科技巨头与网络黑市上演漏洞争夺战-国土报中文版

本篇文章2861字，读完约7分钟

“目前的形势相当严峻。如果这种情况继续下去，没有人能够拥有一台没有被入侵的计算机，我们已经为灾难做好了准备。”-维克拉姆·菲塔克国家安全实验室首席执行官

安全企业Nss Lab正在推动建立一个集中的赏金平台，以便那些有大量漏洞的公司，如甲骨文、苹果、谷歌、mozilla、adobe等。，可以至少以与在线黑市买家相同的价格购买零日漏洞。兰德公司今年的一份调查报告显示，一些主要的零日漏洞可以在黑市上以30万美元的价格出售。一些安全专家说这个数字可能是100万。

然而，国家安全局的计划缺乏来自各方的支持，很难提高漏洞的报酬率，更不用说那些坚持不愿支付一分钱的企业了。Adobe就是一个例子。尽管去年有3800万用户的密码被黑客窃取，但该公司仅表示将与“报告漏洞的用户和安全社区研究人员”合作，并在网站上识别他们的建议。

其他不愿提供奖金的公司包括苹果、思科和甲骨文。后者生产的java软件由于漏洞众多，容易受到黑客攻击，多年来一直受到各方的批评和指责。

一些鼓励漏洞奖励的公司支持nss Lab的奖金池计划，但他们所能提供的价格无法与地下网络相比。例如，去年，雅虎！发现了软件中的一个漏洞，并将其提交给安全公司高科技桥。雅虎奖励该公司在雅虎商店以12.5美元的折扣出售的t恤、钢笔和其他小商品。在遭到严厉嘲笑后，雅虎最终将其奖金提高至15，000美元。

“这是开玩笑吗？你们将来能一起玩吗？”

今年9月，谷歌开始为“普通”漏洞提供15，000美元，这是之前奖励的三倍。与此同时，谷歌在其博客中表示，将为一个“令人印象深刻”的漏洞支付3万美元。尽管脸谱网声称它的一般漏洞奖金只有2000美元，但它也为一个非常严重的漏洞支付了33500美元。最初反对奖金池平台计划的微软也在2013年底将奖金上限提高至10万美元。杨宇(tk)，中国著名的安全研究员，是仅有的两位获奖者之一。

科技巨头与网络黑市上演漏洞争夺战

其他急于了解自身漏洞的公司会雇佣专业的漏洞查找团队，比如旧金山的bug crunch，该公司为漏洞提供最高20，000美元的价格。该公司成立两年来，已经在世界各地招聘了13，000多名白帽子。

巴格人群中的赏金之王是一个24岁的大学生，本萨德吉普尔。他在加州萨克拉门托大学学习，主修计算机信息安全。小时候，他学会了黑客技术，绕过他母亲设置的密码，阻止他玩电脑游戏。

据估计，仅今年一年，就挖了30多个漏洞，获得了23，000美元。本说黑市上的人总是联系他去买漏洞，但他从来不接受。因为他“不想赚脏钱”。

国内第三方漏洞提交平台五云是第一个提出白帽“站着赚钱”的企业。乌云集中在行业内和人群中的大量安全爱好者，包括数以千计的活跃的白帽子。它们帮助企业修复安全漏洞或整理解决方案的知识库。由于吴云近年来的努力，大型互联网企业的安全水平提高到了一个更高的水平，白帽报告的漏洞得到了重视、确认和处理。然而，仍有一些互联网公司和传统行业对安全不够重视，导致安全事件频发，给用户带来安全隐患。

科技巨头与网络黑市上演漏洞争夺战

巨大的黑色利益在“黑色产业”中流动，基于企业和用户的痛苦，给互联网造成无法估量的经济损失。然而，如果互联网公司能够重视安全研究人员的劳动，并提供他们的客观和合法的收入来调动安全行业的积极性，许多安全问题将被及时发现并积极处理。

阿里巴巴、腾讯、百度、360、JD.com、新浪和网易都有自己的漏洞响应中心，对提交漏洞的白帽子给予相应的奖励。几年前，付钱给攻击你的人是一个激进的想法。但是互联网世界变化如此之快，以至于激进化现在变得切实可行。网络空.有成千上万的黑客天才，他们拥有漏洞发现技术把这些人聚集在一起，给他们一个机会认识自己，站起来赚钱，这难道不是一件好事吗？

科技巨头与网络黑市上演漏洞争夺战

五云联合创始人孟卓向安牛介绍，五云白帽一个月内的漏洞奖金金额相当于其过去六个月的工资总额。平均来说，白帽子每个月可以获得一般工资水平1~3倍的漏洞奖金。弱点奖励，通过乌云和国内企业的努力，给白帽子一个展示自己、被企业认可、获得法律利益的渠道，为行业创造巨大价值。

Synack由两名前国安局官员于2013年创建，使用另一种方法来发现软件漏洞。他们没有招募大量黑客，而是雇佣企业、大学和政府的安全专家，包括国家安全局的现有雇员。synack提供的单个漏洞的最大奖金通常为5000美元。

其他公司将发现的零日漏洞出售给世界各地的政府机构，包括美国情报机构和军事机构。他们利用这些漏洞开发利用程序来渗透其他国家的计算机系统。工控安防专业制造商严恩科技总裁孙曾告诉安牛:“在网络黑市上，重要的工控安防漏洞可以卖到60万到100万欧元。”

“在极少数情况下，为了收集顶级情报信息，政府授权国家安全局使用零日漏洞。”-美国总统顾问团

因为这些漏洞有时无法修复，公众面临危险。此外，世界各国对购买零日漏洞的需求也极大地推动了在线黑市。为此，美国政府受到了批评。

找到漏洞并不容易，即使对专业软件公司来说也是如此。这主要是因为传统的计算机教育只注重代码编程来实现功能，而不注重安全漏洞，更不用说符合安全规范的代码编程了。因此，很多业内人士认为这是一个雇佣黑客寻找漏洞的好方法。

安全咨询服务提供商固安天下的总经理李华告诉《安全牛》，对于大型组织来说，聘请黑客进行公开测试的最大问题是信任和风险控制。因此，作为客户信赖的顾问，来自世界各地的固安专家进行风险控制，沟通客户需求，然后与五云平台组织的行业内著名的白帽子合作，进行行业应用的深入测试。目前，在一些知名金融机构取得了很好的效果，得到了行业客户的认可。

科技巨头与网络黑市上演漏洞争夺战