【白帽故事】一年超90万漏洞奖励,Carry_your可复制吗?

阅读量    51735 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

https://p2.ssl.qhimg.com/t0170f0dc8b0f36a9c4.png

全文共4285字,阅读大约需要7分钟

法律风险下,挖漏洞就像好人提醒仓库管理员关门,最具“情商”的提醒办法是进去后不拿金银珠宝,只拿一把扫帚,证明仓库是有被入侵风险的即可。

同样的信息,黑产犯罪人员可以在卖给A买家后,再卖给B、C、D买家,收到信息的人也可以做“二房东”,接着卖,这意味着,100万条信息会被“榨干”到完全失去价值后才被放弃,累计收入可能达到上千万元。而白帽将这些信息作为漏洞提交可能只有3000元奖励。

相对黑产而言,白帽子是一群弱势群体。

在美国职业篮球(NBA)常规赛的竞技舞台上,每个月都会评出一个月最佳球员,如果某一球员拿到这一殊荣,说明他在过去的一个月表现最佳,但在NBA历史上没有球员可以连续12个比赛月都拿到最佳球员。

在漏洞挖掘领域,Carry_your(以下简称Carry)做到了。

Carry从2016年4月开始,连续十二个月在补天漏洞响应平台(以下简称补天平台)月度排行榜中名列第一,厂商对他的奖励超过90万,其中包括专属SRC、公有SRC和360众测。

不难想象,Carry的成绩让他成为了许多白帽黑客崇拜的对象。同行和外界对于他的讨论,主要集中在三个问题。

第一,Carry是如何做到每个月都最快挖到最多漏洞?

第二,(相对黑产)Carry年入90万处在何种水平?

第三,Carry可以复制吗?

在上海的一家咖啡厅, Carry解答了同行和外界对于他的所有疑问,但在回答这些问题之前,我们有必要对Carry的经历有一些基本了解。

http://p1.qhimg.com/t01301acc45d9abdaac.png


01 Carry的成长经历

与许多白帽子一样,Carry走上做安全的道路是因为打游戏,但与其他人的学习动机不同,Carry是因为游戏号被盗。

在一次装备交易中,Carry点开了对方发来的(伪装)TXT文档,电脑瞬间中了病毒,装备在很短的时间内不翼而飞。盛怒之下,Carry主动学习了黑客技术,并在一个月后以牙还牙,戏剧性地重置了盗号者的QQ号,让盗号者被盗号。

在此后技术成长的过程中,Carry做了不少走在“违规”边沿的“恶作剧。”

包括通过远程控制老师的电脑拿到英语试卷;爆破服务器抓取少量肉鸡;和兴趣小组一起劫持中国红客联盟官网;进入大学服务器,寻找“军训女神”,但在最后一步主动放弃;按照全国高校排行榜测试了200多个高校服务器的漏洞,并将漏洞提交给了补天平台。

Carry的成长是“实战攻击”式的,符合“未知攻,焉知防”的原理,但是随着法律的健全与清晰,类似的实战练习其实无时无刻都像是在走钢丝,左边是正义合规,右边就是违法违规。

当被问及:“是否有更好的办法,既可以熟悉“攻”,又可以不在现实中违法时。”

Carry已不再是当年那个爱“恶作剧”的少年,他变得成熟稳重。他说:“所有的非实战,都是人为控制的环境,对突发问题的经验积累很少,但是考虑到合法合规,现在仍然有很多方式可以帮助白帽子提高。比如自己搭建模拟漏洞环境、打CTF比赛等。”

https://p1.ssl.qhimg.com/t018b56f26195d844ed.png

即使是在真实的漏洞挖掘环境中,Carry也远比自己少年时要谨慎细致的多。他说:“比如在证明一个漏洞的危险程度时,数据库中有很多信息,选择一些无关紧要的信息跑,能证明漏洞的价值即可,不要触碰核心信息。”

这一过程就像好人提醒仓库管理员关门,最具“情商”的提醒办法是进去后不拿金银珠宝,只拿一把扫帚,证明仓库是有被入侵风险就完成了使命。

将200多个大学漏洞提交给补天平台后,Carry通过“库带计划”(补天平台对接厂商和白帽子,以现金奖励方式征集开源建站系统漏洞),进入360实习,并在不久后转为正式员工。

但因为不习惯北京的气候,2016年4月,Carry在和新婚妻子商量后,选择前往上海打拼,也正是在那里,他正式开始了漏洞挖掘的巅峰之路。


02 如何每月最快挖掘最多的漏洞?

因为“经验”,Carry反复提到这个抽象的词语,可经验到底是什么?

Carry从不吝啬他挖漏洞的方法,经常积极地将其分享给其他朋友,但即使这样,也很少有人真的像他一样近乎“偏执”地“挖”下去。

Carry说:“我比较固执,属于撞了南墙也不回头的那种,对于一个厂商的漏洞我会一直挖下去,一周不行两周,两周不行一个月,直到对这个厂商的漏洞非常熟悉,熟悉到只要这个厂商有更新,我就能快速地找到漏洞。”

事实上,Carry的做法并不符合漏洞挖掘的常规。漏洞挖掘市场的一般规律是:“当一个厂商有大面漏洞爆发时,众人一拥而上,用较低的时间成本,疯抢漏洞,赚取奖励;而当一个厂商漏洞较少时,因为搜索漏洞的时间成本上升,大家便逐渐退潮。”

Carry说:“大家退潮的时候,我不会退,我还会一直挖。我觉得不应该计较一个漏洞挖掘的时间成本,而是看整体,深挖的过程会让自己对厂商更加熟悉,也就是所谓的“经验。”在该厂商再次更新版本的时候这种经验会体现出作用,很自然地,你就会比其他人更快的挖到更多漏洞。方法很笨,但效果很好。”

为人所不知的是,在Carry连续十二个月拿下补天月度冠军之前,类似的深挖工作,他做了三年。最早Carry挖掘一个漏洞大约价值80块钱,比现在许多挖洞“菜鸟”还要低,当时,他挖洞一年的收入也不超过两万。

但是Carry选择了坚持。

http://p6.qhimg.com/t013192b9642abcee15.png

Carry说:“其实没有什么技巧,坚守一些底线的原则并坚持的做下去就能成。对我而言有三点。”

第一,从简单漏洞入手,虽然奖励不高,但技能提升很快,循序渐进。

第二,很多白帽子将经历花在了抱怨上,埋怨单个漏洞钱给低了。我觉得不能心浮气躁,仅仅看单个漏洞的价值,要沉住气,看整体的价值。

第三,不要因贪心动歪念头,比如因为钱给少了,就卖给黑市。一旦陷进去就出不来了。


03 相对黑产,Carry年入90万处在何种水平?

据安全专家估计,在中国,黑产涉及的金额可能已经超过了上百亿。仅以老百姓的信息泄露为例,每个老百姓的个人信息假设价值1元钱(其中包括姓名、手机号码、银行卡账号甚至密码、住址、通讯录信息、社交软件信息、照片等),若以单次售出100万条一手信息计算,黑产犯罪人员一夜可以赚得100万元。

而针对同样的信息,黑产犯罪人员可以在卖给A买家后,可以再卖给B、C、D买家,收到信息的人也可以做“二房东”,继续转售,这意味着,100万条信息会被“榨干”到完全失去价值后才被放弃,累计收入可能达到上千万元。

Carry在早些时间接受采访时曾说:“白帽子跟黑产比起来,属于弱势群体。”

当被问及为什么的时候,Carry平静的语气中带有些细微的情绪,他给出了两点答复:

第一,从容错率的角度而言。黑产躲在暗处,法律的执行者追查黑产的成本很高,可谓暗箭难防,所以即使黑产出了一点差错,也不会完全“翻船”。但是白帽子在明处,白帽子的身份信息,所做的事情,大家都看得清清楚楚,所以如果白帽子在“钢丝”上一步没走稳,掉下来很容易。

第二,从利益回报而言。举个例子,同样的信息,一个漏洞卖给暗网,也就是做黑产,可能可以赚100万,但是将这一漏洞提交给泄露信息的公司,也许连3000元的漏洞奖励都没有。白帽子无时无刻不再面临着利益超出百倍的“诱惑。”

http://p2.qhimg.com/t01e3e0b9dc3c27901a.png

很多人都会想问:“面对这么大诱惑,白帽子的内心有过犹豫和纠结吗?”

Carry说:“我身边有朋友做(黑产),曾邀请我一起做,但我拒绝了。我看到的是一些人做黑产之后再也出不来了。要么过着纸醉金迷的生活,每天担心被抓捕,要么已经被抓捕,总之,一旦做了黑产再也过不了正常人的生活,而我更喜欢正常的生活。”

此时,笔者问Carry:“是否觉得自己是一种证明?证明了黑客可以通过合法的手段,抵抗住诱惑,光明正大地赚钱。”

Carry喝了一口咖啡,抿着嘴沉思了一下说:“也许是吧。但有时候我会觉的有些不公平。正义太不值钱,邪恶却那么值钱。特别是在你做好事儿的时候,一些厂商并不领情,不重视漏洞的风险,觉得你是“故意找茬”,有点吃力不讨好。”

Carry出生于一个传统家庭,早些年他做白帽子都遭到过父母的反对,在父母的理解中,白帽子也是黑客,黑客就是“在网上偷东西”的人。

当父母看到Carry无数次面对“吃力不讨好”,还依旧坚持时,父母明白了。他们清楚地知道了自己儿子所做的事情是在为社会做贡献,为国家安全、企业安全、个人安全奉献着自己的能量。父母意识到,白帽子是正义的,不是“小偷”,而是“侠客”。

http://p0.qhimg.com/t0181699189d7ea488e.png


04 Carry可复制吗? 

“可复制”Carry说:“但是现在的情况是蛋糕做大速度很慢(专属SRC厂商增速很慢),白帽子的增速却很快,狼多肉少。一个Carry出现,另一个Carry就会消失,这样产业永远无法做大。”

根据CNNIC发布的第39次《中国互联网络发展状况统计报告》显示,截至2016年12月,中国的网民规模达7.31亿,互联网普及率为52.3%,网络已经成为人们不可分割的一部分。

这句“没有网络安全,就没有国家安全、企业安全、个人安全”说了很多年,但到今天,它再也不是空谈,而是赤裸裸的现实。

Carry说:“虽然市场前景很乐观,市场也很大。但就当下而言,重视网络安全的企业还是太少了。专属SRC的增速无法和白帽的增速相匹配,白帽子的竞争压力将会越来越大。”

许多新入行的白帽会问:“难道没有缓解压力的方法了吗?”

据Carry所言:“众测将成为专属SRC的有利补充,也就是另一块蛋糕,它将缓解白帽在专属SRC中的竞争压力。”(众测是指根据企业的需求,组建白帽子精英团队,为企业产品、系统进行针对性的安全测试。)

http://p9.qhimg.com/t01b119890326a9c6a5.png

左一谭晓生右二 Carry

两块蛋糕的吃法,Carry认为从根本上是一致的,还是三点:“第一,抢着吃,要快;第二,挑”质量”好的吃,要准;想做到上述两点,要先做第三点,积累经验,接受不够成功,坚持地去吃。” 其中最重要的,是最后一条。


05 白帽事业的背后

Carry说:“我是一个很固执的人,这种固执用到做事上,很好。用到家庭和生活中,就不太好。所以我有时候会跟太太闹一些小矛盾。”

在360实习的时候,Carry认识了她,为了跟她有更多的共同话题,他越权去一个招聘网站拿到了女孩儿的简历。当他和女孩儿摊牌的时候,女孩儿有些惊吓又有些惊喜,这种“浪漫”有点与众不同。

有一次,还是男女朋友关系时,他们因琐事吵架,Carry的脾气很倔,不会哄女孩儿。她说要分手回家,Carry完全没有拦她。她回老家后,Carry感到了心中的一股阵痛,他这才赶紧定了最近的航班去她的老家把她追了回来。

他们结婚后,每年的生日,太太都会给Carry惊喜,让他印象深刻的是,有一次她做了影集,记录下了他们在一起的点点滴滴。Carry说:“对于做白帽子的事儿,太太很支持,也很理解我,就是我自己,有时候太倔了。”

https://p5.ssl.qhimg.com/t01a6b62b5189ed8fd8.png

现在,夫妻俩有了孩子,在上海这个大城市有了一个自己温馨的小家。Carry说自己有了孩子之后变了,他说:“是一种责任心,我开始不光是为了我一个人奋斗。比如众测,在和家庭有冲突的时候,我会有所取舍,如果孩子哭了,要照顾孩子,一些项目就不做了。但是我感觉很值,对于项目来说,孩子更重要。”

https://p4.ssl.qhimg.com/t01d7f16629547fc8ac.png

有朋友评价说Carry是一个低调的大神,令人敬仰和钦佩。但是Carry身上似乎更多的是勤奋和努力。他穿着平淡无奇的体恤衫,白天乘坐一个小时的地铁往返上班,晚上花费四个小时进行漏洞挖掘和众测,日复一日。

在家Carry照顾妻子和孩子,出门扛起工作和事业。Carry说自己就是一个普通人,压力大了绕着街道跑跑步,饿了就吃,渴了就喝。他说:“如果想保持第一,长期的一致的坚持比短期高爆发要管用的多。”

一年超90万漏洞奖励,Carry_your可复制吗?

答案不在他身上,而在你心里。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多