提起“黑客“这个词,第一反应会想到什么?在黑暗中面对着电脑,处理程序,编程,代码,甚至一些违法行为,如窃取账号,侵犯隐私,入侵系统,让企业蒙受百万损失。实际上,就网络安全方面的犯罪问题,每年会让我们的世界损失约6000亿美元。
但这其中,还有一种黑客,他们的黑客行为是在设立道德准则并遵守法律规定的前提下进行的,他们通常被称为“白帽黑客”。这类黑客会利用他们的超高技术去帮助他人,甚至伸张正义,正统的企业对于这批人才的需求在这些年中急剧增长。
企业们需要白帽黑客的帮助去维护他们的网络安全。每当白帽黑客发现了任何会对网络安全产生威胁的系统漏洞,都会申请上报并解决好,从而能得到丰厚的报酬,这是一种现代很流行的悬赏活动,名为“Bug Bounty Program“。
一些专业的网络安全服务公司,如Synack,hackerone,和bugcrowd,就像是针对企业网络安全的清洁工,会接受企业请求帮助他们清理网络上的各种威胁。而这时,这些网络安全服务公司会对外发出这种“Bug Bounty Program“ 的悬赏活动,招揽优秀的白帽黑客,以丰厚的金钱奖励作为回报。有些大企业如Uber,Pinterest,MasterCard这些企业巨头甚至愿意花上百万美金用以奖励整个Bug Bounty Program。
不得不说,这种正规的黑客工作,或者说是网络安全工作,已经在当今人才市场上得到越来越多的青睐,收入更是水涨船高。
今天就带大家了解一下这些白帽黑客。
黑客的历史
自从计算机被发明以来,人类便开始不断地想尽各种办法,希望能真正进入计算机世界。在当计算机还处于庞然大物,还未成为大众消费品时,黑客在当时更像是修补匠,不断地在完善这些计算机仪器,推动着计算机的发展。
到1980年,个人电脑的出现使得网络安全相关的犯罪变得愈加常见。许多人自学编程后,入侵别家的重要系统,窃取文件,散播病毒。许多人也因此被调查,被监控,甚至被关进了监狱。黑客的负面形象可以说已经是深入人心,而当时的一部电影更是让这种黑客的负面形象进一步加固。
电影:战争游戏
1983年,一部颇为受欢迎的电影上映,名为“战争游戏”。讲述着一群高智商青年如何意外地入侵到国家最高机密的超级计算机,由此差一点就开启的第三次世界大战。即便这只是部虚构的电影,但当中的事件引发了政府部门的高度关注,也让他们真正意识到如果这类事件有朝一日发生在现实中,会是多么可怕。
当时的美国总统里根就因观看了这部电影后,发布了一系列的反黑客法案,而Computer Fraud and Abuse Act (CFAA) 便是当时的产物,用于禁止人们在未取得官方授权时,故意入侵任何电脑系统。
悬赏活动:Bug Bounty Programs
现在,企业为了解决网络完全问题,企业会向外发起名为“Bug Bounty Program”的悬赏活动,用于奖励那些帮助他们发现安全漏洞的黑客们。
这中悬赏活动最早起源于1983年,一个名为Hunter & Ready的硅谷初创公司以一家大众甲壳虫汽车作为奖励,希望有黑客能帮助他们解决他们系统里的安全漏洞。十多年后,名为Netscape的科技公司,为了能让黑客们帮助发现他们公司的主力产品Netscape浏览器发现解决安全漏洞问题,开始提供更加丰厚的现金奖励。但Bug Bounty Program这种概念在随后几十年间并未流行开来。
直到2000年中,iDefense , TippingPoint以及mozilla这几家网络安全公司再次开始向外提供Bug Bounty Program。而随后众多科技巨头的纷纷效仿,也让一大批针对网络安全服务的初创公司成功崛起,如Bugcrowd,HackerOne,以及Synack,致力于为各大企业发起Bug Bounty Program的悬赏活动,解决网络安全问题。
Bug Bounty Program的主要流程:
企业需要简单阐述希望解决他们网站或系统中的哪一方面网络安全问题供并授权黑客登入并进行安全测试的部分表明每发现并解决一个完全漏洞后所得到的回报是多少然后用于发布Bug Bounty Program的平台将对这些信息的可靠性进行验证成功发布的Bug Bounty Program 将由该平台负责协调整个悬赏活动过程,包括安全漏洞提交以及悬赏金额交易平均来说,,每发现一个漏洞将能赚钱1000美元的悬赏。而最高的一个漏洞悬赏能达到上万美元。
网络安全的重要性
我们经常提及的互联网公司如阿里巴巴,谷歌,百度,亚马逊,脸书等,他们的互联网产品都是由来自世界各地最顶级,最精英的程序员所开发的。但是,人类始终是人类,只要是人类开发的产品,无论产品被介绍得多完美,一定会多多少少带有缺陷。而这种缺陷为企业所带来的潜在风险是巨大的。
比方说,美征信巨头Equifax在2017年的一次数据泄露,让其损失高达7亿美元;2016年雅虎的那次3亿用户的数据泄露事件让雅虎赔了1.17亿美元。据HackerOne的负责人介绍,如今企业由于数据泄露问题而产生的平均损失为700万美元,情况更为严重的可达上亿美元。Gartner咨询公司公布,全球范围内的网络安全投入在2019年时将达到1240亿美元。
在如今这个高度数字化的时代,网络安全已经不再仅限于科技公司。在过去五年里,其他产业如金融,航空,国防等,都有许多企业在利用这种Bug Bounty Program进行安全维护。
HackerOne其中一个客户便是拥有全世界最高军事科技的美国国防部,而当时,在国防部系统中就被黑客们查出并解决了超过12000个安全漏洞威胁。
年入百万的黑客
或许很多人会认为,由于黑客工作每天需要面对大量的高科技领域的缘故,成为一名黑客或是网络安全专家必定需要受过良好的高等教育,但其实不然。19岁能达到年收入百万美金的黑客Santiago Lopez就证明了这一点。Santiago Lopez没有任何的大学学习经历,也没有任何大企业的网络安全相关工作经历,纯粹靠的是他对互联网世界的好奇心,不断地去研究计算机科学领域,自我学习,自我提升,最后得以成功。
当然,这里并不是在吹鼓大学教育无用论,但是事实上,成为一名优秀黑客的必备条件真的与学历背景无关。需要的仅仅是你的努力,坚持,以及好奇心。像Santiago Lopez这样的黑客,每天甚至会花费20个小时去研究探索,学习各种技术。就这点来看,这并不是什么“常人难以达到的行为”,要知道,我们每个人都拥有24个小时,那你的24小时又花去哪儿了呢?