提起“黑客“這個詞,第一反應會想到什麼?在黑暗中面對著電腦,處理程序,編程,代碼,甚至一些違法行為,如竊取賬號,侵犯隱私,入侵系統,讓企業蒙受百萬損失。實際上,就網絡安全方面的犯罪問題,每年會讓我們的世界損失約6000億美元。
但這其中,還有一種黑客,他們的黑客行為是在設立道德準則並遵守法律規定的前提下進行的,他們通常被稱為“白帽黑客”。這類黑客會利用他們的超高技術去幫助他人,甚至伸張正義,正統的企業對於這批人才的需求在這些年中急劇增長。
企業們需要白帽黑客的幫助去維護他們的網絡安全。每當白帽黑客發現了任何會對網絡安全產生威脅的系統漏洞,都會申請上報並解決好,從而能得到豐厚的報酬,這是一種現代很流行的懸賞活動,名為“Bug Bounty Program“。
一些專業的網絡安全服務公司,如Synack,hackerone,和bugcrowd,就像是針對企業網絡安全的清潔工,會接受企業請求幫助他們清理網絡上的各種威脅。而這時,這些網絡安全服務公司會對外發出這種“Bug Bounty Program“ 的懸賞活動,招攬優秀的白帽黑客,以豐厚的金錢獎勵作為回報。有些大企業如Uber,Pinterest,MasterCard這些企業巨頭甚至願意花上百萬美金用以獎勵整個Bug Bounty Program。
不得不說,這種正規的黑客工作,或者說是網絡安全工作,已經在當今人才市場上得到越來越多的青睞,收入更是水漲船高。
今天就帶大家瞭解一下這些白帽黑客。
黑客的歷史
自從計算機被髮明以來,人類便開始不斷地想盡各種辦法,希望能真正進入計算機世界。在當計算機還處於龐然大物,還未成為大眾消費品時,黑客在當時更像是修補匠,不斷地在完善這些計算機儀器,推動著計算機的發展。
到1980年,個人電腦的出現使得網絡安全相關的犯罪變得愈加常見。許多人自學編程後,入侵別家的重要系統,竊取文件,散播病毒。許多人也因此被調查,被監控,甚至被關進了監獄。黑客的負面形象可以說已經是深入人心,而當時的一部電影更是讓這種黑客的負面形象進一步加固。
電影:戰爭遊戲
1983年,一部頗為受歡迎的電影上映,名為“戰爭遊戲”。講述著一群高智商青年如何意外地入侵到國家最高機密的超級計算機,由此差一點就開啟的第三次世界大戰。即便這只是部虛構的電影,但當中的事件引發了政府部門的高度關注,也讓他們真正意識到如果這類事件有朝一日發生在現實中,會是多麼可怕。
當時的美國總統里根就因觀看了這部電影后,發佈了一系列的反黑客法案,而Computer Fraud and Abuse Act (CFAA) 便是當時的產物,用於禁止人們在未取得官方授權時,故意入侵任何電腦系統。
懸賞活動:Bug Bounty Programs
現在,企業為了解決網絡完全問題,企業會向外發起名為“Bug Bounty Program”的懸賞活動,用於獎勵那些幫助他們發現安全漏洞的黑客們。
這中懸賞活動最早起源於1983年,一個名為Hunter & Ready的硅谷初創公司以一家大眾甲殼蟲汽車作為獎勵,希望有黑客能幫助他們解決他們系統裡的安全漏洞。十多年後,名為Netscape的科技公司,為了能讓黑客們幫助發現他們公司的主力產品Netscape瀏覽器發現解決安全漏洞問題,開始提供更加豐厚的現金獎勵。但Bug Bounty Program這種概念在隨後幾十年間並未流行開來。
直到2000年中,iDefense , TippingPoint以及mozilla這幾家網絡安全公司再次開始向外提供Bug Bounty Program。而隨後眾多科技巨頭的紛紛效仿,也讓一大批針對網絡安全服務的初創公司成功崛起,如Bugcrowd,HackerOne,以及Synack,致力於為各大企業發起Bug Bounty Program的懸賞活動,解決網絡安全問題。
Bug Bounty Program的主要流程:
- 企業需要簡單闡述希望解決他們網站或系統中的哪一方面網絡安全問題
- 供並授權黑客登入並進行安全測試的部分
- 表明每發現並解決一個完全漏洞後所得到的回報是多少
- 然後用於發佈Bug Bounty Program的平臺將對這些信息的可靠性進行驗證
- 成功發佈的Bug Bounty Program 將由該平臺負責協調整個懸賞活動過程,包括安全漏洞提交以及懸賞金額交易
平均來說,,每發現一個漏洞將能賺錢1000美元的懸賞。而最高的一個漏洞懸賞能達到上萬美元。
網絡安全的重要性
我們經常提及的互聯網公司如阿里巴巴,谷歌,百度,亞馬遜,臉書等,他們的互聯網產品都是由來自世界各地最頂級,最精英的程序員所開發的。但是,人類始終是人類,只要是人類開發的產品,無論產品被介紹得多完美,一定會多多少少帶有缺陷。而這種缺陷為企業所帶來的潛在風險是巨大的。
比方說,美徵信巨頭Equifax在2017年的一次數據洩露,讓其損失高達7億美元;2016年雅虎的那次3億用戶的數據洩露事件讓雅虎賠了1.17億美元。據HackerOne的負責人介紹,如今企業由於數據洩露問題而產生的平均損失為700萬美元,情況更為嚴重的可達上億美元。Gartner諮詢公司公佈,全球範圍內的網絡安全投入在2019年時將達到1240億美元。
在如今這個高度數字化的時代,網絡安全已經不再僅限於科技公司。在過去五年裡,其他產業如金融,航空,國防等,都有許多企業在利用這種Bug Bounty Program進行安全維護。
HackerOne其中一個客戶便是擁有全世界最高軍事科技的美國國防部,而當時,在國防部系統中就被黑客們查出並解決了超過12000個安全漏洞威脅。
年入百萬的黑客
或許很多人會認為,由於黑客工作每天需要面對大量的高科技領域的緣故,成為一名黑客或是網絡安全專家必定需要受過良好的高等教育,但其實不然。19歲能達到年收入百萬美金的黑客Santiago Lopez就證明了這一點。Santiago Lopez沒有任何的大學學習經歷,也沒有任何大企業的網絡安全相關工作經歷,純粹靠的是他對互聯網世界的好奇心,不斷地去研究計算機科學領域,自我學習,自我提升,最後得以成功。
當然,這裡並不是在吹鼓大學教育無用論,但是事實上,成為一名優秀黑客的必備條件真的與學歷背景無關。需要的僅僅是你的努力,堅持,以及好奇心。像Santiago Lopez這樣的黑客,每天甚至會花費20個小時去研究探索,學習各種技術。就這點來看,這並不是什麼“常人難以達到的行為”,要知道,我們每個人都擁有24個小時,那你的24小時又花去哪兒了呢?
閱讀更多 Vic的數字化空間 的文章
