谁不想成为一名百万富翁的黑客呢?对于大多数起步从事网络安全行业的人来说,他们认为要在黑客这个行当赚取百万美元,可能需要冒着被抓坐牢的风险才行。
或许,你对黑客的理解还是非法闯入某些人的电脑或账户获取数据信息的人吗?其实对于他们,我通常称之为罪犯、凶手,而不是黑客,老实说他们也很愚蠢。毕竟,现在有很多利用黑客技术来赚钱的方式,比如漏洞众、奖金悬赏等等,我们可以做一名白帽黑客,通过发现上报漏洞来赚钱。生活在如今这个数据驱动的时代,可以通过漏洞众测充分利用自身技术来维护网络安全并获取利益,且不会违法。
像苹果公司,他们已经在全世界范围内宣布可以向任何可以破解Iphone的IOS内核而无需用户点击的人提供100万美元(折合710万人民币)。漏洞收购平台Zerodium也提出将提供200万美元( 折合1420万人民币)给任何可以对Iphone实现0点击越狱的人。另外,在HackerOne漏洞赏金平台,现在已经有六名黑客收入超一百万美元。他们是如何做到的呢?
HackerOne于19年8月宣布,六名注册了该漏洞赏金平台的黑客截至目前已经实现每人收入超过100万美元。HackerOne是一个第三方漏洞众测平台,它的客户包括通用汽车、高盛、谷歌、英特尔、微软、Spotify、星巴克、Twitter甚至是美国国防部,HackerOne的宗旨是利用注册的白帽黑客力量先于恶意攻击者利用漏洞之前去发现并修复漏洞,白帽黑客在此过程中通过发现漏洞来获得厂商给予的赏金。
HackerOne的安全工程师Laurie Mercer说:“ HackerOne已经拥有500万注册黑客,每天都会有600多名新用户的加入。到目前为止,他们已经发现了13万多个漏洞。” 而为漏洞提供赏金的做法也并非新鲜事, Mercer介绍,早在30年前就曾有过悬赏1000美元发现哈勃望远镜操作系统的先例。
随着时代发展,类似的做法也逐渐被人们推广接受。据Laurie Mercer声称,HackerOne已经向来自150个不同国家的白帽黑客支付了近6500万美元的漏洞赏金,迄今为止,HackerOne对单个漏洞的最高支付奖金为10万美元,是2013年第一笔支付赏金的200多倍。据HackerOne的CEO Marten Mickos预测,到2020年底,届时其平台的漏洞赏金发放量将超过1个亿,且HackerOne的注册白帽也将超过100万。
白帽黑客的确是一个有利可图未来可期的行业,如果需要更多的证明,今年举办的黑客夏令营(Hacker Summer Camp)就能说明。今年8月,在Black Hat USA 和 DEFCON会议期间,HackerOne的黑客夏令营之H1-702比赛如期进行,100多名黑客经过为期三天的测试,发现了1000多个漏洞,活动最终发放的漏洞赏金为190万美元。毫无疑问,前面提到的6名百万美元白帽黑客也参加了此次比赛。
来认识一下这六位黑客
Santiago Lopez(@try_to_hack)
Santiago Lopez:一位来自阿根廷年仅19岁的小黑客,也是HackerOne平台第一位赚取了百万美元赏金的黑客。当他被问到有没有幻想过自己通过黑客技术赚钱的时候,Lopez承认:“当我第一次尝试黑客攻击时,我并不知道这个技术可以为我带来什么。但是当我看到自己的作品被重视和认可,我感到非常多的自豪。”
他从小就喜欢看黑客电影,这也启发了他进入职业黑客的道路。Lopez在2015年注册了HackerOne平台,并意识到可以通过自己的技术来赚钱。Lopez说道:“我是一个完全通过互联网、在线教程以及书籍自学成才的黑客。”
他的第一个漏洞赏金是2016年,16岁时获得的50美元。“这个漏洞花了我很长的时间,” Lopez回忆道,“但经过耐心和努力获得了赏金,这确实非常值得。”
Mark Litchfield(@mlitchfield)
第二位是来自英国的 Mark Litchfield,他比Lopez要年长许多,被HackerOne称为行业资深人士。他说“在1999年之前,我是在一家苏格兰大街的小商店里出售计算的,这显然是非常没有前途的一个工作,尤其是按我的交易规模来卖计算机。”
Litchfield 听从了他兄弟Davied 的建议。他兄弟当时已经在安全领域工作,并且建议他学习了一个Windows Server NT4的课程,三天后,他去到了伦敦,开始从事安全工作。
后来,Litchfield 和 兄弟 David成立了一家信息安全公司,专注于发现安全漏洞,公司于2000年被收购,之后,他们又重新成立了另一家安全公司,在2008年又被其它大公司收购了。2013年,Litchfield对渗透测试感兴趣,也为了赚点小钱,于是乎他又投身于漏洞众测行业。
Litchfield 总是保持一直向前的姿态,他解释道:“对我来说,这就像是一种挑战,总有一种声音在问我:你能搞定吗?所以,我总会不停尝试,最终也都会成功。”
Tommy DeVoss (@dawgyg)
第三位黑客,35岁,来自美国,曾在黑客道路中迷失方向犯下错误,2000年,他因窃取AOL账户用于入侵军方系统而被定罪。出狱之后,DeVoss从一份IT工作做起,慢慢改变了自己,后来他发现,可以通过HackerOn来赚钱且完全合法。在H1-702比赛期间,DeVoss就通过发现漏洞获得了13万美元的赏金。
Ron Chan (@ngalog)
第四位是一位28岁,来自中国香港的黑客。他热衷于发现一些复杂的入侵测试技术(big tech),他利用这些大招发现了Airbnb、GitLab、PayPal和Uber的多个严重漏洞。Ron Chan表示,Hacking可以向任何有笔记本电脑和好奇心的人敞开一扇大门。
Ron Chan希望他们6名百万级别白帽的成就,能鼓励其他白帽黑客充分发挥他们的技能,成为白帽社区中坚力量的一部分,共同维护互联网安全。如果如Ron Chan这般优秀,你也可以在2019年7月的一个月时间内,赚到7万5千美金。
Nathaniel Wakelam (@nnwakelam)
第五位是24岁,来自澳大利亚,也就是大家熟知的Naffy。据HackerOne透露,Nathaniel呆在一个地方不会超过30天,而目前他经常生活在泰国各地。不做漏洞众测的时间里,Nathaniel会随意地去旅游和参加各种聚会。
Nathaniel在小学时就发现了自己的第一个漏洞,随后又发现了700多个漏洞,这深厚的功底让他一直占据HackerOne排行榜的前三位置。还致力于协助Hackers Helping Hackers 慈善社区,引导有技术能力的年轻人入门从事安全行业。另外,他还在一家名为Gravity的安全咨询公司担任首席信息安全官。
Frans Rosen (@fransrosen)
最后一位是一名瑞典人,在漏洞赏金猎人身份之外,他还成功经营着自己的网络安全公司,也在多家安全公司担任CEO、CTO和董事会成员。Frans Rosen始终信奉一个观点:Hacking应该为人类服务,并应该回报黑客社区。因此,他也经常将他的漏洞赏金捐献给慈善行业。
白帽黑客经历的诱惑
从另外一个层面来说,在各种黑产盛行的现在,这6名黑客似乎就是一个例外,他们通过自己的技术和努力合法赚钱,但和那些无视法律且追逐最大化利益的黑客来说,这点收入根本好像也算不上什么。
但HackerOne的Laurie Mercer并不这么认为,他强调:对安全研究人员来说,非法出售漏洞完全不值得,致富之路在于拥有公众声誉,这样你就可以被邀请参加更多的测试项目,发现更多的漏洞,在做你喜欢的事情之余同时也把钱赚到了,还能维护网络安全,这是多么有意思的事。
但有一点我们是可以肯定的:这6名白帽是如何最好地利用黑客技术来赚钱的最好榜样。Laurie Mercer声称,“安全专家通过发现漏洞的获利是传统的软件工程师薪资的40多倍,所以,这无疑是一个新行业的诞生:白帽黑客们通过发现漏洞的方式,在维护网络安全的同时,从而获取丰厚的报酬,也就是我们通常所说的漏洞赏金猎人。”
毫无疑问,网络安全的兴起为广大的白帽提供了更良好的成长环境。除了可以成长为一名职业化的渗透测试人员,更可以通过参与众测、挖掘漏洞赚取漏洞赏金,我们国内依然有这样优秀的平台来让大家获取漏洞赏金。
补天漏洞响应平台:https://www.butian.net/
漏洞盒子-漏洞测试平台:https://www.vulbox.com/
各大厂商安全响应中心:
阿里:https://security.alibaba.com/
蚂蚁金服:https://security.alipay.com/
腾讯:https://security.tencent.com/
百度:http://sec.baidu.com/v2/#/home
字节跳动:https://security.bytedance.com/index/
等等等......
3624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
