什么樣的網(wǎng)絡(luò)漏洞購買北京二環(huán)一套房？這是答案

今天中午，雷鋒網(wǎng)宅客頻道編輯小李看到了一篇令人悲傷的新聞——《北京二環(huán)一套房，可買美國一個鎮(zhèn)》?？吹竭@個標(biāo)題，小李立馬掰著指頭數(shù)了數(shù)自己的工資，在二環(huán)買房，起碼要幾個生命的輪回。

不過，小李買不起，不代表黑客買不起。想起前一陣子，Pwn2Own 比賽剛落幕，看到那一項一項的獎金列表，感覺黑客靠挖漏洞拿獎金真是一個發(fā)家致富好路徑！

真的有這樣的漏洞能讓你在北京二環(huán)買套房嗎？為了探究這個問題，小李盤了盤正經(jīng)黑客靠漏洞掙錢的幾個途徑。

1.黑客大賽

黑客界享有盛名的幾個黑客大賽獎金都比較豐富。

PwnFest 是韓國POC (Power of Community) 主辦的黑客破解大賽。2016 年的 PwnFest 賽事不僅總獎金高達 170 萬美元，為歷屆黑客大賽之最，而且每一個單項項目的獎金也刷新比賽歷史上的最高記錄。以虛擬化軟件 VMware 為例，其獎金為 15 萬美元，最后冠軍隊伍拿到了 53 萬美元的獎金。

還有一個獎金特別豐富的比賽。據(jù)傳，Pwn2Own 是全世界最著名、獎金最豐厚的黑客大賽，由美國五角大樓網(wǎng)絡(luò)安全服務(wù)商、惠普旗下 TippingPoint 的項目組 ZDI（Zero Day Initiative）主辦，谷歌、微軟、蘋果、Adobe等互聯(lián)網(wǎng)和軟件巨頭都對比賽提供支持，通過黑客攻擊挑戰(zhàn)來完善自身產(chǎn)品。

說白了，有這么多著名科技公司在背后支持，感覺鈔票要滿天飛。

2017 年的 Pwn2Own ，單項破解最高金額是 20 萬美元。下圖就是2017年的所有參賽戰(zhàn)隊斬獲獎金列表，注意哦！單位是“美元”。

【圖片來源：安全?！?/p>

2016年，谷歌也宣布了一項黑客競賽項目 Zero Prize，以 20 萬美元獎金獎勵其安卓安全的貢獻者。第一名可以拿到最高 20 萬美元獎勵，第二名可以得到 10 萬美元的獎勵，同時該安卓安全獎勵對其他參與者的獎勵也至少有5萬美元。

如果你嫌棄這些獎金是“兩位數(shù)”美元，還有三位數(shù)在招手！

2016年，美國國內(nèi)存在時間最長的黑客大會之一DEF CON舉辦時，美國國防部高級研究計劃局（DARPA）為參與網(wǎng)絡(luò)挑戰(zhàn)賽（CGC）的獲勝參賽隊伍發(fā)放共 400萬美元的獎金，給第一名提供 200 萬美元的獎金。

Capture The Flag( 簡稱 CTF )，直譯為“奪旗賽”，是一種考量選手網(wǎng)絡(luò)安全知識素養(yǎng)、解決難題能力和攻防技術(shù)水平的比賽。選手需要具備的技能包括密碼破譯、信息隱藏、二進制分析、逆向工程、移動安全、漏洞挖掘與利用、Web滲透、電子取證、程序編程等。在各大 CTF 賽事中，全球最有影響力的莫過于 DEFCON CTF。

2016年，入圍的15支參賽隊伍在 CGC 平臺上開展了CTF 比拼，來自中國的參賽隊伍 b1o0p 拿下了第二名，獲得冠軍的是來自美國的 PPP 戰(zhàn)隊。

你看，中國黑客離 200 萬美元只有一個隊伍的差距嘛，想想是不是很激動？

這樣看來，獲得冠軍的隊伍拿下北京二環(huán)的一套普通住宅還是沒有問題的！

黑客大賽遍地是獎金，一個項目的獎金不夠，一個大賽的獎金不夠，多參加幾個憑借逆天實力與超強漏洞，還是有希望在北京二環(huán)過上美好生活的！

2.各大公司的漏洞獎勵計劃

微軟的 BUG 獎勵項目已經(jīng)存在挺長時間的了，不過在 2015 年，微軟宣布要對此項目做個升級——向微軟報告一個漏洞，最高獎金可以達到 10 萬美元——先前獎金最高是到 5 萬美元。

2016年，微軟發(fā)布了一個高危漏洞的補丁，該漏洞由騰訊玄武實驗室創(chuàng)建者于旸（TK教主）發(fā)現(xiàn)，并將其命名為“BadTunnel”，是目前Windows歷史上影響最廣泛的漏洞，從 Win95 到 Win10 都受影響。尤其對于微軟已不支持的版本（如Win XP），其用戶將面臨被秘密監(jiān)控的危險。因此，微軟的漏洞獎勵計劃為其授予 50000 美元的獎金。

【神一樣的TK教主】

TK 還和微軟的漏洞獎金計劃有個小故事，他此前還拿過微軟 10萬美元的獎金。在圖靈訪談里，他是這么自述的：

“2013 年 3 月 8 日，我在 CanSecWest 2013 上介紹了一種通用的繞過 DEP、ASLR 甚至 EMET 的技術(shù)，并提出了相應(yīng)的防御建議——沒有直接報告微軟是因為此前微軟不認(rèn)為這類問題屬于漏洞。

在我公開這個技術(shù)后一個多月，微軟發(fā)布了 EMET v4 Beta，在其中根據(jù)我的描述和建議，對這種漏洞利用方法進行了檢測防護。但就在新版 EMET 發(fā)布后的第二天，我發(fā)現(xiàn)這個版本雖然新設(shè)計了很多防護功能，但實現(xiàn)上存在重大安全問題，甚至反而會使漏洞利用變的比不裝 EMET 更容易。于是我將該問題報告給了微軟。

又過了兩個月，2013年6月17日，微軟發(fā)布 EMET v4 正式版，在其中修復(fù)了我發(fā)現(xiàn)的問題。并在同一天，啟動了 Mitigation Bypass Bounty 項目，征集繞過 DEP 和 ASLR 等防御技術(shù)的方法，給出了最高 10 萬美元的獎金。后來還在官方 Blog 中用我當(dāng)初提出的技術(shù)作為例子，來說明什么樣的技術(shù)才符合 Mitigation Bypass Bounty 項目的標(biāo)準(zhǔn)。

于是有很多朋友誤以微軟已經(jīng)給我發(fā)了這個獎，向我表示祝賀。我跟他們說其實沒有，并且不太相信微軟真的會給獎金，畢竟他們已經(jīng)堅持了十幾年不為漏洞付錢的原則。

但是，2013 年 10 月 8 日，微軟公布了 James Forshaw 成為第一個獲得 Mitigation Bypass Bounty 的人。我很驚訝，沒想到微軟轉(zhuǎn)變了風(fēng)格。然后我告訴老婆：很可能是我之前提出的技術(shù)促成微軟設(shè)立了這個獎，但我卻錯過了成為第一個拿到獎的人。我老婆表示很可惜，于是我對她說：“你別急，我給你弄一個回來”。

然后我花了一些時間，把之前研究的另一些漏洞利用技術(shù)做了實現(xiàn)，發(fā)給微軟，然后拿回了這個獎?！?/p>

TK 曾對雷鋒網(wǎng)宅客頻道編輯表示，他把歷次漏洞獎金都攢著，作為自家小孩的教育基金，除了醫(yī)學(xué)這種耗錢的學(xué)科可能有問題（TK 是大夫出身，人稱“婦科圣手”），念別的學(xué)科應(yīng)該綽綽有余了！

你看，人家沒提想買二環(huán)的房子，是不是已經(jīng)買了？

谷歌從 2010 年推出 Bug 賞金計劃以來，它已發(fā)放了逾 600 萬美元獎金。2016年，谷歌向用戶推送了 51.0.2704.79版 Chrome。該版本總共修復(fù)了15個安全漏洞及其他一些系統(tǒng)漏洞。在這 15 個漏洞中，其中有2個為高級別，它們能讓攻擊者繞過瀏覽器的跨源代碼執(zhí)行限制并通過 Blink 引擎及其擴展組件在上面運行惡意代碼。谷歌為發(fā)現(xiàn)這 2 個漏洞的安全研究員提供了 7.5 萬美元的獎金。此外，還有 5 個安全漏洞為中等級別，它們的獎金從 1000 美元到 4000 美元不等。

這里有個小故事。安全研究員桑美?韋德 在2015年 發(fā)現(xiàn)谷歌域名 Google.com 尚未注冊，于是花費12美元成功買下了這個域名。谷歌原計劃給他獎勵 6006.13 美元（這個數(shù)字看起來與谷歌的拼寫很像），這個都不算漏洞，但也在獎勵計劃內(nèi)，而且，當(dāng)該公司發(fā)現(xiàn)韋德準(zhǔn)備將這筆獎金捐給慈善機構(gòu)時，它將獎勵金額提高了一倍。

蘋果公司就更土豪了。

2016年，蘋果表示，將向發(fā)現(xiàn)軟件產(chǎn)品漏洞的相關(guān)人員提供最高 20 萬美元的獎勵。比如，發(fā)現(xiàn)安全引導(dǎo)固件組件類漏洞即可獲得最高 20 萬美元獎勵，而那些小修小補，像發(fā)現(xiàn)從沙箱進程可訪問沙箱以外的用戶數(shù)據(jù)的錯誤則最多可獲得 25000 美元的獎勵。

2016年，F(xiàn)acebook 給來自佐治亞理工學(xué)院的研究人員頒發(fā)了10 萬美金，用于獎勵后者發(fā)現(xiàn)了一種基于瀏覽器可讓內(nèi)存崩潰的新類別漏洞，同時他們還建立了對應(yīng)的檢測技術(shù)。

有了這些互聯(lián)網(wǎng)巨頭在前，不少公司也跟上對漏洞發(fā)現(xiàn)者“大大有賞”。比如，口令安全公司 1Password將其漏洞獎勵最高獎金從25000 美元提升到了100000 美元。其博客上稱，獎金數(shù)額的增加，是為了進一步激勵研究人員。

國內(nèi)，各大公司的 SRC 也有漏洞激勵計劃，不過在獎勵金額相對而言沒有國外大廠這么多。

某業(yè)內(nèi)人士向雷鋒網(wǎng)表示：“據(jù)說，騰訊安全應(yīng)急響應(yīng)中心（TSRC）每年預(yù)算是幾百萬，包含各類獎金，每年都會有年會，漏洞之王也有十幾萬元的獎勵。螞蟻金服安全應(yīng)急響應(yīng)中心（AFSRC） 對單個漏洞有獎勵過最高的 36萬。反正，我知道好幾個黑客在家專門挖洞，把工作辭職了?！?/p>

到底一個漏洞能拿到多少獎勵？小李從側(cè)面了解到，這些漏洞獎金的具體數(shù)額除了廠商知、黑客知，官方不會刻意具體公開，有些還會簽署保密協(xié)議。比如，蘋果曾在 2016 年搞過一次“鴻門宴”，召集了全球他們看得上的一些 iOS 系統(tǒng)破解人員來聊獎勵的事，據(jù)一些參加了此次會議的中國黑客向雷鋒網(wǎng)透露，這次就簽署了保密協(xié)定。當(dāng)然，在一些新聞稿和黑客的社交賬號內(nèi)，也不排除人家會“曬曬曬”。

3.互聯(lián)網(wǎng)漏洞平臺

除了很多大型的科技公司都有自己的漏洞發(fā)現(xiàn)獎勵制度，如 HackerOne 這種漏洞平臺，企業(yè)可以在上面花錢找黑客攻擊自己，然后發(fā)現(xiàn)漏洞。漏洞越大，企業(yè)支付的費用越高。

據(jù)說，HackerOne 會賺取費用的 20%，剩下的就是黑客自己的傭金。

HackerOne 創(chuàng)始人 Abma 曾在 2016 年在接受獵云網(wǎng)的采訪時說：“每發(fā)現(xiàn)一個有價值的軟件漏洞，客戶公司就會為此支付 500 美元到 1000 美元不等。有一些黑客每年能賺 20 萬美元，大約有 20 個人每年能賺 10 萬美元。我知道有人今年的個人目標(biāo)是 50 萬美元，我相信他可以做到的?！?/p>

阿里云云盾先知平臺白帽子貢獻排行榜排名第一的白帽子 Gr36_ 從 2016 年開始在先知平臺活躍，也在國內(nèi)其他眾測平臺“挖洞”，Gr36_ 在先知平臺已經(jīng)累計拿到 285950 元的獎金。

在國內(nèi)漏洞平臺補天上，雷鋒網(wǎng)發(fā)現(xiàn)，總榜排名第一的 carry_your 拿到了 570900 元獎金，他在補天上提交第一個漏洞的時間是 2015 年 1 月 21 日。為此，小李特地采訪了 carry_your ，想問問他挖漏洞賺錢的體驗，還有大家關(guān)注的幾個問題。

【補天官網(wǎng)3月31日截圖】

【carry_your 和雷鋒網(wǎng)的對話，已獲 carry_your 授權(quán)】

4.漏洞中間商

著名“網(wǎng)絡(luò)軍火商”Zerodium ( 0day 中間商 )值得單拎出來在這里說一說。Zerodium的商業(yè)模式和 Hacking Team 相同，是一家向政府和企業(yè)銷售安全漏洞套裝和間諜工具的供應(yīng)商。

Zerodium 曾發(fā)布過各類從網(wǎng)絡(luò)罪犯購買然后轉(zhuǎn)售給需求者的目標(biāo)軟件和入侵方法的價格表。雷鋒網(wǎng)從 Zerodium 找到了一張價目表。

可以看到，最值錢的是蘋果 iOS 的 0day，最高收購價格可達 150 萬美元。

據(jù) 2015 年的一個報道顯示，Zerodium 曾公開表示，例如，如果通過 Internet 瀏覽器或 Safari 瀏覽器攻擊計算機或遠(yuǎn)程控制用戶的電腦最高可以獲取 50000 美元。但如果目標(biāo)比較困難攻破，像谷歌瀏覽器，價格將會上升至 80000 美元。如果目標(biāo)是 Windows 手機設(shè)備或安卓系統(tǒng)，那價格將進一步增加至 100000 美元。到目前為止列表上的最高價格是攻擊者通過 iOS 攻擊賺取了 150000 美元。

Zerodium 還曾在 2015 年懸賞過，iOS 9 前三個 0day 漏洞能夠獲得每個漏洞都可獲得最高 100 萬美元的獎金。

據(jù)公開資料，Zerodium 的創(chuàng)始人名叫貝克拉 (Chaouki Bekrar)，除了這家安全公司之外，他還在法國巴黎開辦了一家名為 Vupen 的公司。這家法國公司的業(yè)務(wù)頗受爭議，他們專門開發(fā)針對知名軟件的攻擊手段，然后將漏洞和攻擊方式轉(zhuǎn)讓給全世界的政府情報部門。

5.黑市和黑產(chǎn)（違法途徑）

黑客唐青昊在大學(xué)期間，曾做過一個軟件，被人購買后，他無意中得知，購買控制軟件的這個人把軟件用在了“灰色地帶”。僅僅一個月的時間，就賺到了一個天文數(shù)字，唐青昊自此對此深惡痛絕。

這還只是一個控制軟件，并不是漏洞，甚至不是人人盯著的 0day 。

洋蔥網(wǎng)絡(luò)Tor中曾出現(xiàn)了一個名為 TheRealDeal 的地下市場，為買賣雙方提供了的 0day 漏洞交易的服務(wù)。黑市的漏洞價格其實可以參考 Zerodium 發(fā)布的價格表，可能差不多，但也有業(yè)內(nèi)人士表示，黑市價格應(yīng)該比 Zerodium 發(fā)布的價格表更高。

“如果臺面上的價格等于黑市價格，那大家干嘛還拿去黑市賣，還有風(fēng)險?！痹摌I(yè)內(nèi)人士說。

知道創(chuàng)宇超級安全體檢團隊負(fù)責(zé)人王宇曾在《南方都市報》的一篇報道里提到，“我看過的黑市叫價最貴的漏洞達到300萬元以上”。

不過，雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))要提醒的是，這并不是什么正當(dāng)途徑，不是發(fā)家致富的好路子，切莫伸手。

致謝：騰訊安全云鼎實驗室的安全研究員張祖優(yōu)（Fooying）對該文撰寫提供了幫助。