黑客市场:为什么不能走上网络黑客之路？

　　在网络犯罪的世界里，有“黑脸”（利用代码从事非法活动的网络犯罪分子）、“白脸”（寻找并弥补技术漏洞的好人）和“灰脸”（介于好人和坏人中间）的说法。灰脸出于善意，对技术漏洞进行确认，并给出建议。他们并未出于恶意或者个人目的而进行网络黑客行为，相反，他们之所以违反网络规范，是出于追求更高的共同利益——也就是提高网络安全性。

　　黑脸获得的“薪酬”非常高。根据瞻博网络委托兰德公司所做的《网络犯罪工具及失窃数据市场：黑客市场》，报告显示，他们经营的黑市甚至比非法毒品交易，获得的利润还要多。由于获利颇丰，因此网络黑市发展十分迅速。网络犯罪的暴利高得令人发指。有鉴于此，网络犯罪常被坏人利用。既然有这么多的诱惑存在，为何还有人没有踏上网络犯罪之路呢？

　　网络犯罪也是有危害的，只是其危害性并不明显而已。设想这样一个真实的生活场景：一个黑脸用一条滑稽的信息，对一家大公司的网站进行丑化。访问者对于该公司的失误一笑而过，而公司立刻对网站进行清理，安全漏洞随即被修补好，生活一切照常进行。可实际情况真的是这样吗？

　　事后，负责网站安全的一名员工在论坛上贴出关于此次黑客行为造成的后果的帖子。原来，黑客事件之后，公司针对网络应用的外包团队采取了法律措施。许多人因此而丢掉了工作。公司本身也遭受了财务损失。很明显，这名黑客让许多勤奋的专家深受其害，而这一切仅仅是为了找点乐子，并在黑客界赢得一点名声。当然，这种情况的确需要道德标尺，不过帮助我们了解对与错[1] 的道德标尺，并不是在网络世界中做正确事情的唯一原因。资金奖励也是一个重要的原因。尽管与大规模的非法企业违法行为所造成的损失有所不同，黑客市场确实聚集了许多资金，想要得到这部分资金，竞争是十分激烈的，而且这一部分资金将带来更多社会层面和情感层面上的回报。

　　漏洞赏金计划

　　越来越多的供应商已经开始发布漏洞赏金计划。此类奖金会颁发给那些发现软件产品漏洞并将其报告给相应的供应商而不是向公众公开或者在黑市上出售的人。Mozilla基金会是第一批发布此类项目的基金会之一。谷歌、Facebook、PayPal和其他的公司随后也推出了类似的项目。微软于2013年6月份发布了其漏洞赏金项目。[2] 漏洞赏金成为软件安全专家具有吸引力的合法收入来源。谷歌的奖金目前是最高的，通常每个中等复杂程度的补丁可以得到3,000到5,000美元的奖金，复杂补丁则可以获得10,000美元的奖金。非Chrome exploit[3]最高可获得20,000美元赏金，而 Chrome exploit最高则可以获得 150,000美元赏金。[4] 巴西网络安全专家Reginaldo Silva向Facebook提出警告，称OpenID认证系统密码存在漏洞。Facebook因此而支付给他33,500美元的奖金。[5][6] 政府采购者和安全公司对未被发现的重大漏洞的赏金出价相当高。[7] 就软件供应商而言，他们发现，设立漏洞赏金计划，远比雇用全职人员做同样的工作更具性价比。[8]

　　零日计划

　　对于活跃于黑客空间的天才们来说，零日市场内的法律灰色区域[9]是另外一个机会所在。过去，安全研究人员曾暗示过网络漏洞市场存在的可能性。现在，这已经变成了现实。政府、执法部门和安全供应商，已经作为买家的身份出现在这一市场上。专家建议政府和安全供应商应当（从黑客手中）购买零日漏洞，以防止其落入黑市商人的手中。更重要的是，与政府或者安全公司进行交易，出现欺诈的几率要小得多，这也可能成为黑客未来所从事的工作。据称，英国网络防御部队正在尝试雇佣网络黑客，以弥补在拥有网络防御机能的人员方面的不足。[10]

　　零日市场出价要比漏洞赏金计划高10到100倍。惠普零日计划支付给研究人员1000多万美元奖金，以奖励他们提出的安全建议。[11]为了缩小这一价格差距，谷歌之类的公司已经提高了其漏洞赏金数额。

　　参与零日计划的公司数目正在增加，大赏金计划方兴未艾。[12] 更高的奖金将吸引网络交易和人才从黑市流入合法的贸易途径。无论如何，最优秀的黑客都更有可能从网络黑市转战灰色市场领域，而网络黑客们得到的最大奖赏则是——他们不必在监狱里度过余年！

　　[1] http://forums.juniper.net/t5/Security-Mobility-Now/The-Tech-Conundrum-White-Hat-vs-Black-Hat/ba-p/234272

　　[2] https://www.nsslabs.com/reports/known-unknowns-0

　　[3] Exploit 是指能够控制一台电脑并发动拒绝服务等攻击的一部分软件或数据。

　　[4]http://www.computerworld.com/s/article/9246042/Google_expands_bug_bounty_program_ups_Patch_rewards

　　[5] http://www.theregister.co.uk/2014/01/24/facebook_bug_bounty_payout

　　[6]http://www.pcworld.com/article/2090580/engineer-nets-facebooks-biggest-bug-bounty-but-not-the-jackpot-he-hoped-for.html

　　[7]http://www.theregister.co.uk/2014/03/25/forget_black_hats_the_best_hackers_are_going_grey_and_getting_legit/

　　[8]http://threatpost.com/researchers-find-bug-bounty-programs-pay-economic-rewards/101243

　　[9]能够被黑客利用、软件供应商尚未发现并且尚未出现相应补丁的漏洞被称为零日漏洞。买卖此类漏洞的市场被称为“零日市场”。

　　[10]http://www.bbc.com/news/technology-24613376

　　[11]http://www.404techsupport.com/2014/03/hp-zero-day-initiative-explains-how-the-bug-market-works/

　　[12] http://www.juniper.net/us/en/dm/rand2014/?utm_campaign=rd&utm_source=kh&utm_medium=blog