漏洞市場賞金飆升,但也得回頭看看自己的巨大漏洞
一直以來,漏洞懸賞對程序員來說都更像是茶餘飯後的消遣,但隨著微軟漏洞獎金提升計划到 25 萬美元,開始有人擔心快速膨脹的獎金會為年輕的網路安全研究者帶來錯誤的激勵,此舉更是會扭曲白帽子市場的秩序。
「如果挖個漏洞就能賺的盆滿缽滿,恐怕就沒人會專心修復漏洞了。」安全研究者 Katie Moussouris 說道,她就是微軟首個漏洞賞金項目的負責人。
「那些原本在公司里賺工資搞代碼維護的人現在都坐不住了,他們紛紛轉行成了全職的挖漏洞的白帽子,靠獎金來養活自己。」Moussouris 總結道。
「選擇做黑客雖然動機各不相同,但大多數都受三個因素影響。」她解釋道。其中包括經濟補償、同行認可和追求智力上的快感。也就是說,走上黑客之路肯定有一部分原因是出於愛好。
除了在漏洞懸賞界的豐富經驗,Moussouris 還專門花了幾年時間來分析數據,主題就與漏洞賞金項目和市場的其他特點有關。結果顯示,防守型漏洞市場已經高度等級化,那些挖漏洞技巧致臻化境的一小部分黑客拿走了大部分賞金,其他人能跟著喝喝湯就不錯了。
雷鋒網了解到,賞金項目經理 HackerOne 提供的數據集顯示,占參與總數 5% 的白帽子發現了 23% 的漏洞,而 Facebook 等公司運營的漏洞賞金項目也呈現出這樣的趨勢。
在這樣的市場氛圍下,怎麼會有人願意放下能賺大錢的挖漏洞賺賞金機會,轉去公司掙死工資呢?
風險溢價
在美國,「一位才華橫溢的漏洞挖掘者一年找到多個價值 10 萬美元的 Bug 並非不可能,也就是說,光靠吃賞金他就能賺到 50-100 萬美元。」安全架構師 Alex Ionescu 說道。不過他還加了一句,那就是想靠賞金吃飯,風險和成本也相當可觀。
首先,雖然宣傳說賞金高達 10 萬美元,但通常這是上限,黑客很難拿到這個數。其次,「值這個價的漏洞可並非滿地都是,即使技術高超,可能也要花數月甚至數年來尋找。」而且別忘了,參與賞金項目的可不是一位黑客,如果別人率先找到漏洞,你數個月的努力可能就會前功盡棄。別忘了,廠商也在積極尋找漏洞,而它們比黑客們更了解自己的產品。
此外,如果你要靠漏洞賞金過活,還得考慮自己的醫療保險和養老金等問題。
在美國,到底選擇那條路還是看個人,畢竟在公司可以有自己的社交並學著與他人合作和相互學習,不過對有些人來說這些所謂的好處他們並不在意。
綜合各種因素來說,Ionescu 認為在美國如果一年賺不到 50-100 萬美元的賞金,你還是放棄專職做漏洞挖掘者的想法吧。
黑市是個什麼情況?
雷鋒網發現,如果你願意破壞道德底線,將發現的漏洞賣給犯罪組織或情報機構,在黑市上拿 50-100 萬美元的賞金並不難。
消費者聯合會隱私與技術政策主管 Justin Brookman 指出,「進攻型」市場的錢袋子可比防禦型或白帽市場鼓的多。不過,做這種黑心活可得不到什麼公共認同,一些漏洞挖掘者也會覺得這種灰色領域還是不碰為好。
在 Ionescu 看來,白帽子市場的錯誤激勵其實並非那些獎池巨大的漏洞賞金項目。相反,「蚊子肉」項目帶來的影響更壞,它讓許多印度和中國挖漏洞的人上了「賊船」。
也就是說,高薪國家派出的任務可能會被經濟不發達國家的黑客領走,對他們來說這些「蚊子肉」賞金可能也是巨款。如果這種情況繼續下去,可能會對教育和就業的平衡產生重大影響。
最後,Brookman 指出,科技公司不應該只把錢投在漏洞賞金項目上,它們更應該尋找如何設計沒有漏洞產品的方式。「至少從現在來看,它們的錢和資源並沒有用在前端代碼的糾正上,這才導致了後續漏洞的接連出現。」Brookman 解釋道。
雷鋒網Via.CyberScoop
TAG:雷鋒網 |