具体来说,黑客们维护“人间正道”的方法分三步走:

  

第一步:把这些漏洞告诉厂商——Windows 的漏洞就会告诉微软,Android 的漏洞就会告诉谷歌,以此类推。 第二步:厂商当然会在第一时间修复漏洞,然后给我们这样的草民发送“升级补丁”。 第三步:草民装完补丁,就再也没人能用这个漏洞伤害他们了。这个漏洞也从 0-Day 变成了 1-Day。(假设你没有及时升级,还用旧版本软件,那么这个1-Day 漏洞依然可以干掉你。)


  

  如果你仔细看版本升级的说明,有时会发现“安全性更新”这样的字样。

  每修复一个漏洞,厂商都会对提交漏洞的研究院公开致谢。但“谢谢”两个字还不够。。。

  厂商们*现在*为了表彰黑客的贡献,也会相应地给漏洞发现者一些奖金。不过毕竟是奖金,比 Zerodium 买漏洞的钱低多了。各家厂商不等,大概在 5000-20万美元一个 0-Day 漏洞。

  注意,我刚才特意标红了“现在”两个字。

  漏洞大神们可不是从一开始就被这么尊敬地“供奉”的。

  以谷歌、微软、苹果,三大巨头为例:

  21世纪初,互联网刚刚兴起,大家都觉得黑客全是坏人——没事儿研究我家系统的漏洞干啥呀?肯定非奸即盗。他们金庸小说看得少,不知道这世界上有侠客练武真的是为了除暴安良。

  2010年,谷歌最早扭转思路,推出“漏洞赏金计划”,世人第一次见到了大公司为漏洞付费的善良操作。十年来,谷歌已经为漏洞奖励出去了大概2000万美元,纯爷们。

  

  微软就抠门多了,他们的系统人人都用,相当普及,却一直不愿意为漏洞付钱。

  不过2013年的时候,他们开启了一个变通计划:不为单独的漏洞付费,但是如果你能找到我整个安全机制存在问题,我还是会给赏金的。中国黑客,大名鼎鼎的TK教主就是在2014年拿到了这份赏金,10万美金。

  在随后的七年时间里,微软一点点扩大奖励范围,直到2019年,微软才真正针对旗下包括 Windows、Office 等所有产品开启了漏洞奖励计划,奖金也提高到了史无前例的最高25万美元。

  

  至于苹果,压根就不想提“漏洞”这两个字。什么漏洞?我们的系统很和谐,代码很幸福。。。

  这倒也能理解。因为苹果的调性一直是“完美”,承认自己的系统里可能有漏洞,那人设就崩塌了。但实际上,只要是系统就会有漏洞,掩盖是掩盖不住的。

  2016年的时候,苹果偷偷地开启了一个漏洞奖励计划,邀请全世界20支研究苹果系统的顶尖团队到了美国总部,然后告诉他们:“有漏洞悄悄给我们,打枪的不要,我们给赏金”。

  这些团队里就包括中国“360安全团队”、“腾讯科恩实验室”和老牌越狱大神“盘古团队”。

  由于签署了保密计划,他们究竟给了苹果多少漏洞,不得而知。

  然而,随着苹果用户越来越多,专门攻击苹果系统的坏人也越来越多。2019年,苹果也绷不住了,公开面向全世界开启漏洞赏金计划,英雄不问出处,谁都可以拿漏洞来领赏,最厉害的 Zero Click 漏洞给100w美元。

  下图就是2019年8月公布赏金的 PPT。

  

  值得一提的是,最近几年,很多领先的国产厂商也陆续开启了漏洞赏金计划。阿里、腾讯、百度、小米、华为、滴滴等等,几乎你想得到的大互联网企业,都在悬赏收漏洞,只不过大多所给的赏金远远不如谷歌、微软。

  我觉得,“漏洞赏金计划”不是赤裸裸的金钱交易,反而是世界越来越文明的标志:

  

之前的日子,世界上一直存在“地下漏洞黑市”,很多靠正常渠道生计堪忧的漏洞研究者万般无奈,只好把漏洞偷偷卖给坏人,换来锦衣玉食。 “官方漏洞赏金计划”虽然没有让黑市完全消失,却让这个黑暗森林一般的网络世界照进了一抹光线。至少它让一些有“侠客”情怀,不愿意做坏事的黑客找到了被认可,被奖励的土壤。不至于空有一身武艺还得长年吃土。


  好,截止到目前,中哥给你讲的都是基础知识。接下来扶稳坐好,我们准备开车了。

  看过《射雕英雄传》的浅友们都知道,习武之人虽然都有家国情怀,但是高手之间难免想争个高低,于是才有了各大门派的比武大会——“华山论剑”。

  网络安全的江湖,和武侠小说很相似。全世界有那么多“漏洞大神”,他们之间也想分个高下。

  接下来,我们就说说顶级黑客界的“比武”的往事。

  从2014年开始,一个神奇的比赛开始走进了中国黑客的视野。

  这个比赛叫做 Pwn2Own(直接翻译大概是“破解就赢钱”),举办者是美国网络安全公司趋势科技名下一个名为 ZDI 的小组,比赛始于2007年,历史悠久。

  就是这个比赛,撩拨了一代中国顶级黑客们绵延至今又波澜壮阔的爱、恨、情、仇。

  Pwn2Own 的比赛规则简单粗暴:

  比赛设置几个攻击目标,每年略不相同,一般就是 Windows、MacOS、Safari 浏览器、Edge 浏览器这类大型常用软件,黑客队伍们用 0-Day 漏洞分别进行攻击,控制了对方电脑就算攻击成功,获得相应的积分和奖金。

  最后还会算一下每个队的总分,积分最多的那个队,除了已经得到的各个项目的相应奖金,还能得到“破解王”(Master of Pwn)的称号,发个奖杯,有时候还给个皮夹克,挺威风的。

  形式不重要,重要的是内容:这个称号意味着,对手们公认他是年度“武林盟主”,心服,口也服。这很重要。

  

  穿着皮夹克拿着奖杯的 MJ 摆出了六亲不认的表情,旁边就是腾讯的漏洞大神 TK。