【51CTO.com 快譯】尋找軟件的安全漏洞是項艱苦的工作，但對一些別有用心的人來說這意味著大筆的金錢。

Charlie Miller博士是業內最著名的Mac電腦黑客之一。在今年的CanSecWest黑客大賽后，他的一項宣布引起了廣泛關注。

Charlie Miller博士宣稱，他以后將不再免費給軟件廠商或其他人提供他找到的漏洞了。不僅如此，Charlie和他的幾個朋友已經開始發起一項名為“No More Free Bugs（不再免費提供bug）”的運動，甚至設計了自己的Logo。——51CTO編者按：這位仁兄還是挺逗的，他在比賽之后向大眾推薦Mac 稱其病毒感染率低

如果你還不了解Charlie Miller，我可以簡單介紹兩句，在今年的CanSecWest黑客大賽，Charlie只花了10秒鐘就攻克了Mac系統，而且據說他現在已經找到了破解iPhone shell的方法。

我認識并且非常尊重Charlie Miller，而且我相信他的意愿是好的，他只是想靠他的一技之長來生活——在這一點上任何人都一樣，更何況長期以來，Charlie已經給軟件軟件廠商和我們這些安全工作者們提供了無數寶貴的工作。

不過我還是受到一個惱人的問題所困擾，就是Charlie今后會不會把他發現的bug出售給那些具有惡意企圖的人？他尚未做出明確的聲明，我希望也相信他不會，但現在我還不能肯定。

我很喜歡Charlie和那些黑客界的真正精英們。我在過去的20年中見過他們許多人，他們為人善良，我知道他們有很多更輕松的掙錢方法，但他們卻一直走在尋找安全漏洞這條相對艱難的路上。我知道有些天才黑客獨自發現了軟件漏洞，但當他們提供給軟件廠商時，他們的辛勤工作卻經常換不來一點回報，因此他們覺得受到了羞辱。我也看到過很多最初是善意的黑客由于對軟件廠商長年累月的態度不滿，公開一個接一個的bug進行報復。當然我也見識過一些低劣的黑客，他們查找bug的目的就是想在軟件廠商和競爭對手之間挑起事端，然后為他們發現的漏洞賣個高價。

路邊的硬幣撿不撿？

如今出售安全漏洞算是一個賺錢的機會，而且比以往任何時候都賺錢，尤其是如果你把自己放到黑帽陣營里——這里要向51CTO.com的讀者解釋一下，就像西部牛仔英雄一樣，黑客實際上也有白帽和黑帽之分。普通大眾想像中黑客一般指黑帽（Black Hat）駭客；而白帽（White Hat）黑客則是合法的黑客，其現實生活中的身份就是安全專業人士，他們的工作是尋找、測試和修補威脅計算機的漏洞，讓狂野的互聯網更加安全。

對于黑帽黑客來說，只要不在乎買家是誰，他們可以輕松的為自己找到的主流軟件的安全漏洞并賣到5000美元或以上。黑市上的報價一般是保密的，但我確實看到過多達10萬美元的報價，要求得到Windows Server 2003的遠程緩沖區溢出漏洞。考慮到許多軟件犯罪集團經常能夠在大規模的犯罪計劃里掙到數千萬美元甚至更多，花上幾萬美元來購買安全漏洞還是相當劃算的。

即使在白帽陣營里，許多合法的組織也付錢來購買軟件的錯誤和漏洞。首先，許多軟件廠商（包括我的全職雇主微軟）本身會為內部和外部bug的搜索者們支付數百萬美元，雖然金額總是會在bug被發現之前縮水。CanSecWest和其他黑客競賽為新的零日攻擊漏洞懸賞，而其他一些組織如Zero Day Initiative，也會為新的安全漏洞的發現付錢。這些機構最后會收回他們的成本，通過在其后向客戶銷售相關的安全產品。最后是一個幾乎公開的秘密，美國政府擁有人數眾多的尋找漏洞的團隊，這是出于軍事進攻和防衛的目的考慮。另外甚至還有一些漏洞被公開拍賣。

黑與白的抉擇

但是在白帽與黑帽之間存在一個可悲的事實，對于一個同樣的漏洞，白帽黑客通過正常渠道得到的收入遠沒有在黑帽市場中能得到的多。這是因為白帽黑客的目的是完善產品和保護用戶，而黑帽黑客的目的就是賺錢。我在一個大軟件公司的朋友告訴過我他們公司為其內部和外部漏洞的搜索者提供的費用，他說為每個發現的bug支付的錢常常不到25美元。可以想象任何正常工作的黑客，都很難指望這點錢過上體面的生活。

但是他們確實這樣做了，我猜想他們有自己的小秘密。在這個世界上有很多賺錢的方式，我的電腦圖書里如果加點非法的內容肯定能賣出更多，我也可以靠逃稅來補充一點收入。但當我每天早晨從鏡子中看到自己，我會說我對自己所做的很自豪。我做黑客的時候也掙過些錢，但我從來沒有未經允許，也沒有對任何人帶有惡意。無論人性本身是否就帶有些惡意的東西，但在我的DNA里它們算是失蹤了。

許多以尋找軟件漏洞為業的公司已經過上了體面的生活，雖然沒有那么光彩照人。也許他們不會給發現的bug賣到5000美元以上，但他們已經建立起非常成功的正確運營方式。他們已經成為白帽陣營的名片，成為行業明星。公司的主人創建并養育了公司，為員工建立起長期的職業生涯，而且能迎著人們尊敬的目光，時刻高昂著頭?！?1CTO編者按：對白帽有興趣的朋友可以看看“如何當好白帽子安全工程師”這篇文章。

對每一個名聲不好的黑帽黑客，我都可以給出兩個好名聲的白帽黑客和他們公司的名字，他們是：@Stake、ZDI、iDefense、David Litchfield、Foundstone、Dave Aitel、Immunity，還有更多。

我贊同Charlie和其他“No More Free Bugs”的倡導者們應該靠自己最拿手的技能來謀生。但我希望他們至少應該先了解一下買家到底是怎么回事，然后再考慮是不是可以把漏洞出售給他。我們需要他們向我們保證，每一次他們都是站在我們這邊。

【51CTO.com譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】

原文：Should we pay hackers to find bugs?  作者：Roger Grimes