白帽报告:潜伏在世界各个角落的赏金猎人,一年赏金高达150亿

在现代数字社会中,黑客已经成为了重要成员之一。作为一份来自全球白帽黑客最大社区HackerOne记录黑客的档案,这份报告可以带领大家深入了解黑客的想法,纵观世界各地的统计数据和增长指标,把握全球白帽黑客的发展前景......

黑客:一类喜欢挑战智力,并能够创造性地突破限制的人。

白帽黑客定义:指那些用自己的黑客技术来维护网络关系公平正义的黑客。通过漏洞研究和漏洞挖掘来测试和判定网络系统承受入侵的强弱程度,并且不会做出任何破坏性行为的黑客。(此报告所讨论的黑客主要为“白帽黑客”)

白帽造就“黑客时代”

我们正处在一个充满黑客的时代。一些黑客被誉为英雄;一些黑客不断被媒体提及;一些黑客被认为是邪恶的化身;还有一些假想的黑客,不断出现在好莱坞电影之中。 而白帽黑客就像是“互联网的免疫系统” ,需要创造技术的同时,也需要部分技术人员来研究并且发现这些技术创新之中的缺陷。每发现并修复一个漏洞,互联网的安全系数就随之多增加了一分。安全研究人员日复一日地重复着同一项工作——寻找漏洞,以负责任的方式向相关组织报告漏洞,并抢在犯罪分子利用漏洞之前将其修复。

这份调查报告,共有1698名受访者参与其中。在加州大学伯克利分校、塔夫茨大学、卡内基梅隆大学等顶级学府中,黑客技术已经成为了一门有学分的课程。如今,世界各地的黑客都在通过寻找漏洞来获得收入。各种漏洞奖励计划向所有人开放,并提供丰厚的奖励。在一些国家,黑客的总收入甚至能达到软件工程师收入的16倍。

他们“黑掉了整个地球”

HackerOne的黑客社区包括几乎所有国家和地区的代表。 印度,美国,俄罗斯,巴基斯坦和英国排名前五位,其中印度和美国的总和为43%。如此广泛的黑客成员分布,使“黑掉整个地球”这句话成为了可能。

“黑掉整个地球”

据统计,位于印度的黑客已经获得总计超过180万美元的奖金。然而,尽管印度的黑客获得了数百万的奖励,但这些用于奖励的资金大部分都不是印度的公司所支付的。下面的图表展现了HackerOne平台上漏洞奖励资金的流入和流出情况。

漏洞奖励计划发布地区与黑客分布最多地区均为美国

漏洞奖金往往可以改变黑客的生活。报告将参与漏洞奖励计划最为优秀的人员的收入与同类工作薪资情况进行了比较。针对40个国家和地区,分别获取了薪资数据。结果表明,顶尖研究人员所获得的收入,是软件工程师薪资中位数的2.7倍。那么,哪个国家二者相差最为悬殊呢?

答案是印度。在印度,顶尖黑客所获得的收入,是软件工程师薪资中位数的16倍。这也就意味着,挖掘漏洞比写代码更能赚钱。这也是目前越来越多人从事黑客行业的一大原因。

黑客收入与软件工程师薪资比最大为16倍

00后黑客“异军突起”

如今的黑客,往往都是年轻、好奇、天才的专业人士。超过90%的黑客年龄在35岁以下,约58%的黑客是自学成才。目前18-24岁的黑客占比超过40%,说明目前00后参与漏洞查找的帷幕已经拉开。调查显示,约44%的黑客是IT专业人士。教育仍然是HackerOne社区所努力的重点。加州大学伯克利分校的学生们可以在课堂上学习黑客知识并获得相应学分。在课堂之外,黑客们也经常会分享他们的知识,并竭尽所能帮助他人。要学好黑客相关的知识,需要持续不断地努力学习,并且需要对这方面知识拥有强烈的兴趣。

90%以上的黑客年龄在35岁以下

绝大多数黑客(58%)都是自学成才

IT从业者仍占大多数

将近一半的白帽黑客从事IT/软件/硬件领域的工作,其中有44%以上的人专注于安全研究,有33%的人从事软件开发。在HackerOne,仅有25%的白帽黑客是学生。有13%的黑客表示,他们每周的全部时间或40小时以上的时间,会用来进行黑客相关工作。超过66%的黑客每周花费20小时或更少的时间进行黑客相关工作,有44%的黑客每周花费10小时或更少的时间。超过20%的黑客每周会花费超过30小时。

工欲善其事,必先利其器

据HackerOne统计,近30%的黑客使用Burp Suite等工具来帮助他们寻找漏洞,有超过15%的黑客使用自己开发的工具。其他用于寻找漏洞的工具包括:Web代理及扫描器(12.6%)、网络漏洞扫描器(11.8%)、漏洞检查工具(9.9%)、调试器(9.7%)、WebInspect安全评估工具(5.4%)、Fiddler HTTP协议调试代理工具(5.3%)和ChipWhisperer(0.8%)。

黑客更喜欢Web应用程序

有超过70%的受访者表示,他们最喜欢用来进行攻击的平台或产品是网站,其余占比较高的依次为:API(7.5%)、自身使用的技术/自己拥有的数据(5%)、Android移动应用程序(4.2%)、操作系统(3.1%)和物联网产品(2.6%)。

金钱不再是最大诱惑

金钱奖励仍然是黑客进行漏洞挖掘的主要原因,但与2016年相比,该原因已经从第一下降至第四。如今,黑客更多地以“拥有学习机会”作为漏洞挖掘的首要动力,“享受挑战的快感”和“过程非常有趣”并列第二。黑客进行攻击的其他主要原因分别为:促进职业发展、拥有保护和防御的机会、在世界上做好事。总体来说,他们想要不断提升并扩展自己的技能,希望从中得到乐趣,同时也想要在这个过程中为建设更安全的互联网做出自己的一份共享。

金钱不再是最大动机

这些激励机制会驱使黑客们更加关注漏洞,无论是想要获得收入,还是希望磨练自己的技能。超过23%的黑客表示,他们会根据奖励的多少来选择要参与的活动。超过20%的黑客表示,他们会根据挑战性和学习机会来进行选择。其他占比较高的决定因素分别是:喜欢的企业品牌(13%)、安全团队的响应速度/程度(10.7%)和对企业的认可度(9.7%)。

在Hackerone社区上有一个标签和口号,是#TogetherWeHitHarder(团结一心,无坚不摧),意为假如一个社区的全体成员能团结一致地开展一个共同的事业,那么所产生的影响将是无限的。正是白帽黑客的团结一致,才使得互联网变得更加安全。

本文内容参考内容源:

HackerOne-《THE 2018 HACKER REPORT》

安全牛(eridanus96)-《HackerOne:2018年全球白帽黑客收入调查报告》

公众号回复“黑客报告”即可获取报告全文。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180606A08GI200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券