收入最高者年入百万
“网络安全事件频发,信息安全的概念开始深入人心,企业都开始设立专门的网络安全岗位,这方面的人才一下子成为了稀缺资源。”
白帽子这个行业真正火起来,也就是最近两三年的事情,而最直接的因素就是收入情况的好转。
在三年前,白帽子们挣钱只有几条道:成立安全公司或者团队,开发产品,为企业提供这方面的服务,不过这只限于少数真正的技术大牛;接一些网站或者厂商产品众测的活儿,不过这种活儿都是临时性的;再不就只能做普通的程序员,每月挣四五千元,这些白帽子在网络安全方面的特长根本无用武之地。最近几年,这一情况发生了极大的改善。一方面,由于网络安全事件频发,信息安全的概念开始深入人心,一些企业开始设立专门的网络安全岗位,这方面的人才一下子成为了稀缺资源,企业开出的价码也水涨船高,不少白帽子都投身到“豪门”;另外一方面,像补天这样的漏洞提交平台的建立,也给白帽子们创造了一个平台,找漏洞不再是义务劳动。
据了解,如今国内顶级安全人才的年收入可以达到百万元水平;高水平的白帽子,加入互联网公司的,一年挣个十几万几十万也属平常;即便是那些依旧散兵游勇的白帽子,通过在平台上提交漏洞,有的也可以月入数万元。
李寅是补天平台上收入最高的白帽子。据他介绍,他平均一个月在补天上获得的奖金在2万元左右,而最多的时候,他一个月就拿到了超过6万元的奖金。要知道,补天提交一个漏洞获得的奖金也就几百元,最多不过一两千元,可见他每月提交的漏洞数量有多少。
“最初我找漏洞就纯粹是个人的业余爱好,后来到补天上发现既能找漏洞又能提高技术水平,何乐而不为啊!所以我在补天上发漏洞的积极性就比较高。”李寅对记者表示,与之前相比,他现在更加注重提交漏洞的质量,而不是再一味求数量,加上目前他正在筹备自己的创业项目精力有限,现在他在补天上的收入也没有之前那么高了。
李寅这样的白帽子毕竟是少数,不过每月能从补天平台上拿到几千元奖金的白帽子还不在少数。赵武介绍,目前补天平台每月向白帽子们发放的奖金和物质奖励加起来能有四五十万元,其中一部分是被发现漏洞企业出的奖金,而大部分还是补天平台自己支付的。
收入条件的好转,带来的直接影响就是愿意投身白帽子的人越来越多了。今年7月才大学毕业的鲍宇对记者说,之前他也动员过其他同学来学习白帽子技术,可他们都不感兴趣。不过当别人发现他签下的工作收入要明显高于一般的程序员工作后,还是对他很羡慕的。“就业条件好了,现在刚进大学的人对于做白帽子的兴趣就比我那个时候更大了,人数也多了,不像我当时那样孤军奋战了。”鲍宇说道。
来自黑暗的诱惑
“我所接触过的圈里的前辈都告诫我一定不要触线,因为一旦做了黑产,再想洗白就很难了。”
虽说如今白帽子的收入情况已经明显改善了,但是和做“黑产”的比起来,依然是天壤之别。“有的黑产一天就能挣几万元,哪家公司会给员工开这么高的薪水?”邓焕说。
那些被白帽子们称为“黑产”的黑客又是怎么获得如此惊人的收入呢?邓焕介绍,黑产们赚钱的方式多种多样,最普通的就是利用漏洞获得网站或者系统内的用户资料,出售他人信息以获利;还有利用获得的用户信息,从事诈骗、盗刷信用卡等。例如,补天平台上的白帽子就曾经发现了一个完整的伪基站诈骗链条。诈骗者利用伪基站向附近的手机发送诈骗短信,诈骗短信的号码显示为中国移动(微博)的客服号码“10086”,短信称用户手机积分已经满足兑换现金礼包的条件,并给出了一个兑换链接;点击此链接,会进入一个名为“中国移动掌上门户”的网站,并要求用户提交收款信息,如银行卡或信用卡的卡号、密码、用户身份证信息、手机号码等。“白帽子”在攻破该网站的服务器之后发现,这是一个“钓鱼网站”,在这个钓鱼网站的后台,赫然能够看到超过400位用户的详细信息,包括用户姓名、银行卡或者信用卡号、开户行、密码、身份证、手机号码、信用卡有效期、CVV码等。在获取了这些用户信息之后,诈骗者完全可以利用受骗者的银行卡、信用卡进行转账或者盗刷。从已经超过400人的受骗规模来看,该钓鱼网站的诈骗金额估计能超过千万元。
记者在采访中发现,几乎每个水平较高的白帽子,都受到过来自黑产的诱惑。在补天漏洞平台上收入最高的李寅,一次挖到了一个很多门户网站都在使用的知名程序的漏洞,如果能利用会带来很严重的危害。因为这个漏洞,补天平台奖励了他3500元,而这已经是大大超过正常漏洞奖金标准的破例金额了,但是就有黑产开价数万购买这个漏洞的细节。邓焕更是透露,有黑产许诺几十万甚至上百万的报酬,雇他去攻破某些网站。“从事这个行业的人估计90%都受到过黑产的各种诱惑。”邓焕说。
巨额的金钱诱惑,就像潘多拉的魔盒,一旦白帽子抵御不住诱惑,就会滑入罪恶的深渊。确实有白帽子禁受不了金钱的引诱加入黑产的阵营,不过大多数白帽子还是能坚守住底线,一方面是因为法律,一方面也是因为道德的约束。
1991年出生的“小白”也是一位资深的白帽子,但是面对不是安全圈的朋友,他很少提起自己白帽子的身份。“之前就有一些人知道我是黑客后,让我帮他们盗别人的QQ号。”“小白”从心里很反感这种要求,“我的父母都是老实本分的农民,虽然他们不太清楚我从事的究竟是什么,但从小他们对我的要求就一句话‘不要做坏事’,这也是我做白帽子的底线。”
“我所接触过的圈里的前辈都告诫我一定不要触线,因为一旦做了黑产,再想洗白就很难了。”李寅说道。
很多时候不被理解
“多数情况下,自己主动联系漏洞方,对方都会怀疑我的目的是不是想要钱。”
在白帽子们看来,自己挖漏洞的行为,一者是兴趣使然,另外也是在为网络安全做贡献,发现哪家网站或者哪个企业的系统漏洞,可以提醒它们及时修复,避免被黑产们利用造成损失,然而一个尴尬的现实是,被发现漏洞的企业,往往对白帽子们的好意抱以怀疑的态度。
赵武当年因为在黑客领域的名气,被华为公司招进了全球安全实验室,成为了华为第一个从事安全研究的员工。在工作当中,赵武用自己研发的漏洞工具对系统的安全性进行测试,刚好广东某运营商和华为业务联系较多,他就顺手拿该运营商的运营系统做了测试,结果竟然在该运营商的系统中发现了几百个漏洞,这些漏洞涉及计费系统、短信、彩信等业务系统。
当时还年轻气盛的赵武选择了一种恶作剧的方式提醒该运营商注意系统漏洞。他利用该运营商的系统漏洞,给当时的运营商总经理手机上发送了一条短信,告诉他自己的身份以及自己发现的漏洞情况,最绝的是,短信显示的发送方居然是运营商的党组书记。
这一下子捅了马蜂窝,运营商马上找到了华为公司,核实赵武的身份,并要求他去运营商说明情况。在运营商的一间会议室里,赵武向对方的负责人详细介绍了自己发现的漏洞情况。在回去的路上,陪他一起去的华为同事才和赵武交了底,在他讲漏洞的办公室隔壁房间,就等着警方的人员,一旦赵武在对方面前表露出一点索取好处的意思,警察就会马上过来抓人。或者当时运营商的人都没有想到,赵武的用意完全就是善意的提醒。
在像补天这样的漏洞提交平台出现前,白帽子发现了漏洞,如果想提醒对方,需要自己写一份报告,并主动与对方联系。或者是不相信,或者是对白帽子动机的怀疑,表示感谢的只占到少部分。
邓焕干过更疯狂的事情,他抱着被特招成为网络警察的幻想,居然攻破了当地警察局的网站,在向系统中留的联系人发送漏洞报告后,对方第一反应是怀疑他通过其他方式找到的联系方式。
“小白”也说,多数情况下,自己主动联系的漏洞方都会怀疑其目的性,“是不是想要钱?”是被问得最多的。“确实有人利用漏洞去找企业要钱,人家也会想,你费那么大劲儿找个漏洞就是为了提醒一下?可能吗?”他表示,实际上白帽子们找漏洞,主要还是为了在实践中不断提高自己的水平。
在补天平台成立后,这一局面好了很多,白帽子只需要把漏洞提交给补天,补天会出面与漏洞方进行联系。“有的企业很重视,也会主动注册并提供奖金给发现者,但也有很多企业对系统安全的重视程度很低。”邓焕表示,经常是把漏洞情况反映给他们,却如石沉大海没有任何消息。
一群简单热情的年轻人
一次在饭桌上,有人向我介绍两个新朋友:“他们是特别牛的白帽子!”我当时吃了一惊,这两个人和其他80后、90后年轻人看起来没有任何区别,完全不是想像中高冷骄傲或者不修边幅的黑客形象。这两个人就是赵武和邓焕,他们也勾起了我对白帽子这个神秘群体的好奇心。
“这些人千奇百怪,个性都很强,但是都不难打交道。”陆续接触了十几个白帽子后,我认同了赵武对白帽子群体的评价。这些人普遍年龄不大,80后已是“老人”,90后已成主力;他们当中有的很在意自己的隐私,如小白曾经戴着面具接受过央视采访,一个年纪很小的白帽子担心记者会通过手机对他进行定位;有的不善言辞,说起专业知识滔滔不绝,介绍起自己的经历就词不达意。但是他们又有一个共同点,那就是简单热情,一旦说服他们接受采访,都愿意和我分享他们最真实的生活和经历。
