因是,對(duì)優(yōu)秀人才的智慧成果不夠尊重和重視。廠商說你應(yīng)該把你發(fā)現(xiàn)的我的產(chǎn)品的漏洞無(wú)條件告訴我,因?yàn)槟悴荒芨蓧氖?。但如果說我發(fā)現(xiàn)這個(gè)問題,你能夠給我足夠的獎(jiǎng)勵(lì)嗎?”

王琦說自己真的處于矛盾期:“打個(gè)比方,比如我發(fā)現(xiàn)ATM機(jī)能自動(dòng)吐錢的漏洞,報(bào)告給銀行,結(jié)果可能只獎(jiǎng)勵(lì)幾千塊錢,但這個(gè)漏洞有可能是我花幾個(gè)月,耗公司之力來發(fā)現(xiàn)的。現(xiàn)在廠商普遍能夠給到的回報(bào)還比較低。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)