作为一个漏洞猎人,向供应商披露他们的发现(而不是将信息出售给出价最高的人),这已经是许多具备道德的黑客的目标。
在供应商开始为漏洞信息付费之前,黑客所希望的最好的是有一份报酬丰厚的工作,比如进入大公司。但是现在,很多供应商和服务提供商都拥有一个官方的漏洞披露平台/机制,有的是在内部运行,有的是由第三方管理,并为提供新发现的安全漏洞报告发放漏洞赏金。
随着大量的漏洞赏金计划施行,偶尔赏金还会达到数万或数十万美元,这些因素导致许多黑客将全部精力集中在寻找漏洞上,成为全职漏洞猎人。
这时候,也有一些正在犹豫是否转成全职的人,不知道自己是否适合这种生活/工作。
全职漏洞猎人并不适合所有人
“对于一个已经拥有稳定、高薪的工作并且可能有几个孩子的人来说,将挖洞作为全职工作并不是最好的选择。”
原因是,这个工作需要花费大量的精力(学习)和时间。比如要阅读文档、学习编写自己的工具、阅读安全文章、花时间在研究上、学习编写报告,应用合适的战术等。除非你为此做好了准备,否则可能难以坚持。
此外,全职漏洞猎人要有自己的独立的思维方式,可以尝试从不同的人身上获取一点知识和技能,然后自我消化分析,再把它们整合到自己的工作流程中,适合自己的是最好的。
Santiago Lopez,一位来自阿根廷的年轻人,他在一年前成为首位通过HackerOne 漏洞赏金平台获得超过100万美元赏金奖励的漏洞猎人,他指出,“浪费时间”是一个全职漏洞猎人必须考虑到的问题。他的意思是,有时你经过很长时间的努力才挖到一个漏洞,正满怀激动,结果发现这个漏洞已经在几天或是几小时之前就已经被其他的黑客发现了,这种时候,第二个发现漏洞的人基本不会获得任何奖励。
有抱负的漏洞猎人,应该学会处理好以上这些会面临的问题,保持持续的好奇心和挖洞的渴望。
如何转行
这里介绍了三个全职漏洞猎人,他们每个人进入这一岗位的路线轨迹都不一样,但是相对具有代表性。
Lopez是最直截了当的:他在15岁时就开始做黑客,16岁时获得了第一笔漏洞赏金,此后,他报告了1600多个安全漏洞。事实上,挖洞就是他的第一份工作。
DeVoss:同样从小开始成为黑客,但是他的生活有更多的波折。他会在
在学校的时候,他会在十分钟之内完成工作,然后将剩余的时间都花费在玩电脑上。在他10岁或11岁的时候,偶然发现了一个聊天室,里面的成员教会了他如何hack。当时,他只是出于好玩而做,高中的时候,他和朋友一起闯入了政府安全系统,被捕后,他在监狱中度过了4年时间,当时别人告诉他,还有下次,他就出不来了。对DeVoss来说,漏洞赏金计划是一件好事,因为他可以继续他所钟爱的爱好,同时在法律的允许下。
Cosmin,在成为漏洞猎人之前,他从事软件开发的工作。当时,他和同事被允许选择一个活动或课程来拓展技能。他就去参加了一次黑客研讨会,并在那里发现了漏洞赏金平台的存在。后来,他选择全职挖洞。
全职挖洞的利与弊
如果你做得好,钱就多。
如果一个人实际上每周工作40个小时并且非常出色,那么他们每年就可以轻松赚到7位数。比如DeVoss现在每月工作约10-40个小时,去年他有了903000美元的收入。其中,他获得的单个漏洞的最高赏金约为28000美元,而他最高的单日支出约为18万美元。
一个全职漏洞猎人一年可以赚多少钱没有上限,但最终的金额将取决于运气、时机和经验。
在像HackerOne这样的平台下作为漏洞猎人工作的最大的优势是可以在需要时工作,并且可以根据需要和时间随意休假,还有就是得到平台的相应服务和赏金保障。当然,也有缺点,比如没有固定的工资,有些月份的收入可能比另一些月份差,然后社会隔离也可能是一个问题,不接触外界,工作时间表紊乱等。
挖洞的未来
Lopez认为,对于那些不想遵循传统的公司职业道路并且希望拥有工作灵活性的人来说,黑客永远是一个很好的机会。
随着公众对黑客的了解的增加,利基市场肯定会变小,并为黑客们带来更多的竞争(漏洞平台上的黑客数量越来越多)。
同时,随着万物互联,但构建物联网设备的公司仍未将安全放在优先位置,这一事实造成了巨大的威胁面。更多的安全捍卫者加入一定是好事,我们能够看到更专业的编程,更大的攻击面和更高的回报。也可以看到在竞争中挖洞行业健康发展的趋势。
最后的建议
在社交媒体上关注黑客或加入黑客论坛是黑客(白帽子)学习和交换思想、信息的好方法。不过,最好不要从一开始就选择成为一名全职的漏洞猎人。
- 首先要确保知道自己在做什么,因为黑客的学习曲线非常陡峭。尤其是在开始阶段。
- 其次,在转为全职挖洞工作之前,至少要有半年或一年的兼职漏洞猎人经验,这一点很重要。
- 最后,你还应该处于财务稳定的状态,或者是一个没有太多开支(家庭负担等)的年轻人。