为什么不把漏洞都卖给网络军火商?

自从农耕文明转向工业文明,丰收的季节也由秋天变到冬天,因为一个神奇的东西:【年终奖】

最近,朋友圈有张晒年终奖的照片让我心理极度不平衡:

国内某公司的应急响应中心(简称 SRC)给2017年挖漏洞的优秀白帽子黑客发年终奖。台上一名白帽子扛着大大的支票样式的板子,上面明晃晃写着几个大字:“壹仟万”。

照片找不着了,我试着还原一下照片里的场景:

简直吓人,一千万呐!凭什么他的年终奖能比我多个万字?我翻了翻2017年各城市白领平均年终奖:

哪怕按照北京平均一万元来算,一千万也够发一千年。一千年以后,估计共产主义都实现了吧?

好在事后证实,这一千万并不是人民币,而是积分 …… 这让我心里稍稍平衡了一下。不过算下来也有两万块钱,是全国平均水准的好几倍。

这说明了一件事,近几年国内公司的网络安全意识越来越强,SRC 增多,白帽子黑客的生存环境也越来越好。前阵子不就有份报告说了嘛,全球许多国家和地区,白帽子的收入是普通软件工程师的好几倍,其中印度居然高达16倍,简直丧心病狂。

我身边也时常发生着“一套漏洞一套房”的故事。

比如我的上一篇文章《安卓不安全,这锅谁背?》开头就提到,360公司的研究员龚广用一套“穿云箭”漏洞赢得谷歌官方致谢以及11250美元,折合人民币七十多万,相当于小城市的一套房子。

不过羡慕归羡慕,我还是挺服气的,因为第一,我没他们这本事;第二,我知道,如果他们把漏洞贩卖到地下黑市或者卖给网络军火商,能拿到的钱的数量能再翻好几倍,但他们没这么做。(比如上面说到的“穿云箭”漏洞,卖到军火商那能直接翻五倍,但是龚广选择报告给谷歌,甚至都没拿去打比赛)

今天我给大家算笔有意思的账:如果白帽子黑客们把原本提交给的漏洞统统卖给网络军火商,大概能赚多少钱。

Let's Rock!

下面这张图是国外著名漏洞军火商 Zerodium 发布的2017年漏洞“价牌”:

看不清可以点开看大图,也可以去zerodium官方查

看不清木有关系,后面我会讲

我找来谷歌、微软、苹果三家巨头公司的【2017年漏洞致谢榜统计表】,一一对照。

Google谷歌

━━━━━

谷歌是最早以奖金方式鼓励漏洞挖掘的厂商,其漏洞交易价格也逐年增高,根据漏洞军火商 ZERODIUM 的价格表:

Chrome漏洞价格在5~15万美元之间;安卓系统漏洞价格则在1.5至10万美元之间。

漏洞总售价=单价 X 漏洞数量,知道了漏洞价格,现在来看漏洞数量:

2017年谷歌漏洞致谢榜

因为不知道具体哪一个漏洞值多少钱,所以按照最少(Chrome漏洞5万$/个;安卓漏洞1.5万$/个)和最多(Chrome漏洞15万$/个;安卓漏洞10万$/个)分别计算一遍

可以看到,即便每个漏洞都按照最少金额计算,也能卖895万美元,折合人民币5629万元。

如果都按照最高金额计算,数额高达3.3亿,都快够偿还那个带着小姨子跑掉的皮革厂老板欠下的债了!

其中,光是榜首的360一家就提了227个安卓漏洞、6个Chrome漏洞,算起来最少能卖2330万元,最多能卖1.48亿元!

哎,这1.48个亿要是给我…………北京的房子来两套,法拉利玛莎拉蒂什么的来20辆,开着豪车去买杂粮煎饼,加10个鸡蛋!20包辣条!嘻嘻,心里美滋滋!

-------------严肃的分割线-----------

Apple苹果

━━━━━

在所有 PC端及移动端的漏洞交易价格表中,iOS漏洞以150万美元的巨额身价当选最贵漏洞,也让整个苹果漏洞致谢榜身价提升。

安卓在右下角冒了个泡(灰色那个)……

2017年的苹果致谢榜单很有意思:

2017年苹果漏洞致谢榜

谷歌和苹果上演“相爱相杀”,在苹果致谢榜里高居榜首摘得桂冠,却只给自家贡献了30个漏洞,反倒是360的团队给谷歌挖了233个漏洞。

或许,比起安卓,谷歌的研究员更喜欢倒腾苹果手机……

接着来算钱:

假如按平均8万美元一个漏洞来算,总数有2624万美元,折合人民币1.65亿;

按平均10万美元/个来算,是3280万美元,折合人民币2.06亿;

按15万美元/个来算,是4920万美元,折合人民币3.09亿。

戏剧性的一幕出现了:根据苹果致谢榜,2017年他们有30%左右的漏洞是由腾讯、360、百度、长亭等中国白帽团队提交的。

我特地问了一个360提交过苹果漏洞的安全研究员,问他从苹果手里拿到多少奖励,结果他说:“据我所知,我司目前提交的苹果漏洞,没收到过奖金。我认识的几个提交过苹果漏洞的朋友,也没有收到奖金的……”

然后我去网上搜了一下“苹果+漏洞”的关键词,发现这么几条新闻:

苹果太抠门赏金少的可怜,研究人员发现漏洞也不给苹果

啥也不说了,给苹果提漏洞的白帽子们,全世界苹果用户欠你们一声谢谢……

Microsoft 微软

━━━━

如果用一根线把微软漏洞在网络军火商那里的悬赏圈一下,会发现微软的基本呈一条斜线,从“白菜价”到“钻石价”分布得挺均匀,不像 Linux 系统,有大量“白菜价”漏洞(底下一排蓝色的是Linux)。

这里“白菜价”当然是带引号的,因为最低价都有一万美元。

我们来看微软的致谢榜:

微软的漏洞交易价格从1万美元到30万美元不等,我们按照每个5万美元计算,最后折算下来也达到1.5个亿。

谷歌、趋势和360的白帽黑客跻身前三强。其中,360 拿下4个赏金项目,我问了一下他们,这四个漏洞项目从微软手里共获得不到6万美元。然后我又去查了查,若是卖给网络军火商 Zerodium 保守估计也能翻好几倍。

结论

通过粗略计算奖金数额可知,白帽子提交在谷歌、苹果、微软三大公司的漏洞,如果卖给网络军火商,能多挣好几个亿。

也就是说,当他们把漏洞交到厂商手里时,等同于主动放弃了这些钱。

那么,为什么要这么做呢?

有人可能会说因为他们道德高尚、善良之类的,我倒更愿意把他们拉下道德制高点,用观察普通人的视角去看他们的这种行为。

我觉得,本质原因在于白帽子黑客们懂得规避风险,这让他们区分于”恶向胆边生“的黑帽子黑客:

把漏洞卖给黑产、军火商,就成了提供了作案工具的共犯,一旦出事便引火烧身。;

即便不出问题,和黑产、军火商打交道这事并不光彩,大多互联网公司用人都有一条原则,决不录用有黑帽子经历的人;

卖漏洞赚了钱,可黑历史会伴随一生,洗白的代价可能更大。风险有累积效应,即便卖一次漏洞带来的风险很小,可是卖十次、二十次,风险会不断累积,你必须保证一次都不出问题。

在规避风险的过程中,自然而然也就行成所谓的“职业道德”,客观上让这个世界更美好。

或许你看过这么一道经典难题:按下按钮就能得到50万同时有5个陌生人死掉,你按吗?

其实黑客手里经常捏着这样的按钮,用漏洞去黑产、军火商手里换钱就等同于按下按钮,会有很多陌生人受影响,有的损失财务,有的失去生命(比如徐玉玉案),那么这个就是黑帽子。

而白帽子黑客则选择不按,并毁掉按钮。

其实不光黑客,所有人皆如此:

饭店老板可以选择多赚50块钱,代价是病猪肉让几个陌生人患病;主治医生可以多赚5000,代价是乱开的药方伤害一个陌生人的性命;建筑商可以多赚500万,代价是豆腐渣工程让许多原本美好的家庭破碎。

只是,早餐店老板知道,第一天用了瘟猪肉,第二天就会砸了招牌;医生知道第一天乱开了药方,第二天病人死了自己要坐牢;建筑商知道,偷工减料出了事故会牵连多少人和事。

法律、秩序和规则,就是为了让人们在按下按钮后不得不自吞苦果。人们规避风险,便是在小心翼翼地维护职业道德。

闭上眼睛想想,其实你我都曾面对这些按钮,为什么你当时没按或按了?回想起你自己当时的感受,便能理解白帽子的行为。

以上纯属一家之言,欢迎讨论

最后自我介绍一下,我是谢幺,普通科技作者一枚,试图用人话来讲解技术和技术人的故事,欢迎各路神仙爆料交流----->dexter0

浅黑科技,让技术被读懂

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180205A0E0QY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券