对待荣誉和金钱的态度,可能是白帽子黑客和黑帽子黑客的最大区别。
黑帽子在乎实惠,能够通过非法手段搞到钱才是最重要的。至于荣誉则是避之不及,全世界都不知道他的存在才好。
白帽子黑客荣誉至上,至于金钱,“取之有道”是这一种族的自画像。
在巨头林立的IT世界,白帽子的荣誉有一种标准的格式,那就是巨头的“致谢”。如微软、苹果等都会对提交重大漏洞的组织个人发布致谢涵,甚至现金奖励。和你想象中不同,这些致谢并不能简单地理解为虚名大于实惠,而是行业巨擘对于团队的光荣加冕。说起来,白帽子和镖局有很多共同点,那就是对团体的荣誉背书是重要的无形资产——跑江湖靠的是江湖喝号。“你若盛开,清风自来”是白帽子的生存模式之一。
在雷锋网和诸多知名的白帽子团队掌门人的接触中,“致谢数量”是他们“严重”关心的硬指标。
2015呼啸而过,各大白帽子黑客团队的“致谢”KPI都达标了吗?把各大公司发出的致谢信搜集起来,可以轻松盘点出各大团队今年的“战绩”。别急,先来看一张非常值钱的图表吧,这是漏洞军火商ZERODIUM为不同产品的漏洞开出的价码。
【ZERODIUM 发布的漏洞“牌价”】
其实,ZERODIUM为特别的iOS漏洞开出的最贵价码,比图表中最贵的漏洞还要贵一倍,达到了丧心病狂的100万美元,而且据说有人真的拿到了这笔钱。那么,现在就让我们带着沉重的心情来看看这些把漏洞无私提交给厂商的白帽子究竟损失了多少钱吧。。。
Adobe
Adobe在渗透防御中总是扮演猪队友的角色。Flash Player“体质虚寒”,但是又被各家平台轮番宠幸,所以成为了各路黑客攻击的突破口。查看“价目表”,发现 Adobe PDF Reader 和 Flash Player的漏洞都可以买到8万美金,说明这些漏洞还是很有价值的。
【2015 Adobe漏洞致谢榜】
在Adobe战场的乱斗中,谷歌“0计划”当仁不让地抓到了101个漏洞,稳居第一。而国内主要的团队几乎全部榜上有名。360以55个排名并列第二,阿里巴巴和新兴安全公司知道创于也榜上有名。值得注意的是,小而美的技术向团队Keen Team和誓与AV争宅男的PKAV团队也做出了贡献。
苹果
【2015 苹果漏洞致谢榜】
多数业界人士都认为iOS漏洞是最难挖掘的漏洞种类之一。因为iOS用户手里掌握了大量的金钱和社会资源,所以每一个漏洞的爆出都恨不得关系到世界和平。但从“越狱”这个巨大而繁荣的产业上来看,就可以得知而有关苹果的一切漏洞都具有“贵”的特性。从榜单上看,太极团队和Keen Team 是这个领域的老兵了,对于这两个团队来说,苹果系统的漏洞搜寻是他们压箱底的绝活。所以拿到好成绩并不让人意外。
微软
【2015 微软漏洞致谢榜】
可以说微软是对自家漏洞最为“渴望”的公司,为此他们专门成立了漏洞奖励计划。一个名叫 Jason的大胡子每天奔走世界各地用现金“利诱”白帽子们提交漏洞。
【微软漏洞奖励计划负责人 Jason Shirk】
虽然微软在今年大幅提高了其安全性,不过在公众心中,“软柿子”的形象可能还要很长时间才能改观。榜单显示,360和百度都以26个漏洞并列第四位。不过360在Edge漏洞和赏金漏洞方面都有斩获,而百度在这两项上收获为零。
谷歌
【2015 谷歌漏洞致谢榜】
谷歌对于漏洞也是奖励的态度,不过却在公布漏洞细节方面比较保守。实际上,在今年下半年他们才开始公布漏洞的具体细节。在这一个榜单中,360终于替中国公司拿到了榜首的位置。
【找到漏洞最多的白帽子团队Top 10】
综合四大公司的漏洞来看,谷歌0计划当仁不让拿下了漏洞王称号,这也是对硅谷极客们实至名归的奖赏。而排名第二的ZDI主要靠收购漏洞上榜,胜之不武。让心欣喜的是,第三名的位置被360拿下,这和2015年360祭出了旗下几个如涅槃、伏尔甘等大牛云集的重磅团队是分不开的。这些大牛不仅给中国的团队争光,也算没有辜负老周这么多年死磕打安全牌的苦心。百度名列第六,说明其在安全方面也下了很大的功夫,这和2015年百度在全球延揽安全人才的举动是分不开的。作为一个以漏洞为标签的安全团队 Keen Team,拿到第九位的名次,值得业内赞赏,这也是对他们专业精神的一种鼓舞。
单单看微软、谷歌、苹果、Adobe这“四大天王”的Top10排行,就有800+漏洞被爆出,权且按照1万美金一个漏洞的价格来算,这些漏洞就值800万美金。把如此价值连城的漏洞无偿或低价奉献给企业,白帽子果然值得让人尊敬啊。
还有三天,这些战绩就要清零。而2016年的第一个漏洞奖励,会花落谁家呢?这个并不安全的世界还真是让人期待呢。