不幸的是,如果抛开法律和道德,可以用漏洞做的最NB的事而几乎都是黑色产业。我们可以思考以下的问题:
1、对于互联网金融企业,它们的安全漏洞值多少钱呢?
360副总裁兼首席安全官谭晓生表达了担忧:
很多企业对自己的网络资产都不清楚。这些资产包括自己的域名、页面。很多人甚至不清楚自己到底有哪些服务,以及这些服务跑在哪些服务器上。在这个问题上,黑客往往比企业更清楚,他们会研究企业所有的线上资产,然后找到最薄弱的环节突破进去。
这个突破口可能是网站几年前的促销页面,也可能是由于疏忽忘记下线的测试功能。
举个例子,补天平台2015年在P2P行业就爆出了131个漏洞,而某个P2P平台内超过2000万的资金账户就有20个,其中不乏超过1亿元的账户。这样漏洞百出的网站会导致可怕的后果:如果被黑客注意到,他们通过技术破解甚至可以做到直接提现到自己的账户然后拍屁股走人。
谭晓生说,虽然这种事情暂时没有发生,但未来很可能会有P2P平台因为信息安全问题而倒闭。
2、对于工业控制系统,它的安全漏洞值多少钱?
很早以前就有专家提出:理论上黑客可以通过漏洞入侵电力系统,造成电网大面积瘫痪,甚至基础设施损坏。去年圣诞节前夕,在乌克兰西部,这个预言变成了现实。安全公司微步在线向雷锋网(搜索“雷锋网”公众号关注)展示的资料显示,这很可能是由俄罗斯背景的黑客组织“暗黑能源”精心策划的一场攻击。而来自知道创宇的工控安全专家王得金告诉记者,全球有数万个工业设备直接暴露在互联网上。而这些漏洞一旦被黑客巧妙利用,可能会造成不可估量的损失。
3、盗取我们个人信息的漏洞值多少钱?
在证券、金融、电商等在线系统网站上,我们经常要登记自己的账号、密码,银行卡信息,身份证号、家庭地址。
一组震撼的数字足以说明问题:
2011年至今,全国已经有将近20亿人次的个人信息遭到泄漏,而仅仅根据补天平台上的漏洞数据,目前还有55.3亿人次的个人信息正暴露在黑客的枪口之下。
也就是说,你接到的所有诈骗电话、钓鱼邮件、欺诈短信,根源都来自于这条产业链。
4、威胁国防安全的漏洞值多少钱?
美国国防合约商雷神公司近年来不断收购网络安全公司,包括黑鸟这类攻击型的和Websense这类防御型的等等。而去年不断被爆出的“海莲花”、“暗黑客栈”等带有政治色彩的黑客组织更是我们国防安全的重要威胁。而这些APT(高级持续性威胁)用来定向攻击的武器正是高危漏洞。
经过这些思考,相信你也会同意:上述的绝大多数漏洞,都已经昂贵到无法定价。而这些领域的漏洞,都包含在白帽子的研究方向之内。
包括微软、谷歌在内的科技巨头都会提供数万美元的“漏洞赏金”计划,鼓励黑客把自家的漏洞提供给自己。但是与此同时,在网络黑市里,买主却能轻易拿出十倍甚至更高的价格来购买这个漏洞。
当你看到成千上万的白帽子没有选择去把漏洞卖到黑市,而是去提交给安全平台获取赏金。恰恰不是因为贪婪,而是因为无私。
有人形容白帽子“用自己的智慧,把无数可怕的信息灾难化解在发生之前”,此言并不虚妄。
“漏洞之王”依然是普通人
如果你去了解白帽子的生活,你会发现即使是身为“漏洞之王”的a0,也是利用自己的业余时间搜寻漏洞的“手艺人”。你也许会得出这样的结论:白帽子不是神,他们并不会用鼠标和键盘印钞。但他们的事业值得尊敬并且理应获得金钱的奖励。
相比之下,那些从事黑产的黑帽黑客虽然比a0赚得多不知多少倍,但他们却永远不能像a0一样沐浴在人们善意的目光里,也永远不能像a0一样平静地站在舞台的聚光灯下。
“漏洞之王”虽然不善言辞,却践行了一个不言而喻的真理:
依靠自己的智慧合法地赚钱是这个时代最有尊严的生活方式。
