白帽黑客的大生意

當黑客發現安全漏洞后不再把它們拿到黑市上去賣，而是警告企業進行修復時，雙方緊張的關系就已經悄然變化了。只是彼此間的信任仍舊很難建立，而荷蘭小伙Michiel Prins和Jobert Abma的生意，就是構建這種溝通橋梁。

發起于網線另一端的“濫殺”

黑客，嚴格意義上來說是一種“自由職業者”，同時也是全球性質的雇傭兵。接收到一封可靠的郵件和一筆預付金，就可以在自己的小房間里開始工作了——也就是發起網絡攻擊。比較典型的，就是剛剛結束不久的全球黑客大混戰事件。今年5月底，南海態勢的不斷升級引發越菲兩國在網絡上掀起了一波針對我國的黑客攻勢。他們在Facebook、Twitter等社交媒體上進行大范圍煽動，并招募了大批海外（主要是美國）黑客，準備在5月30日中午，對中國發動代號為“OP China”的網絡攻擊。

網絡戰爭開始之后不久，事態就到了失控的邊緣。因為攻擊目標大多是政府、教育機構、企業的網站，防護能力相對薄弱，可以利用的漏洞也多，所以初期有不少網站出現了異常。而國內的紅客團體的反擊也非常迅速，越南和美國的黑客先后支撐不住。這段時期的戰斗最為激烈，高峰時期的攻擊數達到了5萬。但很快，人們發現苗頭有點不對。越來越多的國家被卷了進來。先是俄羅斯開始攻擊美國，而后烏克蘭也加入戰斗；隨著葡萄牙無辜躺槍，歐洲戰區也打成了一片火海……

所有人都覺得，在越菲挑起黑客大戰后，這會變成中美兩國黑客的炫技大賽。而實際上，根據全球黑客實時監控網站Norse的數據顯示，在大混戰后期，美國的被攻擊點達到了中國攻擊發起點的6倍，同時韓國攻擊中美的攻擊點幾乎同樣多，這意味著黑客攻擊已經進入了一種完全無序的狀態。戰爭來得快也去得快，可在這場暴力狂歡背后，有無數的人被卷了進來，他們的損失無人埋單。而參戰者中，有很多都是沒拿到傭金的“志愿者”。

非法、沒有報酬，而且全無益處，這種費力不討好的事情，黑客們做過很多。當然他們可能會說這只是一個愛好，在發動攻擊以外，他們還有自己的正常生活。但如果這個愛好能被洗白，甚至比以前更賺錢，而且不必擔心會惹上大婁子，豈不是再好不過？

黑客的商業價值

黑客就像是躲在網上的間諜，每天都會研究各個目標網站的代碼和更新數據，準備從里面發現可以利用的漏洞，然后把它們拿到網絡黑市上去賣。只有少數黑客會自己把漏洞利用起來。畢竟在他們自己手中，漏洞的價值往往并不高。除非一些頂級黑客，為了獲得更有價值的信息，會把自己編寫的木馬程序種到漏洞中。

不同等級的黑客，賺錢的方法也各不相同，而最為普遍的就是上面所說的模式。有人可以只編寫木馬軟件，就有公司出上千萬年薪養著；也有人負責在木馬截獲的相關情報中提取有價值的信息——他們頂多算是最初級的黑客。而對于攻擊目標，也就是網站所有方而言，任何一種黑客都是站在對立面的。因為如果把黑客行為視為一種綁架，那提供了“肉票”位置信息的黑客們，雖不是犯罪的直接發起人，但卻是最重要的一環。所以被攻擊方和黑客們的交流幾乎為零，以至于這些天才們永遠都只會為被攻擊者的敵人效力。

但這場較量中的三方都忽略了一個事實，那就是除了攻擊者需要這些漏洞外，被攻擊者同樣需要——甚至可能更需要。去年年初，蘋果曾非常頻繁地更新自己的iOS系統，原因就在于那段時間漏洞出現得非常多。漏洞解決不了，很可能會導致一系列惡性事件，比如用戶隱私泄露，甚至導致蘋果總部受到攻擊和控制。所以曾有黑客嘗試著在發現漏洞后去聯系企業，但大部分企業選擇了忽視警告，或者是一聲不吭進行了緊急修復，導致了黑客的工作完全得不到回報。

對于企業而言，這種對待方式是無比愚蠢的。因為覬覦這些漏洞的不只有黑客和普通的攻擊者，他們背后可能藏著更大更可怕的組織，比如政府。有些發現漏洞的黑客可以把相關信息賣給政府部門，酬勞高低要看這家企業是不是重點照顧對象，以及漏洞的危險系數，有時候能高達數十萬美元。而這些漏洞會被政府保存在“網絡武器庫”中，在需要對該企業發動攻擊時，就會被重新拿出來利用。而政府支付了酬金，就意味著他們擁有了這個漏洞的“所有權”，黑客無法再把相關信息轉賣給企業。這意味著一旦走到這一步，漏洞往往永遠都不會被發現或修復，直到被攻擊的那一天。

曾有一名黑客把一個關于iOS操作系統的漏洞賣給了一家美國政府機構，拿到了100萬美元的酬勞。但如果他把這個信息通知蘋果公司，也許不會被報警通緝，但肯定是拿不到一分錢的。企業將黑客行為默認為一種犯罪，卻忘了在他們把漏洞Bug掛到網上去賣之前，其所做的不過是篩查出了網站中可能被攻擊的薄弱區域。想讓這層堅冰破開，首先要做的是幫黑客們把頭頂的黑色帽子摘下來。

擱淺的挑釁，成功的革命

在成立HackerOne公司之前，Michiel Prins和Jobert Abma這兩位年輕的荷蘭黑客，本來是打算黑掉100家高科技公司的。他們整理出了100家系統存在安全漏洞的企業，其中包括Facebook、谷歌、蘋果、微軟和Twitter五大巨頭。不過在把這份名為“Hack 100”的清單當成“戰書”下發給這100家企業的高管時，有三分之一的人選擇了忽略警告，另有三分之一表達了感謝，并沒有去管這些漏洞，而剩下的人則趕緊去把漏洞修復了。值得一提的是，這100家企業出于對他們的感謝，沒有一個選擇報警。在2011年的大環境下，擅自挖掘企業的漏洞仍然屬于犯罪行為。

這件事給了倆人一個啟示，那就是企業對黑客們提供的這項服務心存感激，所以黑客們完全可以給企業提供有償的漏洞搜尋任務。所以他們聯合另外一個住在硅谷的荷蘭人Merijn Terheggen，共同創辦了HackerOne。而后在警告Facebook時，他們遇到了時任Facebook產品安全主管的Alex Rice。Rice請他們吃了一頓午餐，商討解決了存在的Bug問題，然后代表公司支付給了這些黑客4000美元的賞金。最后，他成了HackerOne的第四個合伙人。

HackerOne的運作方式非常簡單，他們一方面負責說服黑客們報告所發現的安全漏洞，而不是加以利用或者出售，另一方面則要讓更多企業加入到自己的聯盟，愿意為尚未公布的自身漏洞買單。換句話說，漏洞發現者可以放心大膽地把漏洞信息賣給企業自身，而不必到處找賣家，同時還不必再擔心自己身份暴露后會吃官司。同時企業也可以通過支付有限的“學費”來完善自己網站的漏洞，從而避免被競爭對手或其他人抓住命門。HackerOne則會從每一筆在自己平臺上完成的“漏洞-賞金”交易中，抽取20%作為傭金。

去年這家創業公司已經說服了雅虎、Twitter、Square等科技公司使用他們的服務，此外其客戶群中還有一些你根本想不到的公司，譬如銀行、石油等行業的龍頭老大。因為當今的大格局已經擺在了面前：全世界有數十萬臺聯網設備，其中有相當一部分存在缺陷。至于缺陷的嚴重性有多高，只有那些有專業黑客能力的人才可以進行判斷。所以給這些人支付工資，也是對他們勞動價值的肯定。

“有能力的黑客能收到回報，從而讓他們有一個受保護的、可靠的職業。而企業方也能主動避免被黑的可能，畢竟除了白帽黑客之外，還有更多人是抱著攻擊的目的去發掘漏洞的。而我們的工作，不過是讓這件雙贏的事情變得更為簡單。”HackerOne的首席政策官Katie Moussouris如是說。

一位不愿意透露姓名的18歲黑客表示，他從13歲就在好奇心的驅使下開始入侵PayPal和Facebook，并在PayPal找到了10個漏洞，這些漏洞幫他賺到了5000美元。而加入HackerOne之后，他仍然做著自己感興趣的事，迄今為止他已經靠幫26家企業尋找漏洞，賺到了40000美元。曾有中間人建議他把發現的一個漏洞賣出去，對方已經把價開到了3000美元。但他說：“你不知道他們會如何利用這個漏洞，或者都有誰會利用它。而且他不許我跟別人提這個漏洞是我發現的，那實在是太無趣了。”

“Secret先生”們的第二張面孔

其實企業獎勵黑客發現漏洞的機制，很早之前就已經有了。譬如5年前谷歌開始向黑客支付3133.7美元，來購買重要的漏洞信息。31337是黑客的行話，代表的是“精英”。但肯這樣花錢的公司只是少數，更多的管理層只希望用口頭表揚等榮譽性獎勵，或者是一些紀念品，來搪塞黑客。譬如曾有兩名黑客點名批評了雅虎的安全主管Ramses Martinez，因為他用兩件T恤換走了4個價值數千美元的安全漏洞。

作為該公司最早的一批受益者，Rice認為HackerOne的重要性非比尋常。“所有技術都有漏洞，如果你沒有一個公開的渠道讓負責任的黑客報告這些漏洞，那你就會在通過黑市發起的網絡攻擊中和他們照面。這顯然是最壞的結果。”

HackerOne給目前的經營模式起名為“漏洞發現獎勵模式”（moderated bug bounty programs），其采取的是現在比較流行的反向刺激模式。黑客擔心會血本無歸，甚至暴露身份被投進監獄；公司方則怕漏洞落到真正能構成威脅的人手里，對企業造成更加無法挽回的損失。而HackerOne在確保雙方進行公平公正交易的同時，還可以幫助進行風險評估和定價的工作，讓雙方在進行交易時更加放心彼此。

進入了這個平臺的黑客們，就等于是戴上了一頂白帽子。他們的工作內容完全沒變，仍然是在各個網站上搜尋可能被攻破的薄弱區域，以及那些可以被木馬軟件利用的系統漏洞。不過他們工作的性質已經發生了徹底變化，從之前隱藏在背后的攻擊者，變成了網站的守護者。這份工作顯然會得到更多人的支持，而且獲得的報酬并不會比以前明顯減少。而且黑客們發現了漏洞后完全不必再為出售而操心，因為買主只有一個，那就是企業自己。

為這個公司帶來了900萬美元投資的Bill Gurley相信，未來使用這類服務會成為一種主流。特別是那些科技公司，他們完全可以把網站維護的開支省出來，然后發給在HackerOne里為他們工作的1500名黑客。當然，這個行業不會吸引來全部的黑客，會有相當一部分人仍然想做最傳統的黑客生意。但HackerOne的重心只是維護好合作伙伴們彼此的利益，而不會去想方設法吸引那些對洗白自己不感興趣的純黑客——一旦他們消失了或減少了，漏洞的修復價值也會相對變弱，這對于甘愿站在企業這邊的黑客們來說，絕對不是一件好事。

對于一個剛剛成型的行業來說，想保持微妙的平衡是非常困難的。不過至少目前來看，安全漏洞披露行業還是非常穩定的。而且HackerOne的幾位合伙人多點開花，分別在Facebook和微軟等企業，嘗試了針對性更強的定制化漏洞發現獎勵方案，都大獲成功。合作品牌相信花錢獎勵漏洞舉報者是一件“不需要動腦子的聰明事”，只不過還需要慢慢接受一個事實，那就是曾經的敵人現在已經成了密不可分的合作伙伴。

程序猿玩“大家來找茬”

在越來越多的大公司開始選擇HackerOne的服務時，大部分企業也開始打消自己的疑慮了。在科技公司俯拾皆是的硅谷，這種傳播方式的效率非常高，越來越多的企業成了它的合作伙伴，同時還涌現出了一批競爭對手。首先越來越多的品牌開始籌備自己的漏洞發現獎勵平臺，而且不僅是市面上的主流科技公司，聯合航空這種需要對客戶信息進行嚴格保密的公司，同樣啟動了自己的獎勵計劃。

甚至普通人也可以從這類平臺上獲得獎賞。Twitter表示任何人提交了有效Bug都能獲得至少140美元的酬勞。還曾有一個人在坐飛機時，發現了Wi-Fi系統中存在的一個漏洞，當即發表在了自己的Twitter賬號上。隨后不久，航空公司贈送給了他免費的旅客優惠里程，并通過短信的方式表達了感謝。

另一方面，市面上也有許多更為直接的競爭對手，比如會跟企業收年費進行管理的Bugcrowd。而HackerOne的優勢在于，它是這一模式的鼻祖，所以也招攬到了第一批擁有這方面意向的企業和黑客們。在HackerOne這種模式出現之前，有能力修復漏洞的人，往往會選擇把漏洞留在那里任人攻擊。因為只有問題發展得更為嚴重了，他們自身的價值才能體現出來。而HackerOne的做法是獎勵那些永遠不泄漏漏洞的黑客，并讓他們相信這么做是正確的。

HackerOne匯聚了聲譽最好的黑客們。截至今年6月，這一千多名黑客一共發現了9000多個漏洞，共賺取了大約300萬美元的傭金。而合作企業選擇它還有一個緣由，那就是除了發現漏洞外，黑客們還會幫著做一些其他事情。比如報稅、支付等文書工作，他們同樣可以代勞。

但在一片祥和背后我們也得想到一種情況：任何時候都會有愣頭青出現。死活不肯買賬的公司大有人在，比如蘋果公司。如上文所說，美國政府曾花100萬美元買了蘋果系統的一個漏洞，而從今年年初至今，蘋果一共出現了大概100多個漏洞，其中甚至包括可能泄露用戶密碼的高危漏洞。可蘋果就是堅持不和漏洞發現者合作，而是一再更新自己的系統，現在在黑市上，一個含金量高的蘋果系統漏洞能賣到50萬美元。

今日的漏洞買賣已經成了一條非常成熟的產業鏈，黑客們只是其中一角。當有人把你家網站確認成了攻擊目標，那就會派指定黑客對它進行全面性掃描，從而找到可乘之機。他們甚至可以從空調系統入手，入侵到整個公司的支付系統中。譬如美國政府和以色列政府聯合開發的Stuxnet蠕蟲病毒，就曾經利用多個系統漏洞，破壞了目標清單中的一臺伊朗鈾離心機。

HackerOne這類公司的出現，無疑成了這類漏洞購買者的絆腳石。美國政府正準備修改《瓦森納協定》，要求研究人員在向協定簽署國以外國家的公司提交漏洞信息前，需要先獲得國家相關部門的許可。這樣一來，美國黑客的漏洞發現獎勵業務，就會大大受限。假如HackerOne在和花旗銀行進行合作時，發現的漏洞居然要先上報給國家，這樣花旗肯定是不會同意的。

兩個黑客出身的年輕人，一方面尋找著別人網站中的漏洞，另一方面找準了自身所處行業的“漏洞”，他們創辦的HackerOne即便稱不上改變歷史，至少也是幫全世界躲起來干活兒的黑客們找到了更好的出路。盡管因為各種各樣的因素，其發展過程勢必會比最初波折許多，但我們相信在不久的將來，“黑客”將不再是一個貼有貶義標簽的詞。

編輯·劉海星