2017年04月19日 06:26 AM
用市场化手段“收编”黑客

信息时代的结局是,“软件正在吞噬这个世界”。企业竞相推出数字代码和服务,而不以网络安全为重,即便大家都知道必然会有安全问题和软件缺陷。在理应安全的组织都遭遇数据失窃和安全事故的时候,企业显然需要它们能够获得的一切帮助。

令人意外的是,软件巨头现在鼓励黑客对它们进行攻击。谷歌(Google)、微软(Microsoft)和Facebook等公司自2010年以来一直在这么做——通过所谓的“漏洞奖励计划”,或者叫“漏洞悬赏计划”(bug bounty program)。貌似带有美国“狂野西部”时代历史回声的是,公司向独立的安全研究员提供一个机会,让他们通过找到关键的安全问题(可能让我们全都处于风险之中的软件漏洞)而赢得奖金和认可。

尽管2016年可能被称作“黑客之年”,包括去年10月份美国发生的拒绝服务攻击造成互联网大面积瘫痪事件,但2017年可能是“友好黑客攻击之年”。硅谷以外的传统行业推出了更多的“漏洞悬赏计划”。

万事达(MasterCard)、强生(Johnson & Johnson)甚至五角大楼都邀请黑客与他们合作,测试系统漏洞。这些组织对发现漏洞的黑客给予奖励,从而能够从他们的发现总结收获,堵住安全漏洞,甚至招聘到一流的网络安全人才。

这解释了领先公司为何愿意支付巨额赏金。为其他公司管理许多悬赏计划的Bugcrowd表示,在过去几年里,谷歌、Facebook、雅虎(Yahoo)、微软和Mozilla为友好黑客支付了总计逾1300万美元的赏金。

对报告漏洞给予奖励的想法并非什么新鲜事:1995年,网景(Netscape)曾为发现开拓性的Navigator 2.0网页浏览器漏洞的用户提供奖励。现在,数以千计的守法黑客帮助数百家组织找到软件漏洞,用众人的力量让我们大家更安全。奖励从T恤衫和100万航空里程不等,苹果公司(Apple)曾为某些发现提供20万美元单笔赏金。

为发现漏洞提供奖励日益获得广泛认可,因为他们提供的益处远远超过了风险:黑客们从未这么容易地合法向公司报告漏洞,并且不用违法就能获得回报——不妨称之为黑客版的“零工经济”。正如实证经济研究证明的那样,这也是相关公司发现安全漏洞的经济方式。

一些最优秀的漏洞猎手最终获得了企业全职职位的录用通知。这些黑客来自世界各地,由于所处位置、获取高校教育的条件或者资金问题,本来永远得不到面试机会,使公司错失他们的卓越天赋。

《伯克利技术法律杂志》(Berkeley Technology Law Journal)指出,企业还能获得一个益处,那就是漏洞悬赏计划可以成为一种企业治理的“最佳实践”机制。实行此类计划有助于董事们履行其“控管数字资产的责任”。

最后,你可能会问:犯罪分子会不会利用这些计划呢?真相是,他们很少需要从事黑客活动的动机。他们已经在大搞黑客活动,非法获取巨额收益。这些计划让发现问题的个人做正确的事情,也让公司有机会解决问题,同时让报告问题的人获得合法报酬和认可。该过程代表着驾驭数以千计安全研究员力量的可行方式,他们正在帮助打造我们这个互联互通时代亟需的“免疫系统”。这给了我希望。

本文作者是特拉维夫大学跨学科网络研究中心(Tel Aviv University Interdisciplinary Cyber Research Centre)高级研究员,同时也是一名战略分析师

译者/邹策

读者评论
zhangzhichuanda@163.com 2017-04-19 16:41:16
这应该叫白客了
相关文章
中国黑客把目标转向亚洲 澳大利亚与中国达成网络安全协议 应对黑客攻击从MBA抓起 物联网:黑客正在看着你 欧盟遭遇的网络攻击大幅增加 黑客风波引发特朗普与共和党高层不和
热门文章
1. 苹果与微信之间的“附加值博弈” 2. 中国气候外交转身悄然撬动世界秩序 3. 香港的未来充满不确定性 4. 余额宝成为全球最大货币市场基金 5. 沈从文新中国生存秘笈(下)
FT中文网
全球财经精粹
下载