今天中午,雷鋒網(公衆号:雷鋒網)宅客頻道編輯小李看到了一篇令人悲傷的新聞——《北京二環一套房,可買美國一個鎮》。看到這個标題,小李立馬掰着指頭數了數自己的工資,在二環買房,起碼要幾個生命的輪回。
不過,小李買不起,不代表黑客買不起。想起前一陣子,pwn2own 比賽剛落幕,看到那一項一項的獎金清單,感覺黑客靠挖漏洞拿獎金真是一個發家緻富好路徑!
真的有這樣的漏洞能讓你在北京二環買套房嗎?為了探究這個問題,小李盤了盤正經黑客靠漏洞掙錢的幾個途徑。
黑客界享有盛名的幾個黑客大賽獎金都比較豐富。
pwnfest 是南韓poc (power of community) 主辦的黑客破解大賽。2016 年的 pwnfest 賽事不僅總獎金高達 170 萬美元,為曆屆黑客大賽之最,而且每一個單項項目的獎金也重新整理比賽曆史上的最高記錄。以虛拟化軟體 vmware 為例,其獎金為 15 萬美元,最後冠軍隊伍拿到了 53 萬美元的獎金。
還有一個獎金特别豐富的比賽。據傳,pwn2own 是全世界最著名、獎金最豐厚的黑客大賽,由美國五角大樓網絡安全服務商、惠普旗下 tippingpoint 的項目組 zdi(zero day initiative)主辦,谷歌、微軟、蘋果、adobe等網際網路和軟體巨頭都對比賽提供支援,通過黑客攻擊挑戰來完善自身産品。
說白了,有這麼多著名科技公司在背後支援,感覺鈔票要滿天飛。
2017 年的 pwn2own ,單項破解最高金額是 20 萬美元。下圖就是2017年的所有參賽戰隊斬獲獎金清單,注意哦!機關是“美元”。
【圖檔來源:安全牛】
2016年,谷歌也宣布了一項黑客競賽項目 zero prize,以 20 萬美元獎金獎勵其安卓安全的貢獻者。第一名可以拿到最高 20 萬美元獎勵,第二名可以得到 10 萬美元的獎勵,同時該安卓安全獎勵對其他參與者的獎勵也至少有5萬美元。
如果你嫌棄這些獎金是“兩位數”美元,還有三位數在招手!
2016年,美國國記憶體在時間最長的黑客大會之一def con舉辦時,美國國防部進階研究計劃局(darpa)為參與網絡挑戰賽(cgc)的獲勝參賽隊伍發放共 400萬美元的獎金,給第一名提供 200 萬美元的獎金。
capture the flag( 簡稱 ctf ),直譯為“奪旗賽”,是一種考量選手網絡安全知識素養、解決難題能力和攻防技術水準的比賽。選手需要具備的技能包括密碼破譯、資訊隐藏、二進制分析、逆向工程、移動安全、漏洞挖掘與利用、web滲透、電子驗證、程式程式設計等。在各大 ctf 賽事中,全球最有影響力的莫過于 defcon ctf。
2016年,入圍的15支參賽隊伍在 cgc 平台上開展了ctf 比拼,來自中國的參賽隊伍 b1o0p 拿下了第二名,獲得冠軍的是來自美國的 ppp 戰隊。
你看,中國黑客離 200 萬美元隻有一個隊伍的差距嘛,想想是不是很激動?
這樣看來,獲得冠軍的隊伍拿下北京二環的一套普通住宅還是沒有問題的!
黑客大賽遍地是獎金,一個項目的獎金不夠,一個大賽的獎金不夠,多參加幾個憑借逆天實力與超強漏洞,還是有希望在北京二環過上美好生活的!
微軟的 bug 獎勵項目已經存在挺長時間的了,不過在 2015 年,微軟宣布要對此項目做個更新——向微軟報告一個漏洞,最高獎金可以達到 10 萬美元——先前獎金最高是到 5 萬美元。
2016年,微軟釋出了一個高危漏洞的更新檔,該漏洞由騰訊玄武實驗室建立者于旸(tk教主)發現,并将其命名為“badtunnel”,是目前windows曆史上影響最廣泛的漏洞,從 win95 到 win10 都受影響。尤其對于微軟已不支援的版本(如win xp),其使用者将面臨被秘密監控的危險。是以,微軟的漏洞獎勵計劃為其授予 50000 美元的獎金。
【神一樣的tk教主】
tk 還和微軟的漏洞獎金計劃有個小故事,他此前還拿過微軟 10萬美元的獎金。在圖靈訪談裡,他是這麼自述的:
“2013 年 3 月 8 日,我在 cansecwest 2013 上介紹了一種通用的繞過 dep、aslr 甚至 emet 的技術,并提出了相應的防禦建議——沒有直接報告微軟是因為此前微軟不認為這類問題屬于漏洞。
在我公開這個技術後一個多月,微軟釋出了 emet v4 beta,在其中根據我的描述和建議,對這種漏洞利用方法進行了檢測防護。但就在新版 emet 釋出後的第二天,我發現這個版本雖然新設計了很多防護功能,但實作上存在重大安全問題,甚至反而會使漏洞利用變的比不裝 emet 更容易。于是我将該問題報告給了微軟。
又過了兩個月,2013年6月17日,微軟釋出 emet v4 正式版,在其中修複了我發現的問題。并在同一天,啟動了 mitigation bypass bounty 項目,征集繞過 dep 和 aslr 等防禦技術的方法,給出了最高 10 萬美元的獎金。後來還在官方 blog 中用我當初提出的技術作為例子,來說明什麼樣的技術才符合 mitigation bypass bounty 項目的标準。
于是有很多朋友誤以微軟已經給我發了這個獎,向我表示祝賀。我跟他們說其實沒有,并且不太相信微軟真的會給獎金,畢竟他們已經堅持了十幾年不為漏洞付錢的原則。
但是,2013 年 10 月 8 日,微軟公布了 james forshaw 成為第一個獲得 mitigation bypass bounty 的人。我很驚訝,沒想到微軟轉變了風格。然後我告訴老婆:很可能是我之前提出的技術促成微軟設立了這個獎,但我卻錯過了成為第一個拿到獎的人。我老婆表示很可惜,于是我對她說:“你别急,我給你弄一個回來”。
然後我花了一些時間,把之前研究的另一些漏洞利用技術做了實作,發給微軟,然後拿回了這個獎。”
tk 曾對雷鋒網宅客頻道編輯表示,他把曆次漏洞獎金都攢着,作為自家小孩的教育基金,除了醫學這種耗錢的學科可能有問題(tk 是大夫出身,人稱“婦科聖手”),念别的學科應該綽綽有餘了!
你看,人家沒提想買二環的房子,是不是已經買了?
插一句題外話,4 月雷鋒網宅客頻道将邀請tk 和他的小夥伴來開一堂線上公開課,你們會不會很激動?
谷歌從 2010 年推出 bug 賞金計劃以來,它已發放了逾 600 萬美元獎金。2016年,谷歌向使用者推送了 51.0.2704.79版 chrome。該版本總共修複了15個安全漏洞及其他一些系統漏洞。在這 15 個漏洞中,其中有2個為進階别,它們能讓攻擊者繞過浏覽器的跨源代碼執行限制并通過 blink 引擎及其擴充元件在上面運作惡意代碼。谷歌為發現這 2 個漏洞的安全研究員提供了 7.5 萬美元的獎金。此外,還有 5 個安全漏洞為中等級别,它們的獎金從 1000 美元到 4000 美元不等。
這裡有個小故事。安全研究員桑美•韋德 在2015年 發現谷歌域名 google.com 尚未注冊,于是花費12美元成功買下了這個域名。谷歌原計劃給他獎勵 6006.13 美元(這個數字看起來與谷歌的拼寫很像),這個都不算漏洞,但也在獎勵計劃内,而且,當該公司發現韋德準備将這筆獎金捐給慈善機構時,它将獎勵金額提高了一倍。
蘋果公司就更土豪了。
2016年,蘋果表示,将向發現軟體産品漏洞的相關人員提供最高 20 萬美元的獎勵。比如,發現安全引導固件元件類漏洞即可獲得最高 20 萬美元獎勵,而那些小修小補,像發現從沙箱程序可通路沙箱以外的使用者資料的錯誤則最多可獲得 25000 美元的獎勵。
2016年,facebook 給來自佐治亞理工學院的研究人員頒發了10 萬美金,用于獎勵後者發現了一種基于浏覽器可讓記憶體崩潰的新類别漏洞,同時他們還建立了對應的檢測技術。
有了這些網際網路巨頭在前,不少公司也跟上對漏洞發現者“大大有賞”。比如,密碼安全公司 1password将其漏洞獎勵最高獎金從25000 美元提升到了100000 美元。其部落格上稱,獎金數額的增加,是為了進一步激勵研究人員。
國内,各大公司的 src 也有漏洞激勵計劃,不過在獎勵金額相對而言沒有國外大廠這麼多。
某業内人士向雷鋒網表示:“據說,騰訊安全應急響應中心(tsrc)每年預算是幾百萬,包含各類獎金,每年都會有年會,漏洞之王也有十幾萬元的獎勵。螞蟻金服安全應急響應中心(afsrc) 對單個漏洞有獎勵過最高的 36萬。反正,我知道好幾個黑客在家專門挖洞,把工作辭職了。”
到底一個漏洞能拿到多少獎勵?小李從側面了解到,這些漏洞獎金的具體數額除了廠商知、黑客知,官方不會刻意具體公開,有些還會簽署保密協定。比如,蘋果曾在 2016 年搞過一次“鴻門宴”,召集了全球他們看得上的一些 ios 系統破解人員來聊獎勵的事,據一些參加了此次會議的中國黑客向雷鋒網透露,這次就簽署了保密協定。當然,在一些新聞稿和黑客的社交賬号内,也不排除人家會“曬曬曬”。
除了很多大型的科技公司都有自己的漏洞發現獎勵制度,如 hackerone 這種漏洞平台,企業可以在上面花錢找黑客攻擊自己,然後發現漏洞。漏洞越大,企業支付的費用越高。
據說,hackerone 會賺取費用的 20%,剩下的就是黑客自己的傭金。
hackerone 創始人 abma 曾在 2016 年在接受獵雲網的采訪時說:“每發現一個有價值的軟體漏洞,客戶公司就會為此支付 500 美元到 1000 美元不等。有一些黑客每年能賺 20 萬美元,大約有 20 個人每年能賺 10 萬美元。我知道有人今年的個人目标是 50 萬美元,我相信他可以做到的。”
阿裡雲雲盾先知平台白帽子貢獻排行榜排名第一的白帽子 gr36_ 從 2016 年開始在先知平台活躍,也在國内其他衆測平台“挖洞”,gr36_ 在先知平台已經累計拿到 285950 元的獎金。
在國内漏洞平台補天上,雷鋒網發現,總榜排名第一的 carry_your 拿到了 570900 元獎金,他在補天上送出第一個漏洞的時間是 2015 年 1 月 21 日。為此,小李特地采訪了 carry_your ,想問問他挖漏洞賺錢的體驗,還有大家關注的幾個問題。
著名“網絡軍火商”zerodium ( 0day 中間商 )值得單拎出來在這裡說一說。zerodium的商業模式和 hacking team 相同,是一家向政府和企業銷售安全漏洞套裝和間諜工具的供應商。
zerodium 曾釋出過各類從網絡罪犯購買然後轉售給需求者的目标軟體和入侵方法的價格表。雷鋒網從 zerodium 找到了一張價目表。
可以看到,最值錢的是蘋果 ios 的 0day,最高收購價格可達 150 萬美元。
據 2015 年的一個報道顯示,zerodium 曾公開表示,例如,如果通過 internet 浏覽器或 safari 浏覽器攻擊計算機或遠端控制使用者的電腦最高可以擷取 50000 美元。但如果目标比較困難攻破,像谷歌浏覽器,價格将會上升至 80000 美元。如果目标是 windows 手機裝置或安卓系統,那價格将進一步增加至 100000 美元。到目前為止清單上的最高價格是攻擊者通過 ios 攻擊賺取了 150000 美元。
zerodium 還曾在 2015 年懸賞過,ios 9 前三個 0day 漏洞能夠獲得每個漏洞都可獲得最高 100 萬美元的獎金。
據公開資料,zerodium 的創始人名叫貝克拉 (chaouki bekrar),除了這家安全公司之外,他還在法國巴黎開辦了一家名為 vupen 的公司。這家法國公司的業務頗受争議,他們專門開發針對知名軟體的攻擊手段,然後将漏洞和攻擊方式轉讓給全世界的政府情報部門。
黑客唐青昊在大學期間,曾做過一個軟體,被人購買後,他無意中得知,購買控制軟體的這個人把軟體用在了“灰色地帶”。僅僅一個月的時間,就賺到了一個天文數字,唐青昊自此對此深惡痛絕。
這還隻是一個控制軟體,并不是漏洞,甚至不是人人盯着的 0day 。
洋蔥網絡tor中曾出現了一個名為 therealdeal 的地下市場,為買賣雙方提供了的 0day 漏洞交易的服務。黑市的漏洞價格其實可以參考 zerodium 釋出的價格表,可能差不多,但也有業内人士表示,黑市價格應該比 zerodium 釋出的價格表更高。
“如果台面上的價格等于黑市價格,那大家幹嘛還拿去黑市賣,還有風險。”該業内人士對雷鋒網說。
知道創宇超級安全體檢團隊負責人王宇曾在《南方都市報》的一篇報道裡提到,“我看過的黑市叫價最貴的漏洞達到300萬元以上”。
不過,雷鋒網要提醒的是,這并不是什麼正當途徑,不是發家緻富的好路子,切莫伸手。
緻謝:騰訊安全雲鼎實驗室的安全研究員張祖優(fooying)對該文撰寫提供了幫助。