白帽黑客的大生意

當(dāng)黑客發(fā)現(xiàn)安全漏洞后不再把它們拿到黑市上去賣，而是警告企業(yè)進(jìn)行修復(fù)時，雙方緊張的關(guān)系就已經(jīng)悄然變化了。只是彼此間的信任仍舊很難建立，而荷蘭小伙Michiel Prins和Jobert Abma的生意，就是構(gòu)建這種溝通橋梁。

發(fā)起于網(wǎng)線另一端的“濫殺”

黑客，嚴(yán)格意義上來說是一種“自由職業(yè)者”，同時也是全球性質(zhì)的雇傭兵。接收到一封可靠的郵件和一筆預(yù)付金，就可以在自己的小房間里開始工作了——也就是發(fā)起網(wǎng)絡(luò)攻擊。比較典型的，就是剛剛結(jié)束不久的全球黑客大混戰(zhàn)事件。今年5月底，南海態(tài)勢的不斷升級引發(fā)越菲兩國在網(wǎng)絡(luò)上掀起了一波針對我國的黑客攻勢。他們在Facebook、Twitter等社交媒體上進(jìn)行大范圍煽動，并招募了大批海外（主要是美國）黑客，準(zhǔn)備在5月30日中午，對中國發(fā)動代號為“OP China”的網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)戰(zhàn)爭開始之后不久，事態(tài)就到了失控的邊緣。因為攻擊目標(biāo)大多是政府、教育機(jī)構(gòu)、企業(yè)的網(wǎng)站，防護(hù)能力相對薄弱，可以利用的漏洞也多，所以初期有不少網(wǎng)站出現(xiàn)了異常。而國內(nèi)的紅客團(tuán)體的反擊也非常迅速，越南和美國的黑客先后支撐不住。這段時期的戰(zhàn)斗最為激烈，高峰時期的攻擊數(shù)達(dá)到了5萬。但很快，人們發(fā)現(xiàn)苗頭有點(diǎn)不對。越來越多的國家被卷了進(jìn)來。先是俄羅斯開始攻擊美國，而后烏克蘭也加入戰(zhàn)斗；隨著葡萄牙無辜躺槍，歐洲戰(zhàn)區(qū)也打成了一片火海……

所有人都覺得，在越菲挑起黑客大戰(zhàn)后，這會變成中美兩國黑客的炫技大賽。而實際上，根據(jù)全球黑客實時監(jiān)控網(wǎng)站Norse的數(shù)據(jù)顯示，在大混戰(zhàn)后期，美國的被攻擊點(diǎn)達(dá)到了中國攻擊發(fā)起點(diǎn)的6倍，同時韓國攻擊中美的攻擊點(diǎn)幾乎同樣多，這意味著黑客攻擊已經(jīng)進(jìn)入了一種完全無序的狀態(tài)。戰(zhàn)爭來得快也去得快，可在這場暴力狂歡背后，有無數(shù)的人被卷了進(jìn)來，他們的損失無人埋單。而參戰(zhàn)者中，有很多都是沒拿到傭金的“志愿者”。

非法、沒有報酬，而且全無益處，這種費(fèi)力不討好的事情，黑客們做過很多。當(dāng)然他們可能會說這只是一個愛好，在發(fā)動攻擊以外，他們還有自己的正常生活。但如果這個愛好能被洗白，甚至比以前更賺錢，而且不必?fù)?dān)心會惹上大婁子，豈不是再好不過？

黑客的商業(yè)價值

黑客就像是躲在網(wǎng)上的間諜，每天都會研究各個目標(biāo)網(wǎng)站的代碼和更新數(shù)據(jù)，準(zhǔn)備從里面發(fā)現(xiàn)可以利用的漏洞，然后把它們拿到網(wǎng)絡(luò)黑市上去賣。只有少數(shù)黑客會自己把漏洞利用起來。畢竟在他們自己手中，漏洞的價值往往并不高。除非一些頂級黑客，為了獲得更有價值的信息，會把自己編寫的木馬程序種到漏洞中。

不同等級的黑客，賺錢的方法也各不相同，而最為普遍的就是上面所說的模式。有人可以只編寫木馬軟件，就有公司出上千萬年薪養(yǎng)著；也有人負(fù)責(zé)在木馬截獲的相關(guān)情報中提取有價值的信息——他們頂多算是最初級的黑客。而對于攻擊目標(biāo)，也就是網(wǎng)站所有方而言，任何一種黑客都是站在對立面的。因為如果把黑客行為視為一種綁架，那提供了“肉票”位置信息的黑客們，雖不是犯罪的直接發(fā)起人，但卻是最重要的一環(huán)。所以被攻擊方和黑客們的交流幾乎為零，以至于這些天才們永遠(yuǎn)都只會為被攻擊者的敵人效力。

但這場較量中的三方都忽略了一個事實，那就是除了攻擊者需要這些漏洞外，被攻擊者同樣需要——甚至可能更需要。去年年初，蘋果曾非常頻繁地更新自己的iOS系統(tǒng)，原因就在于那段時間漏洞出現(xiàn)得非常多。漏洞解決不了，很可能會導(dǎo)致一系列惡性事件，比如用戶隱私泄露，甚至導(dǎo)致蘋果總部受到攻擊和控制。所以曾有黑客嘗試著在發(fā)現(xiàn)漏洞后去聯(lián)系企業(yè)，但大部分企業(yè)選擇了忽視警告，或者是一聲不吭進(jìn)行了緊急修復(fù)，導(dǎo)致了黑客的工作完全得不到回報。

對于企業(yè)而言，這種對待方式是無比愚蠢的。因為覬覦這些漏洞的不只有黑客和普通的攻擊者，他們背后可能藏著更大更可怕的組織，比如政府。有些發(fā)現(xiàn)漏洞的黑客可以把相關(guān)信息賣給政府部門，酬勞高低要看這家企業(yè)是不是重點(diǎn)照顧對象，以及漏洞的危險系數(shù)，有時候能高達(dá)數(shù)十萬美元。而這些漏洞會被政府保存在“網(wǎng)絡(luò)武器庫”中，在需要對該企業(yè)發(fā)動攻擊時，就會被重新拿出來利用。而政府支付了酬金，就意味著他們擁有了這個漏洞的“所有權(quán)”，黑客無法再把相關(guān)信息轉(zhuǎn)賣給企業(yè)。這意味著一旦走到這一步，漏洞往往永遠(yuǎn)都不會被發(fā)現(xiàn)或修復(fù)，直到被攻擊的那一天。

曾有一名黑客把一個關(guān)于iOS操作系統(tǒng)的漏洞賣給了一家美國政府機(jī)構(gòu)，拿到了100萬美元的酬勞。但如果他把這個信息通知蘋果公司，也許不會被報警通緝，但肯定是拿不到一分錢的。企業(yè)將黑客行為默認(rèn)為一種犯罪，卻忘了在他們把漏洞Bug掛到網(wǎng)上去賣之前，其所做的不過是篩查出了網(wǎng)站中可能被攻擊的薄弱區(qū)域。想讓這層堅冰破開，首先要做的是幫黑客們把頭頂?shù)暮谏弊诱聛怼?/p>

擱淺的挑釁，成功的革命

在成立HackerOne公司之前，Michiel Prins和Jobert Abma這兩位年輕的荷蘭黑客，本來是打算黑掉100家高科技公司的。他們整理出了100家系統(tǒng)存在安全漏洞的企業(yè)，其中包括Facebook、谷歌、蘋果、微軟和Twitter五大巨頭。不過在把這份名為“Hack 100”的清單當(dāng)成“戰(zhàn)書”下發(fā)給這100家企業(yè)的高管時，有三分之一的人選擇了忽略警告，另有三分之一表達(dá)了感謝，并沒有去管這些漏洞，而剩下的人則趕緊去把漏洞修復(fù)了。值得一提的是，這100家企業(yè)出于對他們的感謝，沒有一個選擇報警。在2011年的大環(huán)境下，擅自挖掘企業(yè)的漏洞仍然屬于犯罪行為。

這件事給了倆人一個啟示，那就是企業(yè)對黑客們提供的這項服務(wù)心存感激，所以黑客們完全可以給企業(yè)提供有償?shù)穆┒此褜と蝿?wù)。所以他們聯(lián)合另外一個住在硅谷的荷蘭人Merijn Terheggen，共同創(chuàng)辦了HackerOne。而后在警告Facebook時，他們遇到了時任Facebook產(chǎn)品安全主管的Alex Rice。Rice請他們吃了一頓午餐，商討解決了存在的Bug問題，然后代表公司支付給了這些黑客4000美元的賞金。最后，他成了HackerOne的第四個合伙人。

HackerOne的運(yùn)作方式非常簡單，他們一方面負(fù)責(zé)說服黑客們報告所發(fā)現(xiàn)的安全漏洞，而不是加以利用或者出售，另一方面則要讓更多企業(yè)加入到自己的聯(lián)盟，愿意為尚未公布的自身漏洞買單。換句話說，漏洞發(fā)現(xiàn)者可以放心大膽地把漏洞信息賣給企業(yè)自身，而不必到處找賣家，同時還不必再擔(dān)心自己身份暴露后會吃官司。同時企業(yè)也可以通過支付有限的“學(xué)費(fèi)”來完善自己網(wǎng)站的漏洞，從而避免被競爭對手或其他人抓住命門。HackerOne則會從每一筆在自己平臺上完成的“漏洞-賞金”交易中，抽取20%作為傭金。

去年這家創(chuàng)業(yè)公司已經(jīng)說服了雅虎、Twitter、Square等科技公司使用他們的服務(wù)，此外其客戶群中還有一些你根本想不到的公司，譬如銀行、石油等行業(yè)的龍頭老大。因為當(dāng)今的大格局已經(jīng)擺在了面前：全世界有數(shù)十萬臺聯(lián)網(wǎng)設(shè)備，其中有相當(dāng)一部分存在缺陷。至于缺陷的嚴(yán)重性有多高，只有那些有專業(yè)黑客能力的人才可以進(jìn)行判斷。所以給這些人支付工資，也是對他們勞動價值的肯定。

“有能力的黑客能收到回報，從而讓他們有一個受保護(hù)的、可靠的職業(yè)。而企業(yè)方也能主動避免被黑的可能，畢竟除了白帽黑客之外，還有更多人是抱著攻擊的目的去發(fā)掘漏洞的。而我們的工作，不過是讓這件雙贏的事情變得更為簡單。”HackerOne的首席政策官Katie Moussouris如是說。

一位不愿意透露姓名的18歲黑客表示，他從13歲就在好奇心的驅(qū)使下開始入侵PayPal和Facebook，并在PayPal找到了10個漏洞，這些漏洞幫他賺到了5000美元。而加入HackerOne之后，他仍然做著自己感興趣的事，迄今為止他已經(jīng)靠幫26家企業(yè)尋找漏洞，賺到了40000美元。曾有中間人建議他把發(fā)現(xiàn)的一個漏洞賣出去，對方已經(jīng)把價開到了3000美元。但他說：“你不知道他們會如何利用這個漏洞，或者都有誰會利用它。而且他不許我跟別人提這個漏洞是我發(fā)現(xiàn)的，那實在是太無趣了。”

“Secret先生”們的第二張面孔

其實企業(yè)獎勵黑客發(fā)現(xiàn)漏洞的機(jī)制，很早之前就已經(jīng)有了。譬如5年前谷歌開始向黑客支付3133.7美元，來購買重要的漏洞信息。31337是黑客的行話，代表的是“精英”。但肯這樣花錢的公司只是少數(shù)，更多的管理層只希望用口頭表揚(yáng)等榮譽(yù)性獎勵，或者是一些紀(jì)念品，來搪塞黑客。譬如曾有兩名黑客點(diǎn)名批評了雅虎的安全主管Ramses Martinez，因為他用兩件T恤換走了4個價值數(shù)千美元的安全漏洞。

作為該公司最早的一批受益者，Rice認(rèn)為HackerOne的重要性非比尋常。“所有技術(shù)都有漏洞，如果你沒有一個公開的渠道讓負(fù)責(zé)任的黑客報告這些漏洞，那你就會在通過黑市發(fā)起的網(wǎng)絡(luò)攻擊中和他們照面。這顯然是最壞的結(jié)果。”

HackerOne給目前的經(jīng)營模式起名為“漏洞發(fā)現(xiàn)獎勵模式”（moderated bug bounty programs），其采取的是現(xiàn)在比較流行的反向刺激模式。黑客擔(dān)心會血本無歸，甚至暴露身份被投進(jìn)監(jiān)獄；公司方則怕漏洞落到真正能構(gòu)成威脅的人手里，對企業(yè)造成更加無法挽回的損失。而HackerOne在確保雙方進(jìn)行公平公正交易的同時，還可以幫助進(jìn)行風(fēng)險評估和定價的工作，讓雙方在進(jìn)行交易時更加放心彼此。

進(jìn)入了這個平臺的黑客們，就等于是戴上了一頂白帽子。他們的工作內(nèi)容完全沒變，仍然是在各個網(wǎng)站上搜尋可能被攻破的薄弱區(qū)域，以及那些可以被木馬軟件利用的系統(tǒng)漏洞。不過他們工作的性質(zhì)已經(jīng)發(fā)生了徹底變化，從之前隱藏在背后的攻擊者，變成了網(wǎng)站的守護(hù)者。這份工作顯然會得到更多人的支持，而且獲得的報酬并不會比以前明顯減少。而且黑客們發(fā)現(xiàn)了漏洞后完全不必再為出售而操心，因為買主只有一個，那就是企業(yè)自己。

為這個公司帶來了900萬美元投資的Bill Gurley相信，未來使用這類服務(wù)會成為一種主流。特別是那些科技公司，他們完全可以把網(wǎng)站維護(hù)的開支省出來，然后發(fā)給在HackerOne里為他們工作的1500名黑客。當(dāng)然，這個行業(yè)不會吸引來全部的黑客，會有相當(dāng)一部分人仍然想做最傳統(tǒng)的黑客生意。但HackerOne的重心只是維護(hù)好合作伙伴們彼此的利益，而不會去想方設(shè)法吸引那些對洗白自己不感興趣的純黑客——一旦他們消失了或減少了，漏洞的修復(fù)價值也會相對變?nèi)酰@對于甘愿站在企業(yè)這邊的黑客們來說，絕對不是一件好事。

對于一個剛剛成型的行業(yè)來說，想保持微妙的平衡是非常困難的。不過至少目前來看，安全漏洞披露行業(yè)還是非常穩(wěn)定的。而且HackerOne的幾位合伙人多點(diǎn)開花，分別在Facebook和微軟等企業(yè)，嘗試了針對性更強(qiáng)的定制化漏洞發(fā)現(xiàn)獎勵方案，都大獲成功。合作品牌相信花錢獎勵漏洞舉報者是一件“不需要動腦子的聰明事”，只不過還需要慢慢接受一個事實，那就是曾經(jīng)的敵人現(xiàn)在已經(jīng)成了密不可分的合作伙伴。

程序猿玩“大家來找茬”

在越來越多的大公司開始選擇HackerOne的服務(wù)時，大部分企業(yè)也開始打消自己的疑慮了。在科技公司俯拾皆是的硅谷，這種傳播方式的效率非常高，越來越多的企業(yè)成了它的合作伙伴，同時還涌現(xiàn)出了一批競爭對手。首先越來越多的品牌開始籌備自己的漏洞發(fā)現(xiàn)獎勵平臺，而且不僅是市面上的主流科技公司，聯(lián)合航空這種需要對客戶信息進(jìn)行嚴(yán)格保密的公司，同樣啟動了自己的獎勵計劃。

甚至普通人也可以從這類平臺上獲得獎賞。Twitter表示任何人提交了有效Bug都能獲得至少140美元的酬勞。還曾有一個人在坐飛機(jī)時，發(fā)現(xiàn)了Wi-Fi系統(tǒng)中存在的一個漏洞，當(dāng)即發(fā)表在了自己的Twitter賬號上。隨后不久，航空公司贈送給了他免費(fèi)的旅客優(yōu)惠里程，并通過短信的方式表達(dá)了感謝。

另一方面，市面上也有許多更為直接的競爭對手，比如會跟企業(yè)收年費(fèi)進(jìn)行管理的Bugcrowd。而HackerOne的優(yōu)勢在于，它是這一模式的鼻祖，所以也招攬到了第一批擁有這方面意向的企業(yè)和黑客們。在HackerOne這種模式出現(xiàn)之前，有能力修復(fù)漏洞的人，往往會選擇把漏洞留在那里任人攻擊。因為只有問題發(fā)展得更為嚴(yán)重了，他們自身的價值才能體現(xiàn)出來。而HackerOne的做法是獎勵那些永遠(yuǎn)不泄漏漏洞的黑客，并讓他們相信這么做是正確的。

HackerOne匯聚了聲譽(yù)最好的黑客們。截至今年6月，這一千多名黑客一共發(fā)現(xiàn)了9000多個漏洞，共賺取了大約300萬美元的傭金。而合作企業(yè)選擇它還有一個緣由，那就是除了發(fā)現(xiàn)漏洞外，黑客們還會幫著做一些其他事情。比如報稅、支付等文書工作，他們同樣可以代勞。

但在一片祥和背后我們也得想到一種情況：任何時候都會有愣頭青出現(xiàn)。死活不肯買賬的公司大有人在，比如蘋果公司。如上文所說，美國政府曾花100萬美元買了蘋果系統(tǒng)的一個漏洞，而從今年年初至今，蘋果一共出現(xiàn)了大概100多個漏洞，其中甚至包括可能泄露用戶密碼的高危漏洞。可蘋果就是堅持不和漏洞發(fā)現(xiàn)者合作，而是一再更新自己的系統(tǒng)，現(xiàn)在在黑市上，一個含金量高的蘋果系統(tǒng)漏洞能賣到50萬美元。

今日的漏洞買賣已經(jīng)成了一條非常成熟的產(chǎn)業(yè)鏈，黑客們只是其中一角。當(dāng)有人把你家網(wǎng)站確認(rèn)成了攻擊目標(biāo)，那就會派指定黑客對它進(jìn)行全面性掃描，從而找到可乘之機(jī)。他們甚至可以從空調(diào)系統(tǒng)入手，入侵到整個公司的支付系統(tǒng)中。譬如美國政府和以色列政府聯(lián)合開發(fā)的Stuxnet蠕蟲病毒，就曾經(jīng)利用多個系統(tǒng)漏洞，破壞了目標(biāo)清單中的一臺伊朗鈾離心機(jī)。

HackerOne這類公司的出現(xiàn)，無疑成了這類漏洞購買者的絆腳石。美國政府正準(zhǔn)備修改《瓦森納協(xié)定》，要求研究人員在向協(xié)定簽署國以外國家的公司提交漏洞信息前，需要先獲得國家相關(guān)部門的許可。這樣一來，美國黑客的漏洞發(fā)現(xiàn)獎勵業(yè)務(wù)，就會大大受限。假如HackerOne在和花旗銀行進(jìn)行合作時，發(fā)現(xiàn)的漏洞居然要先上報給國家，這樣花旗肯定是不會同意的。

兩個黑客出身的年輕人，一方面尋找著別人網(wǎng)站中的漏洞，另一方面找準(zhǔn)了自身所處行業(yè)的“漏洞”，他們創(chuàng)辦的HackerOne即便稱不上改變歷史，至少也是幫全世界躲起來干活兒的黑客們找到了更好的出路。盡管因為各種各樣的因素，其發(fā)展過程勢必會比最初波折許多，但我們相信在不久的將來，“黑客”將不再是一個貼有貶義標(biāo)簽的詞。

編輯·劉海星