延伸阅读:

　　黑与白的抉择

　　但是在白帽与黑帽之间存在一个可悲的事实，对于一个同样的漏洞，白帽黑客通过正常渠道得到的收入远没有在黑帽市场中能得到的多。这是因为白帽黑客的目的是完善产品和保护用户，而黑帽黑客的目的就是赚钱。我在一个大软件公司的朋友告诉过我他们公司为其内部和外部漏洞的搜索者提供的费用，他说为每个发现的bug支付的钱常常不到25美元。可以想象任何正常工作的黑客，都很难指望这点钱过上体面的生活。

　　但是他们确实这样做了，我猜想他们有自己的小秘密。在这个世界上有很多赚钱的方式，我的电脑图书里如果加点非法的内容肯定能卖出更多，我也可以靠逃税来补充一点收入。但当我每天早晨从镜子中看到自己，我会说我对自己所做的很自豪。我做黑客的时候也挣过些钱，但我从来没有未经允许，也没有对任何人带有恶意。无论人性本身是否就带有些恶意的东西，但在我的DNA里它们算是失踪了。

　　许多以寻找软件漏洞为业的公司已经过上了体面的生活，虽然没有那么光彩照人。也许他们不会给发现的bug卖到5000美元以上，但他们已经建立起非常成功的正确运营方式。他们已经成为白帽阵营的名片，成为行业明星。公司的主人创建并养育了公司，为员工建立起长期的职业生涯，而且能迎着人们尊敬的目光，时刻高昂着头。对白帽有兴趣的朋友可以看看“如何当好白帽子安全工程师”这篇文章。

　　对每一个名声不好的黑帽黑客，我都可以给出两个好名声的白帽黑客和他们公司的名字，他们是：@Stake、ZDI、iDefense、David Litchfield、Foundstone、Dave Aitel、Immunity，还有更多。

　　我赞同Charlie和其他“No More Free Bugs”的倡导者们应该靠自己最拿手的技能来谋生。但我希望他们至少应该先了解一下买家到底是怎么回事，然后再考虑是不是可以把漏洞出售给他。我们需要他们向我们保证，每一次他们都是站在我们这边。

　　路边的硬币捡不捡？

　　如今出售安全漏洞算是一个赚钱的机会，而且比以往任何时候都赚钱，尤其是如果你把自己放到黑帽阵营里——这里要向51CTO.com的读者解释一下，就像西部牛仔英雄一样，黑客实际上也有白帽和黑帽之分。普通大众想像中黑客一般指黑帽（Black Hat）骇客；而白帽（White Hat）黑客则是合法的黑客，其现实生活中的身份就是安全专业人士，他们的工作是寻找、测试和修补威胁计算机的漏洞，让狂野的互联网更加安全。

　　即使在白帽阵营里，许多合法的组织也付钱来购买软件的错误和漏洞。首先，许多软件厂商（包括我的全职雇主微软）本身会为内部和外部bug的搜索者们支付数百万美元，虽然金额总是会在bug被发现之前缩水。CanSecWest和其他黑客竞赛为新的零日攻击漏洞悬赏，而其他一些组织如Zero Day Initiative，也会为新的安全漏洞的发现付钱。这些机构最后会收回他们的成本，通过在其后向客户销售相关的安全产品。最后是一个几乎公开的秘密，美国政府拥有人数众多的寻找漏洞的团队，这是出于军事进攻和防卫的目的考虑。另外甚至还有一些漏洞被公开拍卖。

　　对于黑帽黑客来说，只要不在乎买家是谁，他们可以轻松的为自己找到的主流软件的安全漏洞并卖到5000美元或以上。黑市上的报价一般是保密的，但我确实看到过多达10万美元的报价，要求得到Windows Server 2003的远程缓冲区溢出漏洞。考虑到许多软件犯罪集团经常能够在大规模的犯罪计划里挣到数千万美元甚至更多，花上几万美元来购买安全漏洞还是相当划算的。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点