李斐然
世界上有两种人可以靠找碴扬名立万——给新媳妇挑毛病的婆婆,给互联网公司找漏洞的黑客。比如说巴勒斯坦小伙子卡利尔,就靠给Facebook挑刺儿大赚了一笔。
这位胖乎乎的巴勒斯坦程序员前段时间失业了,每天闲着无事在Facebook上乱逛,结果就撞上了网站漏洞。他给技术人员写了几次信,都没人搭理。没办法,他只好跑到Facebook老总马克·扎克伯格的主页上,利用自己发现的漏洞“黑”了他的网页留言说:“亲爱的扎克伯格,抱歉黑掉了你的页面,可是我没别的办法,我只是想告诉你们,我发现了一个漏洞。”
别觉得卡利尔是在大惊小怪,这可是失业的他赚钱的好机会。在重视账户安全的互联网公司,找到漏洞可是很值钱的。很多公司都有漏洞奖励项目,漏洞一响,黄金万两。在过去3年的时间里,谷歌公司已经为漏洞花掉了200万美元。
Facebook向来也对漏洞奖励很大方。本月初公布的数据显示,他们于2011年启动的漏洞奖励项目已经向来自全世界的329人发放了100万美元,对于那些经常报告漏洞的黑客,他们甚至直接给对方办好了信用卡,方便隔三岔五为漏洞付费。
“就算我们对信息安全的投入再大,我们的团队都永远不可能拥有世界上全部最聪明的人才,也无法以所有方式去看待一个复杂多变且问题重重的系统。”Facebook在漏洞奖励公告中说,“漏洞奖励计划可以帮助我们找到来自全世界的人才,我们可以借由这些背景不同的人,以不同的角度看待问题。”
当然了,同样是程序出了毛病,漏洞也分高低贵贱。最值钱的漏洞之一就是“零日漏洞”。这种漏洞的特点是破坏力极大,发现后可以立即发动攻击,而这时候其他人还丝毫没有察觉到漏洞的存在,安全人员来不及发布补丁,所以这种攻击完全是“零”时差。据媒体报道,在私底下,苹果iOS系统的零日漏洞曾经叫价到每个50万美元。
一旦零日漏洞被利用,后果将不亚于一场战争。据《纽约时报》报道,美国官员承认,美国国家安全局曾经和以色列联手,利用Windows等系统的零日漏洞,发动名为“超级工厂病毒”的蠕虫项目攻击。这场攻击没有出动一兵一卒,却依靠起初不被注意的零日漏洞,让病毒长期潜伏在世界许多国家工厂里面,暗中控制工厂计算机的运作。
谁也不知道这场攻击始于何时,但在2010年被发现的时候,超级工厂病毒已经控制了伊朗铀浓缩设施中30%的计算机,成功地摧毁了伊朗五分之一的离心器,导致伊朗一度暂时关闭了核设施和核电厂。美国和以色列的官员后来对媒体表示,伊朗的核武器项目因此倒退了好几年。
只要功夫深,谁都有机会。像卡利尔,虽然没有找到零日漏洞,但是他所发现的Facebook漏洞还是让他迅速得到了重视。Facebook的工程师几分钟后就联系到了他,向他详细咨询了漏洞的情况,很快修复了这个问题。
可是,卡利尔却并没有得到Facebook一毛钱的奖励,网站的负责人解释说,卡利尔提出的漏洞很有意义,但“关键的问题在于你如何报告这个漏洞的存在——未经同意利用他人的真实账号做一个展示显然不行。我们无法接受利用漏洞对真实用户造成影响的行为”。
尽管Facebook不肯掏钱,但支持卡利尔的人们却在网上发起捐赠,给他筹集了11000美元做漏洞奖励。另外,拜这个漏洞所赐,卡利尔可能也快要摆脱失业状态了。不少公司看到卡利尔发现的漏洞后,邀请他来工作。
“作为一个巴勒斯坦人,我为能够找出Facebook的漏洞感到骄傲。”卡利尔说,“我和所有人一样,期待找到一份好工作,开始正常的生活。”