今天中午,雷锋网(公众号:雷锋网)宅客频道编辑小李看到了一篇令人悲伤的新闻——《北京二环一套房,可买美国一个镇》。看到这个标题,小李立马掰着指头数了数自己的工资,在二环买房,起码要几个生命的轮回。
不过,小李买不起,不代表黑客买不起。想起前一阵子,Pwn2Own 比赛刚落幕,看到那一项一项的奖金列表,感觉黑客靠挖漏洞拿奖金真是一个发家致富好路径!
真的有这样的漏洞能让你在北京二环买套房吗?为了探究这个问题,小李盘了盘正经黑客靠漏洞挣钱的几个途径。
1.黑客大赛
黑客界享有盛名的几个黑客大赛奖金都比较丰富。
PwnFest 是韩国POC (Power of Community) 主办的黑客破解大赛。2016 年的 PwnFest 赛事不仅总奖金高达 170 万美元,为历届黑客大赛之最,而且每一个单项项目的奖金也刷新比赛历史上的最高记录。以虚拟化软件 VMware 为例,其奖金为 15 万美元,最后冠军队伍拿到了 53 万美元的奖金。
还有一个奖金特别丰富的比赛。据传,Pwn2Own 是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下 TippingPoint 的项目组 ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
说白了,有这么多著名科技公司在背后支持,感觉钞票要满天飞。
2017 年的 Pwn2Own ,单项破解最高金额是 20 万美元。下图就是2017年的所有参赛战队斩获奖金列表,注意哦!单位是“美元”。
【图片来源:安全牛】
2016年,谷歌也宣布了一项黑客竞赛项目 Zero Prize,以 20 万美元奖金奖励其安卓安全的贡献者。第一名可以拿到最高 20 万美元奖励,第二名可以得到 10 万美元的奖励,同时该安卓安全奖励对其他参与者的奖励也至少有5万美元。
如果你嫌弃这些奖金是“两位数”美元,还有三位数在招手!
2016年,美国国内存在时间最长的黑客大会之一DEF CON举办时,美国国防部高级研究计划局(DARPA)为参与网络挑战赛(CGC)的获胜参赛队伍发放共 400万美元的奖金,给第一名提供 200 万美元的奖金。
Capture The Flag( 简称 CTF ),直译为“夺旗赛”,是一种考量选手网络安全知识素养、解决难题能力和攻防技术水平的比赛。选手需要具备的技能包括密码破译、信息隐藏、二进制分析、逆向工程、移动安全、漏洞挖掘与利用、Web渗透、电子取证、程序编程等。在各大 CTF 赛事中,全球最有影响力的莫过于 DEFCON CTF。
2016年,入围的15支参赛队伍在 CGC 平台上开展了CTF 比拼,来自中国的参赛队伍 b1o0p 拿下了第二名,获得冠军的是来自美国的 PPP 战队。
你看,中国黑客离 200 万美元只有一个队伍的差距嘛,想想是不是很激动?
这样看来,获得冠军的队伍拿下北京二环的一套普通住宅还是没有问题的!
黑客大赛遍地是奖金,一个项目的奖金不够,一个大赛的奖金不够,多参加几个凭借逆天实力与超强漏洞,还是有希望在北京二环过上美好生活的!
2.各大公司的漏洞奖励计划
微软的 BUG 奖励项目已经存在挺长时间的了,不过在 2015 年,微软宣布要对此项目做个升级——向微软报告一个漏洞,最高奖金可以达到 10 万美元——先前奖金最高是到 5 万美元。
2016年,微软发布了一个高危漏洞的补丁,该漏洞由腾讯玄武实验室创建者于旸(TK教主)发现,并将其命名为“BadTunnel”,是目前Windows历史上影响最广泛的漏洞,从 Win95 到 Win10 都受影响。尤其对于微软已不支持的版本(如Win XP),其用户将面临被秘密监控的危险。因此,微软的漏洞奖励计划为其授予 50000 美元的奖金。
【神一样的TK教主】
TK 还和微软的漏洞奖金计划有个小故事,他此前还拿过微软 10万美元的奖金。在图灵访谈里,他是这么自述的:
“2013 年 3 月 8 日,我在 CanSecWest 2013 上介绍了一种通用的绕过 DEP、ASLR 甚至 EMET 的技术,并提出了相应的防御建议——没有直接报告微软是因为此前微软不认为这类问题属于漏洞。
在我公开这个技术后一个多月,微软发布了 EMET v4 Beta,在其中根据我的描述和建议,对这种漏洞利用方法进行了检测防护。但就在新版 EMET 发布后的第二天,我发现这个版本虽然新设计了很多防护功能,但实现上存在重大安全问题,甚至反而会使漏洞利用变的比不装 EMET 更容易。于是我将该问题报告给了微软。
又过了两个月,2013年6月17日,微软发布 EMET v4 正式版,在其中修复了我发现的问题。并在同一天,启动了 Mitigation Bypass Bounty 项目,征集绕过 DEP 和 ASLR 等防御技术的方法,给出了最高 10 万美元的奖金。后来还在官方 Blog 中用我当初提出的技术作为例子,来说明什么样的技术才符合 Mitigation Bypass Bounty 项目的标准。
于是有很多朋友误以微软已经给我发了这个奖,向我表示祝贺。我跟他们说其实没有,并且不太相信微软真的会给奖金,毕竟他们已经坚持了十几年不为漏洞付钱的原则。
但是,2013 年 10 月 8 日,微软公布了 James Forshaw 成为第一个获得 Mitigation Bypass Bounty 的人。我很惊讶,没想到微软转变了风格。然后我告诉老婆:很可能是我之前提出的技术促成微软设立了这个奖,但我却错过了成为第一个拿到奖的人。我老婆表示很可惜,于是我对她说:“你别急,我给你弄一个回来”。
然后我花了一些时间,把之前研究的另一些漏洞利用技术做了实现,发给微软,然后拿回了这个奖。”
TK 曾对雷锋网宅客频道编辑表示,他把历次漏洞奖金都攒着,作为自家小孩的教育基金,除了医学这种耗钱的学科可能有问题(TK 是大夫出身,人称“妇科圣手”),念别的学科应该绰绰有余了!
你看,人家没提想买二环的房子,是不是已经买了?
插一句题外话,4 月雷锋网宅客频道将邀请TK 和他的小伙伴来开一堂线上公开课,你们会不会很激动?
谷歌从 2010 年推出 Bug 赏金计划以来,它已发放了逾 600 万美元奖金。2016年,谷歌向用户推送了 51.0.2704.79版 Chrome。该版本总共修复了15个安全漏洞及其他一些系统漏洞。在这 15 个漏洞中,其中有2个为高级别,它们能让攻击者绕过浏览器的跨源代码执行限制并通过 Blink 引擎及其扩展组件在上面运行恶意代码。谷歌为发现这 2 个漏洞的安全研究员提供了 7.5 万美元的奖金。此外,还有 5 个安全漏洞为中等级别,它们的奖金从 1000 美元到 4000 美元不等。
这里有个小故事。安全研究员桑美•韦德 在2015年 发现谷歌域名 Google.com 尚未注册,于是花费12美元成功买下了这个域名。谷歌原计划给他奖励 6006.13 美元(这个数字看起来与谷歌的拼写很像),这个都不算漏洞,但也在奖励计划内,而且,当该公司发现韦德准备将这笔奖金捐给慈善机构时,它将奖励金额提高了一倍。
苹果公司就更土豪了。
2016年,苹果表示,将向发现软件产品漏洞的相关人员提供最高 20 万美元的奖励。比如,发现安全引导固件组件类漏洞即可获得最高 20 万美元奖励,而那些小修小补,像发现从沙箱进程可访问沙箱以外的用户数据的错误则最多可获得 25000 美元的奖励。
2016年,Facebook 给来自佐治亚理工学院的研究人员颁发了10 万美金,用于奖励后者发现了一种基于浏览器可让内存崩溃的新类别漏洞,同时他们还建立了对应的检测技术。
有了这些互联网巨头在前,不少公司也跟上对漏洞发现者“大大有赏”。比如,口令安全公司 1Password将其漏洞奖励最高奖金从25000 美元提升到了100000 美元。其博客上称,奖金数额的增加,是为了进一步激励研究人员。
国内,各大公司的 SRC 也有漏洞激励计划,不过在奖励金额相对而言没有国外大厂这么多。
某业内人士向雷锋网表示:“据说,腾讯安全应急响应中心(TSRC)每年预算是几百万,包含各类奖金,每年都会有年会,漏洞之王也有十几万元的奖励。蚂蚁金服安全应急响应中心(AFSRC) 对单个漏洞有奖励过最高的 36万。反正,我知道好几个黑客在家专门挖洞,把工作辞职了。”
到底一个漏洞能拿到多少奖励?小李从侧面了解到,这些漏洞奖金的具体数额除了厂商知、黑客知,官方不会刻意具体公开,有些还会签署保密协议。比如,苹果曾在 2016 年搞过一次“鸿门宴”,召集了全球他们看得上的一些 iOS 系统破解人员来聊奖励的事,据一些参加了此次会议的中国黑客向雷锋网透露,这次就签署了保密协定。当然,在一些新闻稿和黑客的社交账号内,也不排除人家会“晒晒晒”。
3.互联网漏洞平台
除了很多大型的科技公司都有自己的漏洞发现奖励制度,如 HackerOne 这种漏洞平台,企业可以在上面花钱找黑客攻击自己,然后发现漏洞。漏洞越大,企业支付的费用越高。
据说,HackerOne 会赚取费用的 20%,剩下的就是黑客自己的佣金。
HackerOne 创始人 Abma 曾在 2016 年在接受猎云网的采访时说:“每发现一个有价值的软件漏洞,客户公司就会为此支付 500 美元到 1000 美元不等。有一些黑客每年能赚 20 万美元,大约有 20 个人每年能赚 10 万美元。我知道有人今年的个人目标是 50 万美元,我相信他可以做到的。”
阿里云云盾先知平台白帽子贡献排行榜排名第一的白帽子 Gr36_ 从 2016 年开始在先知平台活跃,也在国内其他众测平台“挖洞”,Gr36_ 在先知平台已经累计拿到 285950 元的奖金。
在国内漏洞平台补天上,雷锋网发现,总榜排名第一的 carry_your 拿到了 570900 元奖金,他在补天上提交第一个漏洞的时间是 2015 年 1 月 21 日。为此,小李特地采访了 carry_your ,想问问他挖漏洞赚钱的体验,还有大家关注的几个问题。
4.漏洞中间商
著名“网络军火商”Zerodium ( 0day 中间商 )值得单拎出来在这里说一说。Zerodium的商业模式和 Hacking Team 相同,是一家向政府和企业销售安全漏洞套装和间谍工具的供应商。
Zerodium 曾发布过各类从网络罪犯购买然后转售给需求者的目标软件和入侵方法的价格表。雷锋网从 Zerodium 找到了一张价目表。
可以看到,最值钱的是苹果 iOS 的 0day,最高收购价格可达 150 万美元。
据 2015 年的一个报道显示,Zerodium 曾公开表示,例如,如果通过 Internet 浏览器或 Safari 浏览器攻击计算机或远程控制用户的电脑最高可以获取 50000 美元。但如果目标比较困难攻破,像谷歌浏览器,价格将会上升至 80000 美元。如果目标是 Windows 手机设备或安卓系统,那价格将进一步增加至 100000 美元。到目前为止列表上的最高价格是攻击者通过 iOS 攻击赚取了 150000 美元。
Zerodium 还曾在 2015 年悬赏过,iOS 9 前三个 0day 漏洞能够获得每个漏洞都可获得最高 100 万美元的奖金。
据公开资料,Zerodium 的创始人名叫贝克拉 (Chaouki Bekrar),除了这家安全公司之外,他还在法国巴黎开办了一家名为 Vupen 的公司。这家法国公司的业务颇受争议,他们专门开发针对知名软件的攻击手段,然后将漏洞和攻击方式转让给全世界的政府情报部门。
5.黑市和黑产(违法途径)
黑客唐青昊在大学期间,曾做过一个软件,被人购买后,他无意中得知,购买控制软件的这个人把软件用在了“灰色地带”。仅仅一个月的时间,就赚到了一个天文数字,唐青昊自此对此深恶痛绝。
这还只是一个控制软件,并不是漏洞,甚至不是人人盯着的 0day 。
洋葱网络Tor中曾出现了一个名为 TheRealDeal 的地下市场,为买卖双方提供了的 0day 漏洞交易的服务。黑市的漏洞价格其实可以参考 Zerodium 发布的价格表,可能差不多,但也有业内人士表示,黑市价格应该比 Zerodium 发布的价格表更高。
“如果台面上的价格等于黑市价格,那大家干嘛还拿去黑市卖,还有风险。”该业内人士对雷锋网说。
知道创宇超级安全体检团队负责人王宇曾在《南方都市报》的一篇报道里提到,“我看过的黑市叫价最贵的漏洞达到300万元以上”。
不过,雷锋网要提醒的是,这并不是什么正当途径,不是发家致富的好路子,切莫伸手。
致谢:腾讯安全云鼎实验室的安全研究员张祖优(Fooying)对该文撰写提供了帮助。
本文作者:李勤
本文转自雷锋网禁止二次转载,原文链接