为什么不把漏洞都卖给网络军火商？

文| 谢幺@ 浅黑科技

自从农耕文明转向工业文明，丰收的季节也由秋天变到冬天，因为一个神奇的东西：【年终奖】

最近，朋友圈有张晒年终奖的照片让我心理极度不平衡：

国内某公司的应急响应中心（简称 SRC）给2017年挖漏洞的优秀白帽子黑客发年终奖。台上一名白帽子扛着大大的支票样式的板子，上面明晃晃写着几个大字：“壹仟万”。

照片找不着了，我试着还原一下照片里的场景：

简直吓人，一千万呐！凭什么他的年终奖能比我多个万字？我翻了翻2017年各城市白领平均年终奖：

哪怕按照北京平均一万元来算，一千万也够发一千年。一千年以后，估计共产主义都实现了吧？

好在事后证实，这一千万并不是人民币，而是积分 …… 这让我心里稍稍平衡了一下。不过算下来也有两万块钱，是全国平均水准的好几倍。

这说明了一件事，近几年国内公司的网络安全意识越来越强，SRC 增多，白帽子黑客的生存环境也越来越好。前阵子不就有份报告说了嘛，全球许多国家和地区，白帽子的收入是普通软件工程师的好几倍，其中印度居然高达16倍，简直丧心病狂。

我身边也时常发生着“一套漏洞一套房”的故事。

比如我之前的文章《安卓不安全，这锅谁背？》开头就提到，360公司的研究员龚广用一套“穿云箭”漏洞赢得谷歌官方致谢以及11250美元，折合人民币七十多万，相当于小城市的一套房子。

不过羡慕归羡慕，我还是挺服气的，因为第一，我没他们这本事；第二，我知道，如果他们把漏洞贩卖到地下黑市或者卖给网络军火商，能拿到的钱的数量能再翻好几倍，但他们没这么做。（比如上面说到的“穿云箭”漏洞，卖到军火商那能直接翻五倍，但是龚广选择报告给谷歌，甚至都没拿去打比赛）

今天我给大家算笔有意思的账：如果白帽子黑客们把原本提交给的漏洞统统卖给网络军火商，大概能赚多少钱。

                                                                            Let's Rock！

下面这张图是国外著名漏洞军火商 Zerodium 发布的2017年漏洞“价牌”：

看不清可以点开看大图，也可以去zerodium官方查

看不清木有关系，后面我会讲

我找来谷歌、微软、苹果三家巨头公司的【2017年漏洞致谢榜统计表】，一一对照。

Google 谷歌

━━━━━

谷歌是最早以奖金方式鼓励漏洞挖掘的厂商，其漏洞交易价格也逐年增高，根据漏洞军火商 ZERODIUM 的价格表：

Chrome漏洞价格在5~15万美元之间；安卓系统漏洞价格则在1.5至10万美元之间。

漏洞总售价=单价 X 漏洞数量，知道了漏洞价格，现在来看漏洞数量：

2017年谷歌漏洞致谢榜

因为不知道具体哪一个漏洞值多少钱，所以按照最少（Chrome漏洞5万$/个；安卓漏洞1.5万$/个）和最多（Chrome漏洞15万$/个；安卓漏洞10万$/个）分别计算一遍：

可以看到，即便每个漏洞都按照最少金额计算，也能卖895万美元，折合人民币5629万元。

如果都按照最高金额计算，数额高达3.3亿，都快够偿还那个带着小姨子跑掉的皮革厂老板欠下的债了！

其中，光是榜首的360一家就提了227个安卓漏洞、6个Chrome漏洞，算起来最少能卖2330万元，最多能卖1.48亿元！

哎，这1.48个亿要是给我…………北京的房子来两套，法拉利玛莎拉蒂什么的来20辆，开着豪车去买杂粮煎饼，加10个鸡蛋！20包辣条！嘻嘻，心里美滋滋!

-------------严肃的分割线-----------

Apple苹果

━━━━━

在所有 PC端及移动端的漏洞交易价格表中，iOS漏洞以150万美元的巨额身价当选最贵漏洞，也让整个苹果漏洞致谢榜身价提升。

安卓在右下角冒了个泡（灰色那个）……

2017年的苹果致谢榜单很有意思：

2017年苹果漏洞致谢榜

谷歌和苹果上演“相爱相杀”，在苹果致谢榜里高居榜首摘得桂冠，却只给自家贡献了30个漏洞，反倒是360的团队给谷歌挖了233个漏洞。

或许，比起安卓，谷歌的研究员更喜欢倒腾苹果手机……

接着来算钱：

假如按平均8万美元一个漏洞来算，总数有2624万美元，折合人民币1.65亿；

按平均10万美元/个来算，是3280万美元，折合人民币2.06亿；

按15万美元/个来算，是4920万美元，折合人民币3.09亿。

戏剧性的一幕出现了：根据苹果致谢榜，2017年他们有30%左右的漏洞是由腾讯、360、百度、长亭等中国白帽团队提交的。

我特地问了一个360提交过苹果漏洞的安全研究员，问他从苹果手里拿到多少奖励，结果他说：“据我所知，我司目前提交的苹果漏洞，没收到过奖金。我认识的几个提交过苹果漏洞的朋友，也没有收到奖金的……”

然后我去网上搜了一下“苹果+漏洞”的关键词，发现这么几条新闻：

苹果太抠门赏金少的可怜，研究人员发现漏洞也不给苹果

啥也不说了，给苹果提漏洞的白帽子们，全世界苹果用户欠你们一声谢谢……

Microsoft 微软

━━━━

如果用一根线把微软漏洞在网络军火商那里的悬赏圈一下，会发现微软的基本呈一条斜线，从“白菜价”到“钻石价”分布得挺均匀，不像 Linux 系统，有大量“白菜价”漏洞（底下一排蓝色的是Linux）。

这里“白菜价”当然是带引号的，因为最低价都有一万美元。

我们来看微软的致谢榜：

微软的漏洞交易价格从1万美元到30万美元不等，我们按照每个5万美元计算，最后折算下来也达到1.5个亿。

谷歌、趋势和360的白帽黑客跻身前三强。其中，360 拿下4个赏金项目，我问了一下他们，这四个漏洞项目从微软手里共获得不到6万美元。然后我又去查了查，若是卖给网络军火商 Zerodium 保守估计也能翻好几倍。

结论

通过粗略计算奖金数额可知，白帽子提交在谷歌、苹果、微软三大公司的漏洞，如果卖给网络军火商，能多挣好几个亿。

也就是说，当他们把漏洞交到厂商手里时，等同于主动放弃了这些钱。

那么，为什么要这么做呢？

有人可能会说因为他们道德高尚、善良之类的，我倒更愿意把他们拉下道德制高点，用观察普通人的视角去看他们的这种行为。

我觉得，本质原因在于白帽子黑客们懂得规避风险，这让他们区分于”恶向胆边生“的黑帽子黑客：

把漏洞卖给黑产、军火商，就成了提供了作案工具的共犯，一旦出事便引火烧身。；

即便不出问题，和黑产、军火商打交道这事并不光彩，大多互联网公司用人都有一条原则，决不录用有黑帽子经历的人；

卖漏洞赚了钱，可黑历史会伴随一生，洗白的代价可能更大。 风险有累积效应，即便卖一次漏洞带来的风险很小，可是卖十次、二十次，风险会不断累积，你必须保证一次都不出问题。

在规避风险的过程中，自然而然也就行成所谓的“职业道德”，客观上让这个世界更美好。

或许你看过这么一道经典难题： 按下按钮就能得到50万同时有5个陌生人死掉，你按吗？

其实黑客手里经常捏着这样的按钮，用漏洞去黑产、军火商手里换钱就等同于按下按钮，会有很多陌生人受影响，有的损失财务，有的失去生命（比如徐玉玉案），那么这个就是黑帽子。

而白帽子黑客则选择不按，并毁掉按钮。

其实不光黑客，所有人皆如此：

饭店老板可以选择多赚50块钱，代价是病猪肉让几个陌生人患病； 主治医生可以多赚5000，代价是乱开的药方伤害一个陌生人的性命； 建筑商可以多赚500万，代价是豆腐渣工程让许多原本美好的家庭破碎。

只是，早餐店老板知道，第一天用了瘟猪肉，第二天就会砸了招牌；医生知道第一天乱开了药方，第二天病人死了自己要坐牢；建筑商知道，偷工减料出了事故会牵连多少人和事。

法律、秩序和规则，就是为了让人们在按下按钮后不得不自吞苦果。人们规避风险，便是在小心翼翼地维护职业道德。

闭上眼睛想想，其实你我都曾面对这些按钮，为什么你当时没按或按了？回想起你自己当时的感受，便能理解白帽子的行为。

以上纯属一家之言，欢迎讨论

最后自我介绍一下，我是谢幺，普通科技作者一枚，试图用人话来讲解技术和技术人的故事，欢迎各路神仙爆料交流----->dexter0