【51CTO.com 快譯】尋找軟件的安全漏洞是項(xiàng)艱苦的工作，但對一些別有用心的人來說這意味著大筆的金錢。

Charlie Miller博士是業(yè)內(nèi)最著名的Mac電腦黑客之一。在今年的CanSecWest黑客大賽后，他的一項(xiàng)宣布引起了廣泛關(guān)注。

Charlie Miller博士宣稱，他以后將不再免費(fèi)給軟件廠商或其他人提供他找到的漏洞了。不僅如此，Charlie和他的幾個(gè)朋友已經(jīng)開始發(fā)起一項(xiàng)名為“No More Free Bugs（不再免費(fèi)提供bug）”的運(yùn)動(dòng)，甚至設(shè)計(jì)了自己的Logo?！?1CTO編者按：這位仁兄還是挺逗的，他在比賽之后向大眾推薦Mac 稱其病毒感染率低

如果你還不了解Charlie Miller，我可以簡單介紹兩句，在今年的CanSecWest黑客大賽，Charlie只花了10秒鐘就攻克了Mac系統(tǒng)，而且據(jù)說他現(xiàn)在已經(jīng)找到了破解iPhone shell的方法。

我認(rèn)識并且非常尊重Charlie Miller，而且我相信他的意愿是好的，他只是想靠他的一技之長來生活——在這一點(diǎn)上任何人都一樣，更何況長期以來，Charlie已經(jīng)給軟件軟件廠商和我們這些安全工作者們提供了無數(shù)寶貴的工作。

不過我還是受到一個(gè)惱人的問題所困擾，就是Charlie今后會不會把他發(fā)現(xiàn)的bug出售給那些具有惡意企圖的人？他尚未做出明確的聲明，我希望也相信他不會，但現(xiàn)在我還不能肯定。

我很喜歡Charlie和那些黑客界的真正精英們。我在過去的20年中見過他們許多人，他們?yōu)槿松屏迹抑浪麄冇泻芏喔p松的掙錢方法，但他們卻一直走在尋找安全漏洞這條相對艱難的路上。我知道有些天才黑客獨(dú)自發(fā)現(xiàn)了軟件漏洞，但當(dāng)他們提供給軟件廠商時(shí)，他們的辛勤工作卻經(jīng)常換不來一點(diǎn)回報(bào)，因此他們覺得受到了羞辱。我也看到過很多最初是善意的黑客由于對軟件廠商長年累月的態(tài)度不滿，公開一個(gè)接一個(gè)的bug進(jìn)行報(bào)復(fù)。當(dāng)然我也見識過一些低劣的黑客，他們查找bug的目的就是想在軟件廠商和競爭對手之間挑起事端，然后為他們發(fā)現(xiàn)的漏洞賣個(gè)高價(jià)。

路邊的硬幣撿不撿？

如今出售安全漏洞算是一個(gè)賺錢的機(jī)會，而且比以往任何時(shí)候都賺錢，尤其是如果你把自己放到黑帽陣營里——這里要向51CTO.com的讀者解釋一下，就像西部牛仔英雄一樣，黑客實(shí)際上也有白帽和黑帽之分。普通大眾想像中黑客一般指黑帽（Black Hat）駭客；而白帽（White Hat）黑客則是合法的黑客，其現(xiàn)實(shí)生活中的身份就是安全專業(yè)人士，他們的工作是尋找、測試和修補(bǔ)威脅計(jì)算機(jī)的漏洞，讓狂野的互聯(lián)網(wǎng)更加安全。

對于黑帽黑客來說，只要不在乎買家是誰，他們可以輕松的為自己找到的主流軟件的安全漏洞并賣到5000美元或以上。黑市上的報(bào)價(jià)一般是保密的，但我確實(shí)看到過多達(dá)10萬美元的報(bào)價(jià)，要求得到Windows Server 2003的遠(yuǎn)程緩沖區(qū)溢出漏洞。考慮到許多軟件犯罪集團(tuán)經(jīng)常能夠在大規(guī)模的犯罪計(jì)劃里掙到數(shù)千萬美元甚至更多，花上幾萬美元來購買安全漏洞還是相當(dāng)劃算的。

即使在白帽陣營里，許多合法的組織也付錢來購買軟件的錯(cuò)誤和漏洞。首先，許多軟件廠商（包括我的全職雇主微軟）本身會為內(nèi)部和外部bug的搜索者們支付數(shù)百萬美元，雖然金額總是會在bug被發(fā)現(xiàn)之前縮水。CanSecWest和其他黑客競賽為新的零日攻擊漏洞懸賞，而其他一些組織如Zero Day Initiative，也會為新的安全漏洞的發(fā)現(xiàn)付錢。這些機(jī)構(gòu)最后會收回他們的成本，通過在其后向客戶銷售相關(guān)的安全產(chǎn)品。最后是一個(gè)幾乎公開的秘密，美國政府擁有人數(shù)眾多的尋找漏洞的團(tuán)隊(duì)，這是出于軍事進(jìn)攻和防衛(wèi)的目的考慮。另外甚至還有一些漏洞被公開拍賣。

黑與白的抉擇

但是在白帽與黑帽之間存在一個(gè)可悲的事實(shí)，對于一個(gè)同樣的漏洞，白帽黑客通過正常渠道得到的收入遠(yuǎn)沒有在黑帽市場中能得到的多。這是因?yàn)榘酌焙诳偷哪康氖峭晟飘a(chǎn)品和保護(hù)用戶，而黑帽黑客的目的就是賺錢。我在一個(gè)大軟件公司的朋友告訴過我他們公司為其內(nèi)部和外部漏洞的搜索者提供的費(fèi)用，他說為每個(gè)發(fā)現(xiàn)的bug支付的錢常常不到25美元。可以想象任何正常工作的黑客，都很難指望這點(diǎn)錢過上體面的生活。

但是他們確實(shí)這樣做了，我猜想他們有自己的小秘密。在這個(gè)世界上有很多賺錢的方式，我的電腦圖書里如果加點(diǎn)非法的內(nèi)容肯定能賣出更多，我也可以靠逃稅來補(bǔ)充一點(diǎn)收入。但當(dāng)我每天早晨從鏡子中看到自己，我會說我對自己所做的很自豪。我做黑客的時(shí)候也掙過些錢，但我從來沒有未經(jīng)允許，也沒有對任何人帶有惡意。無論人性本身是否就帶有些惡意的東西，但在我的DNA里它們算是失蹤了。

許多以尋找軟件漏洞為業(yè)的公司已經(jīng)過上了體面的生活，雖然沒有那么光彩照人。也許他們不會給發(fā)現(xiàn)的bug賣到5000美元以上，但他們已經(jīng)建立起非常成功的正確運(yùn)營方式。他們已經(jīng)成為白帽陣營的名片，成為行業(yè)明星。公司的主人創(chuàng)建并養(yǎng)育了公司，為員工建立起長期的職業(yè)生涯，而且能迎著人們尊敬的目光，時(shí)刻高昂著頭?！?1CTO編者按：對白帽有興趣的朋友可以看看“如何當(dāng)好白帽子安全工程師”這篇文章。

對每一個(gè)名聲不好的黑帽黑客，我都可以給出兩個(gè)好名聲的白帽黑客和他們公司的名字，他們是：@Stake、ZDI、iDefense、David Litchfield、Foundstone、Dave Aitel、Immunity，還有更多。

我贊同Charlie和其他“No More Free Bugs”的倡導(dǎo)者們應(yīng)該靠自己最拿手的技能來謀生。但我希望他們至少應(yīng)該先了解一下買家到底是怎么回事，然后再考慮是不是可以把漏洞出售給他。我們需要他們向我們保證，每一次他們都是站在我們這邊。

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

原文：Should we pay hackers to find bugs?  作者：Roger Grimes