【51CTO.com 快譯】尋找軟件的安全漏洞是項(xiàng)艱苦的工作，但對(duì)一些別有用心的人來(lái)說(shuō)這意味著大筆的金錢(qián)。

Charlie Miller博士是業(yè)內(nèi)最著名的Mac電腦黑客之一。在今年的CanSecWest黑客大賽后，他的一項(xiàng)宣布引起了廣泛關(guān)注。

Charlie Miller博士宣稱(chēng)，他以后將不再免費(fèi)給軟件廠商或其他人提供他找到的漏洞了。不僅如此，Charlie和他的幾個(gè)朋友已經(jīng)開(kāi)始發(fā)起一項(xiàng)名為“No More Free Bugs（不再免費(fèi)提供bug）”的運(yùn)動(dòng)，甚至設(shè)計(jì)了自己的Logo?！?1CTO編者按：這位仁兄還是挺逗的，他在比賽之后向大眾推薦Mac 稱(chēng)其病毒感染率低

如果你還不了解Charlie Miller，我可以簡(jiǎn)單介紹兩句，在今年的CanSecWest黑客大賽，Charlie只花了10秒鐘就攻克了Mac系統(tǒng)，而且據(jù)說(shuō)他現(xiàn)在已經(jīng)找到了破解iPhone shell的方法。

我認(rèn)識(shí)并且非常尊重Charlie Miller，而且我相信他的意愿是好的，他只是想靠他的一技之長(zhǎng)來(lái)生活——在這一點(diǎn)上任何人都一樣，更何況長(zhǎng)期以來(lái)，Charlie已經(jīng)給軟件軟件廠商和我們這些安全工作者們提供了無(wú)數(shù)寶貴的工作。

不過(guò)我還是受到一個(gè)惱人的問(wèn)題所困擾，就是Charlie今后會(huì)不會(huì)把他發(fā)現(xiàn)的bug出售給那些具有惡意企圖的人？他尚未做出明確的聲明，我希望也相信他不會(huì)，但現(xiàn)在我還不能肯定。

我很喜歡Charlie和那些黑客界的真正精英們。我在過(guò)去的20年中見(jiàn)過(guò)他們?cè)S多人，他們?yōu)槿松屏迹抑浪麄冇泻芏喔p松的掙錢(qián)方法，但他們卻一直走在尋找安全漏洞這條相對(duì)艱難的路上。我知道有些天才黑客獨(dú)自發(fā)現(xiàn)了軟件漏洞，但當(dāng)他們提供給軟件廠商時(shí)，他們的辛勤工作卻經(jīng)常換不來(lái)一點(diǎn)回報(bào)，因此他們覺(jué)得受到了羞辱。我也看到過(guò)很多最初是善意的黑客由于對(duì)軟件廠商長(zhǎng)年累月的態(tài)度不滿(mǎn)，公開(kāi)一個(gè)接一個(gè)的bug進(jìn)行報(bào)復(fù)。當(dāng)然我也見(jiàn)識(shí)過(guò)一些低劣的黑客，他們查找bug的目的就是想在軟件廠商和競(jìng)爭(zhēng)對(duì)手之間挑起事端，然后為他們發(fā)現(xiàn)的漏洞賣(mài)個(gè)高價(jià)。

路邊的硬幣撿不撿？

如今出售安全漏洞算是一個(gè)賺錢(qián)的機(jī)會(huì)，而且比以往任何時(shí)候都賺錢(qián)，尤其是如果你把自己放到黑帽陣營(yíng)里——這里要向51CTO.com的讀者解釋一下，就像西部牛仔英雄一樣，黑客實(shí)際上也有白帽和黑帽之分。普通大眾想像中黑客一般指黑帽（Black Hat）駭客；而白帽（White Hat）黑客則是合法的黑客，其現(xiàn)實(shí)生活中的身份就是安全專(zhuān)業(yè)人士，他們的工作是尋找、測(cè)試和修補(bǔ)威脅計(jì)算機(jī)的漏洞，讓狂野的互聯(lián)網(wǎng)更加安全。

對(duì)于黑帽黑客來(lái)說(shuō)，只要不在乎買(mǎi)家是誰(shuí)，他們可以輕松的為自己找到的主流軟件的安全漏洞并賣(mài)到5000美元或以上。黑市上的報(bào)價(jià)一般是保密的，但我確實(shí)看到過(guò)多達(dá)10萬(wàn)美元的報(bào)價(jià)，要求得到Windows Server 2003的遠(yuǎn)程緩沖區(qū)溢出漏洞?？紤]到許多軟件犯罪集團(tuán)經(jīng)常能夠在大規(guī)模的犯罪計(jì)劃里掙到數(shù)千萬(wàn)美元甚至更多，花上幾萬(wàn)美元來(lái)購(gòu)買(mǎi)安全漏洞還是相當(dāng)劃算的。

即使在白帽陣營(yíng)里，許多合法的組織也付錢(qián)來(lái)購(gòu)買(mǎi)軟件的錯(cuò)誤和漏洞。首先，許多軟件廠商（包括我的全職雇主微軟）本身會(huì)為內(nèi)部和外部bug的搜索者們支付數(shù)百萬(wàn)美元，雖然金額總是會(huì)在bug被發(fā)現(xiàn)之前縮水。CanSecWest和其他黑客競(jìng)賽為新的零日攻擊漏洞懸賞，而其他一些組織如Zero Day Initiative，也會(huì)為新的安全漏洞的發(fā)現(xiàn)付錢(qián)。這些機(jī)構(gòu)最后會(huì)收回他們的成本，通過(guò)在其后向客戶(hù)銷(xiāo)售相關(guān)的安全產(chǎn)品。最后是一個(gè)幾乎公開(kāi)的秘密，美國(guó)政府擁有人數(shù)眾多的尋找漏洞的團(tuán)隊(duì)，這是出于軍事進(jìn)攻和防衛(wèi)的目的考慮。另外甚至還有一些漏洞被公開(kāi)拍賣(mài)。

黑與白的抉擇

但是在白帽與黑帽之間存在一個(gè)可悲的事實(shí)，對(duì)于一個(gè)同樣的漏洞，白帽黑客通過(guò)正常渠道得到的收入遠(yuǎn)沒(méi)有在黑帽市場(chǎng)中能得到的多。這是因?yàn)榘酌焙诳偷哪康氖峭晟飘a(chǎn)品和保護(hù)用戶(hù)，而黑帽黑客的目的就是賺錢(qián)。我在一個(gè)大軟件公司的朋友告訴過(guò)我他們公司為其內(nèi)部和外部漏洞的搜索者提供的費(fèi)用，他說(shuō)為每個(gè)發(fā)現(xiàn)的bug支付的錢(qián)常常不到25美元?？梢韵胂笕魏握９ぷ鞯暮诳停己茈y指望這點(diǎn)錢(qián)過(guò)上體面的生活。

但是他們確實(shí)這樣做了，我猜想他們有自己的小秘密。在這個(gè)世界上有很多賺錢(qián)的方式，我的電腦圖書(shū)里如果加點(diǎn)非法的內(nèi)容肯定能賣(mài)出更多，我也可以靠逃稅來(lái)補(bǔ)充一點(diǎn)收入。但當(dāng)我每天早晨從鏡子中看到自己，我會(huì)說(shuō)我對(duì)自己所做的很自豪。我做黑客的時(shí)候也掙過(guò)些錢(qián)，但我從來(lái)沒(méi)有未經(jīng)允許，也沒(méi)有對(duì)任何人帶有惡意。無(wú)論人性本身是否就帶有些惡意的東西，但在我的DNA里它們算是失蹤了。

許多以尋找軟件漏洞為業(yè)的公司已經(jīng)過(guò)上了體面的生活，雖然沒(méi)有那么光彩照人。也許他們不會(huì)給發(fā)現(xiàn)的bug賣(mài)到5000美元以上，但他們已經(jīng)建立起非常成功的正確運(yùn)營(yíng)方式。他們已經(jīng)成為白帽陣營(yíng)的名片，成為行業(yè)明星。公司的主人創(chuàng)建并養(yǎng)育了公司，為員工建立起長(zhǎng)期的職業(yè)生涯，而且能迎著人們尊敬的目光，時(shí)刻高昂著頭。——51CTO編者按：對(duì)白帽有興趣的朋友可以看看“如何當(dāng)好白帽子安全工程師”這篇文章。

對(duì)每一個(gè)名聲不好的黑帽黑客，我都可以給出兩個(gè)好名聲的白帽黑客和他們公司的名字，他們是：@Stake、ZDI、iDefense、David Litchfield、Foundstone、Dave Aitel、Immunity，還有更多。

我贊同Charlie和其他“No More Free Bugs”的倡導(dǎo)者們應(yīng)該靠自己最拿手的技能來(lái)謀生。但我希望他們至少應(yīng)該先了解一下買(mǎi)家到底是怎么回事，然后再考慮是不是可以把漏洞出售給他。我們需要他們向我們保證，每一次他們都是站在我們這邊。

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

原文：Should we pay hackers to find bugs?  作者：Roger Grimes