你想成为百万美元黑客吗?对于大多数起步从事网络安全行业的人来说,他们认为要在黑客这个行当赚取百万美元,可能需要冒着被抓坐牢的风险才行。
或者我们脑海里对黑客的印象一直就是那些非法入侵系统进而非法获取数据信息的人,毫无疑问,这种就是罪犯,是攻击者,老实说,这是一种相当愚蠢的做法。毕竟,现在有很多利用黑客技术来赚钱的方式,比如漏洞众测(Bug Bounty),我们可以做一名白帽黑客,通过发现上报漏洞来赚钱。生活在如今这个数据驱动的时代,可以通过漏洞众测充分利用自身技术来维护网络安全并获取利益,且不会违法。
近期,苹果公司出价100万美元悬赏无需用户交互就能破解iOS内核的技术,另外,漏洞收购平台Zerodium出价200万美元悬赏远程zero-click(零点击)越狱破解苹果手机的技术。与此同时,HackerOne平台中有6位白帽黑客赚取的漏洞赏金已经超过100万美元,他们是如何做到的呢?
白帽黑客组成的漏洞赏金平台-HackerOneHackerOne平台8月29日宣布,到目前为止,在其平台中有6名注册白帽黑客赚取的漏洞赏金超过100万美元。HackerOne是一个第三方漏洞众测平台,它的客户包括通用汽车、高盛、谷歌、英特尔、微软、Spotify、星巴克、Twitter甚至是美国国防部,HackerOne的宗旨是利用注册的白帽黑客力量先于恶意攻击者利用漏洞之前去发现并堵塞漏洞,白帽黑客在此过程中通过发现漏洞来获得厂商给予的赏金。
HackerOne安全工程师Laurie Mercer透露,HackerOne已经有50万的注册白帽黑客,而且每天会有大约600名的新增注册白帽。目前为止,白帽黑客们通过HackerOne平台已经发现了超过130,000个漏洞。而为漏洞提供赏金的做法也并非新鲜事, Mercer介绍,早在30年前就曾有过悬赏1000美元发现哈勃望远镜操作系统的先例。
随着时代发展,类似的做法也逐渐被人们推广接受。据Laurie Mercer声称,HackerOne已经向来自150个不同国家的白帽黑客支付了近6500万美元的漏洞赏金,迄今为止,HackerOne对单个漏洞的最高支付奖金为10万美元,是2013年第一笔支付赏金的200多倍。据HackerOne的CEO Marten Mickos预测,到2020年底,届时其平台的漏洞赏金发放量将超过1个亿,且HackerOne的注册白帽也将超过100万。
白帽黑客的确是一个有利可图未来可期的行业,如果需要更多的证明,今年举办的黑客夏令营(Hacker Summer Camp)就能说明。今年8月,在Black Hat USA 和 DEFCON会议期间,HackerOne的黑客夏令营之H1-702比赛如期进行,100多名黑客经过为期三天的测试,发现了1000多个漏洞,活动最终发放的漏洞赏金为190万美元。不出所料,前面提到的6名百万美元白帽黑客也参加了此次比赛。
认识6位百万美元白帽黑客Santiago Lopez(@try_to_hack)Santiago Lopez,来自阿根廷的19岁白帽,是HackerOne上第一位赚取赏金数超过100万美元的注册黑客。那他当初有没有想过靠挖洞来赚大钱呢?Santiago Lopez说:“当我入门Hacking领域时,对赚钱完全没有概念,当然,现在觉得自己的努力得到认可,这才是非常自豪的事。”
Santiago Lopez因少年时观看的黑客电影而入门安全行业,在2015年,Lopez注册成为HackerOne白帽,他那时才认为还可以通过利用他自己的技术发现漏洞来赚钱。Lopez透露,他自己完全是自学成才,所有的学习渠道来自互联网、在线课程和看书。
他第一笔漏洞赏金来自2016年,并且只有50美元,当时他才16岁。“当时我花了好长时间才发现了这个漏洞,经过了不停地尝试和测试,最后才成功,但也非常值得。”,Lopez回忆到。
Mark Litchfield(@mlitchfield)来自英国的Mark Litchfield比Lopez年长很多,他被HackerOne尊称为漏洞众测行业的老兵。Mark Litchfield介绍:“在1999年以前,我在苏格兰一条大街上开了个小店卖电脑,当时经营规模不大,很显然,赚不到什么钱。”,后来,Litchfield经其从事安全工作的兄弟David介绍,学习了一个Windows Server NT4的课程,三天后,他去到了伦敦,开始从事安全工作。
后来,Litchfield和兄弟David成立了一家信息安全公司,专注于发现安全漏洞,公司于2000年被收购,之后,他们又重新成立了另一家安全公司,在2008年又被其它大公司收购了。2013年,Litchfield对渗透测试感兴趣,也为了赚点小钱,于是乎他又投身于漏洞众测行业。
Litchfield总是保持一直向前的姿态,他解释道:“对我来说,这就像是一种挑战,总有一种声音在问我:你能搞定吗?所以,我总会不停尝试,最终也都会成功。”
Tommy DeVoss (@dawgyg)