- A+
你想成为百万美元黑客吗?对于大多数起步从事网络安全行业的人来说,他们认为要在黑客这个行当赚取百万美元,可能需要冒着被抓坐牢的风险才行。
或者我们脑海里对黑客的印象一直就是那些非法入侵系统进而非法获取数据信息的人,毫无疑问,这种就是罪犯,是攻击者,老实说,这是一种相当愚蠢的做法。毕竟,现在有很多利用黑客技术来赚钱的方式,比如漏洞众测(Bug Bounty),我们可以做一名白帽黑客,通过发现上报漏洞来赚钱。生活在如今这个数据驱动的时代,可以通过漏洞众测充分利用自身技术来维护网络安全并获取利益,且不会违法。
近期,苹果公司出价100万美元悬赏无需用户交互就能破解iOS内核的技术,另外,漏洞收购平台Zerodium出价200万美元悬赏远程zero-click(零点击)越狱破解苹果手机的技术。与此同时,HackerOne平台中有6位白帽黑客赚取的漏洞赏金已经超过100万美元,他们是如何做到的呢?
白帽黑客组成的漏洞赏金平台-HackerOne
HackerOne平台8月29日宣布,到目前为止,在其平台中有6名注册白帽黑客赚取的漏洞赏金超过100万美元。HackerOne是一个第三方漏洞众测平台,它的客户包括通用汽车、高盛、谷歌、英特尔、微软、Spotify、星巴克、Twitter甚至是美国国防部,HackerOne的宗旨是利用注册的白帽黑客力量先于恶意攻击者利用漏洞之前去发现并堵塞漏洞,白帽黑客在此过程中通过发现漏洞来获得厂商给予的赏金。
HackerOne安全工程师Laurie Mercer透露,HackerOne已经有50万的注册白帽黑客,而且每天会有大约600名的新增注册白帽。目前为止,白帽黑客们通过HackerOne平台已经发现了超过130,000个漏洞。而为漏洞提供赏金的做法也并非新鲜事, Mercer介绍,早在30年前就曾有过悬赏1000美元发现哈勃望远镜操作系统的先例。
随着时代发展,类似的做法也逐渐被人们推广接受。据Laurie Mercer声称,HackerOne已经向来自150个不同国家的白帽黑客支付了近6500万美元的漏洞赏金,迄今为止,HackerOne对单个漏洞的最高支付奖金为10万美元,是2013年第一笔支付赏金的200多倍。据HackerOne的CEO Marten Mickos预测,到2020年底,届时其平台的漏洞赏金发放量将超过1个亿,且HackerOne的注册白帽也将超过100万。
白帽黑客的确是一个有利可图未来可期的行业,如果需要更多的证明,今年举办的黑客夏令营(Hacker Summer Camp)就能说明。今年8月,在Black Hat USA 和 DEFCON会议期间,HackerOne的黑客夏令营之H1-702比赛如期进行,100多名黑客经过为期三天的测试,发现了1000多个漏洞,活动最终发放的漏洞赏金为190万美元。不出所料,前面提到的6名百万美元白帽黑客也参加了此次比赛。
认识6位百万美元白帽黑客
Santiago Lopez(@try_to_hack)
Santiago Lopez,来自阿根廷的19岁白帽,是HackerOne上第一位赚取赏金数超过100万美元的注册黑客。那他当初有没有想过靠挖洞来赚大钱呢?Santiago Lopez说:“当我入门Hacking领域时,对赚钱完全没有概念,当然,现在觉得自己的努力得到认可,这才是非常自豪的事。”
Santiago Lopez因少年时观看的黑客电影而入门安全行业,在2015年,Lopez注册成为HackerOne白帽,他那时才认为还可以通过利用他自己的技术发现漏洞来赚钱。Lopez透露,他自己完全是自学成才,所有的学习渠道来自互联网、在线课程和看书。
他第一笔漏洞赏金来自2016年,并且只有50美元,当时他才16岁。“当时我花了好长时间才发现了这个漏洞,经过了不停地尝试和测试,最后才成功,但也非常值得。”,Lopez回忆到。
Mark Litchfield(@mlitchfield)
来自英国的Mark Litchfield比Lopez年长很多,他被HackerOne尊称为漏洞众测行业的老兵。Mark Litchfield介绍:“在1999年以前,我在苏格兰一条大街上开了个小店卖电脑,当时经营规模不大,很显然,赚不到什么钱。”,后来,Litchfield经其从事安全工作的兄弟David介绍,学习了一个Windows Server NT4的课程,三天后,他去到了伦敦,开始从事安全工作。
后来,Litchfield和兄弟David成立了一家信息安全公司,专注于发现安全漏洞,公司于2000年被收购,之后,他们又重新成立了另一家安全公司,在2008年又被其它大公司收购了。2013年,Litchfield对渗透测试感兴趣,也为了赚点小钱,于是乎他又投身于漏洞众测行业。
Litchfield总是保持一直向前的姿态,他解释道:“对我来说,这就像是一种挑战,总有一种声音在问我:你能搞定吗?所以,我总会不停尝试,最终也都会成功。”
Tommy DeVoss (@dawgyg)
35岁,来自美国,曾在黑客道路中迷失方向犯下错误,2000年,他因窃取AOL账户用于入侵军方系统而被定罪。出狱之后,DeVoss从一份IT工作做起,慢慢改变了自己,后来他发现,可以通过HackerOn来赚钱且完全合法。在H1-702比赛期间,DeVoss就通过发现漏洞获得了13万美元的赏金。
Ron Chan (@ngalog)
28岁,来自中国香港,他热衷于发现一些复杂的入侵测试技术(big tech),他利用这些大招发现了Airbnb、GitLab、PayPal和Uber的多个严重漏洞。Ron Chan表示,Hacking可以向任何有笔记本电脑和好奇心的人敞开一扇大门。
Ron Chan希望他们6名百万级别白帽的成就,能鼓励其他白帽黑客充分发挥他们的技能,成为白帽社区中坚力量的一部分,共同维护互联网安全。如果如Ron Chan这般优秀,你也可以在2019年7月的一个月时间内,赚到7万5千美金。
Nathaniel Wakelam (@nnwakelam)
24岁,来自澳大利亚,也就是大家熟知的Naffy。据HackerOne透露,Nathaniel呆在一个地方不会超过30天,而目前他经常生活在泰国各地。不做漏洞众测的时间里,Nathaniel会随意地去旅游和参加各种聚会。
Nathaniel在小学时就发现了自己的第一个漏洞,随后又发现了700多个漏洞,这深厚的功底让他一直占据HackerOne排行榜的前三位置。还致力于协助Hackers Helping Hackers 慈善社区,引导有技术能力的年轻人入门从事安全行业。另外,他还在一家名为Gravity的安全咨询公司担任首席信息安全官。
Frans Rosen (@fransrosen)
瑞典人,在漏洞赏金猎人身份之外,他还成功经营着自己的网络安全公司,也在多家安全公司担任CEO、CTO和董事会成员。Frans Rosen始终信奉一个观点:Hacking应该为人类服务,并应该回报黑客社区。因此,他也经常将他的漏洞赏金捐献给慈善行业。
白帽黑客面对的诱惑
从另外一个层面来说,在各种黑产盛行的现在,这6名黑客似乎就是一个例外,他们通过自己的技术和努力合法赚钱,但和那些无视法律且追逐最大化利益的黑客来说,这点收入根本好像也算不上什么。
但HackerOne的Laurie Mercer并不这么认为,他强调:对安全研究人员来说,非法出售漏洞于完全不值得,致富之路在于拥有公众声誉,这样你就可以被邀请参加更多的测试项目,发现更多的漏洞,在做你喜欢的事情之余同时也把钱赚到了,还能维护网络安全,这是多么有意思的事。
但有一点我们是可以肯定的:这6名白帽是如何最好地利用黑客技术来赚钱的最好榜样。Laurie Mercer声称,“安全专家通过发现漏洞的获利是传统的软件工程师薪资的40多倍,所以,这无疑是一个新行业的诞生:白帽黑客们通过发现漏洞的方式,在维护网络安全的同时,从而获取丰厚的报酬,也就是我们通常所说的漏洞赏金猎人。”
*参考来源:forbes,clouds编译整理,转载请注明来自FreeBuf.COM