一直以来,漏洞悬赏对程序员来说都更像是茶余饭后的消遣,但随着微软漏洞奖金提升计划到 25 万美元,开始有人担心快速膨胀的奖金会为年轻的网络安全研究者带来错误的激励,此举更是会扭曲白帽子市场的秩序。
“如果挖个漏洞就能赚的盆满钵满,恐怕就没人会专心修复漏洞了。”安全研究者 Katie Moussouris 说道,她就是微软首个漏洞赏金项目的负责人。
“那些原本在公司里赚工资搞代码维护的人现在都坐不住了,他们纷纷转行成了全职的挖漏洞的白帽子,靠奖金来养活自己。”Moussouris 总结道。
“选择做黑客虽然动机各不相同,但大多数都受三个因素影响。”她解释道。其中包括经济补偿、同行认可和追求智力上的快感。也就是说,走上黑客之路肯定有一部分原因是出于爱好。
除了在漏洞悬赏界的丰富经验,Moussouris 还专门花了几年时间来分析数据,主题就与漏洞赏金项目和市场的其他特点有关。结果显示,防守型漏洞市场已经高度等级化,那些挖漏洞技巧致臻化境的一小部分黑客拿走了大部分赏金,其他人能跟着喝喝汤就不错了。
雷锋网了解到,赏金项目经理 HackerOne 提供的数据集显示,占参与总数 5% 的白帽子发现了 23% 的漏洞,而 Facebook 等公司运营的漏洞赏金项目也呈现出这样的趋势。
在这样的市场氛围下,怎么会有人愿意放下能赚大钱的挖漏洞赚赏金机会,转去公司挣死工资呢?
风险溢价
在美国,“一位才华横溢的漏洞挖掘者一年找到多个价值 10 万美元的 Bug 并非不可能,也就是说,光靠吃赏金他就能赚到 50-100 万美元。”安全架构师 Alex Ionescu 说道。不过他还加了一句,那就是想靠赏金吃饭,风险和成本也相当可观。
首先,虽然宣传说赏金高达 10 万美元,但通常这是上限,黑客很难拿到这个数。其次,“值这个价的漏洞可并非满地都是,即使技术高超,可能也要花数月甚至数年来寻找。”而且别忘了,参与赏金项目的可不是一位黑客,如果别人率先找到漏洞,你数个月的努力可能就会前功尽弃。别忘了,厂商也在积极寻找漏洞,而它们比黑客们更了解自己的产品。
此外,如果你要靠漏洞赏金过活,还得考虑自己的医疗保险和养老金等问题。
在美国,到底选择那条路还是看个人,毕竟在公司可以有自己的社交并学着与他人合作和相互学习,不过对有些人来说这些所谓的好处他们并不在意。
综合各种因素来说,Ionescu 认为在美国如果一年赚不到 50-100 万美元的赏金,你还是放弃专职做漏洞挖掘者的想法吧。
黑市是个什么情况?
雷锋网发现,如果你愿意破坏道德底线,将发现的漏洞卖给犯罪组织或情报机构,在黑市上拿 50-100 万美元的赏金并不难。
消费者联合会隐私与技术政策主管 Justin Brookman 指出,“进攻型”市场的钱袋子可比防御型或白帽市场鼓的多。不过,做这种黑心活可得不到什么公共认同,一些漏洞挖掘者也会觉得这种灰色领域还是不碰为好。
在 Ionescu 看来,白帽子市场的错误激励其实并非那些奖池巨大的漏洞赏金项目。相反,“蚊子肉”项目带来的影响更坏,它让许多印度和中国挖漏洞的人上了“贼船”。
也就是说,高薪国家派出的任务可能会被经济不发达国家的黑客领走,对他们来说这些“蚊子肉”赏金可能也是巨款。如果这种情况继续下去,可能会对教育和就业的平衡产生重大影响。
最后,Brookman 指出,科技公司不应该只把钱投在漏洞赏金项目上,它们更应该寻找如何设计没有漏洞产品的方式。“至少从现在来看,它们的钱和资源并没有用在前端代码的纠正上,这才导致了后续漏洞的接连出现。”Brookman 解释道。
雷锋网Via.CyberScoop
领取专属 10元无门槛券
私享最新 技术干货