黑客市场:为什么不能走上网络黑客之路?

来源: 瞻博网络印度和南亚区域合作联盟系统工程部总监作者:Sanjay Paul
2014/6/5 10:21:11
在网络犯罪的世界里,有“黑脸”(利用代码从事非法活动的网络犯罪分子)、“白脸”(寻找并弥补技术漏洞的好人)和“灰脸”(介于好人和坏人中间)的说法。灰脸出于善意,对技术漏洞进行确认,并给出建议。

分享到: 新浪微博 腾讯微博
本文关键字: 黑客 瞻博网络
在网络犯罪的世界里,有“黑脸”(利用代码从事非法活动的网络犯罪分子)、“白脸”(寻找并弥补技术漏洞的好人)和“灰脸”(介于好人和坏人中间)的说法。灰脸出于善意,对技术漏洞进行确认,并给出建议。他们并未出于恶意或者个人目的而进行网络黑客行为,相反,他们之所以违反网络规范,是出于追求更高的共同利益——也就是提高 网络安全性。
黑脸获得的“薪酬”非常高。根据瞻博网络委托兰德公司所做的《网络犯罪工具及失窃数据市场:黑客市场》,报告显示,他们经营的黑市甚至比非法毒品交易,获得的利润还要多。由于获利颇丰,因此网络黑市发展十分迅速。网络犯罪的暴利高得令人发指。有鉴于此,网络犯罪常被坏人利用。既然有这么多的诱惑存在,为何还有人没有踏上网络犯罪之路呢?
网络犯罪也是有危害的,只是其危害性并不明显而已。设想这样一个真实的生活场景:一个黑脸用一条滑稽的信息,对一家大公司的网站进行丑化。访问者对于该公司的失误一笑而过,而公司立刻对网站进行清理,安全漏洞随即被修补好,生活一切照常进行。可实际情况真的是这样吗?
事后,负责网站安全的一名员工在论坛上贴出关于此次黑客行为造成的后果的帖子。原来,黑客事件之后,公司针对网络应用的外包团队采取了法律措施。许多人因此而丢掉了工作。公司本身也遭受了财务损失。很明显,这名黑客让许多勤奋的专家深受其害,而这一切仅仅是为了找点乐子,并在黑客界赢得一点名声。当然,这种情况的确需要道德标尺,不过帮助我们了解对与错的道德标尺,并不是在网络世界中做正确事情的唯一原因。资金奖励也是一个重要的原因。尽管与大规模的非法企业违法行为所造成的损失有所不同,黑客市场确实聚集了许多资金,想要得到这部分资金,竞争是十分激烈的,而且这一部分资金将带来更多社会层面和情感层面上的回报。
漏洞赏金计划
越来越多的供应商已经开始发布漏洞赏金计划。此类奖金会颁发给那些发现 软件产品漏洞并将其报告给相应的供应商而不是向公众公开或者在黑市上出售的人。Mozilla基金会是第一批发布此类项目的基金会之一。谷歌、Facebook、PayPal和其他的公司随后也推出了类似的项目。 微软于2013年6月份发布了其漏洞赏金项目。漏洞赏金成为软件安全专 家具有吸引力的合法收入来源。谷歌的奖金目前是最高的,通常每个中等复杂程度的补丁可以得到3,000到5,000美元的奖金,复杂补丁则可以获得10,000美元的奖金。非Chrome exploit最高可获得20,000美元赏金,而_chrome exploit最高则可以获得 150,000美元赏金。巴西网络安全专家Reginaldo Silva向Facebook提出警告,称OpenID认证系统密码存在漏洞。Facebook因此而支付给他33,500美元的奖金。政府采购者和安全公司对未被发现的重大漏洞的赏金出价相当高。就软件供应商而言,他们发现,设立漏洞赏金计划,远比雇用全职人员做同样的工作更具性价比。
零日计划
对于活跃于黑客空间的天才们来说,零日市场内的法律灰色区域是另外一个机会所在。过去,安全研究人员曾暗示过网络漏洞市场存在的可能性。现在,这已经变成了现实。政府、执法部门和安全供应商,已经作为买家的身份出现在这一市场上。专家建议政府和安全供应商应当(从黑客手中)购买零日漏洞,以防止其落入黑市商人的手中。更重要的是,与政府或者安全公司进行交易,出现欺诈的几率要小得多,这也可能成为黑客未来所从事的工作。据称,英国网络防御部队正在尝试雇佣网络黑客,以弥补在拥有网络防御机能的人员方面的不足。
零日市场出价要比漏洞赏金计划高10到100倍。惠普零日计划支付给研究人员1000多万美元奖金,以奖励他们提出的安全建议。为了缩小这一价格差距,谷歌之类的公司已经提高了其漏洞赏金数额。
参与零日计划的公司数目正在增加,大赏金计划方兴未艾。更高的奖金将吸引网络交易和人才从黑市流入合法的贸易途径。无论如何,最优秀的黑客都更有可能从网络黑市转战灰色市场领域,而网络黑客们得到的最大奖赏则是——他们不必在监狱里度过余年!
责编:李玉琴
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map