什么样的漏洞买得起北京二环一套房？

本文作者：李勤，网络安全专栏作者，入错行的八卦爱好者。

今天中午，宅客频道编辑小李看到了一篇令人悲伤的新闻——《北京二环一套房，可买美国一个镇》。看到这个标题，小李立马掰着指头数了数自己的工资，在二环买房，起码要几个生命的轮回。

不过，小李买不起，不代表黑客买不起。想起前一阵子，Pwn2Own 比赛刚落幕，看到那一项一项的奖金列表，感觉黑客靠挖漏洞拿奖金真是一个发家致富好路径！

真的有这样的漏洞能让你在北京二环买套房吗？为了探究这个问题，小李盘了盘正经黑客靠漏洞挣钱的几个途径。

1.黑客大赛

黑客界享有盛名的几个黑客大赛奖金都比较丰富。

PwnFest 是韩国POC (Power of Community) 主办的黑客破解大赛。2016 年的 PwnFest 赛事不仅总奖金高达 170 万美元，为历届黑客大赛之最，而且每一个单项项目的奖金也刷新比赛历史上的最高记录。以虚拟化软件 VMware 为例，其奖金为 15 万美元，最后冠军队伍拿到了 53 万美元的奖金。

还有一个奖金特别丰富的比赛。据传，

2017 年的 Pwn2Own ，单项破解最高金额是 20 万美元。下图就是2017年的所有参赛战队斩获奖金列表，注意哦！单位是“美元”。

【图片来源：安全牛】

2016年，谷歌也宣布了一项黑客竞赛项目 Zero Prize，以 20 万美元奖金奖励其安卓安全的贡献者。第一名可以拿到最高 20 万美元奖励，第二名可以得到 10 万美元的奖励，同时该安卓安全奖励对其他参与者的奖励也至少有5万美元。

如果你嫌弃这些奖金是“两位数”美元，还有三位数在招手！

2016年，美国国内存在时间最长的黑客大会之一DEF CON举办时，美国国防部高级研究计划局（DARPA）为参与网络挑战赛（CGC）的获胜参赛队伍发放共 400万美元的奖金，给第一名提供 200 万美元的奖金。

Capture The Flag( 简称 CTF )，直译为“夺旗赛”，是一种考量选手网络安全知识素养、解决难题能力和攻防技术水平的比赛。选手需要具备的技能包括密码破译、信息隐藏、二进制分析、逆向工程、移动安全、漏洞挖掘与利用、Web渗透、电子取证、程序编程等。在各大 CTF 赛事中，全球最有影响力的莫过于 DEFCON CTF。

2016年，入围的15支参赛队伍在 CGC 平台上开展了CTF 比拼，来自中国的参赛队伍 b1o0p 拿下了第二名，获得冠军的是来自美国的 PPP 战队。

你看，中国黑客离 200 万美元只有一个队伍的差距嘛，想想是不是很激动？

这样看来，获得冠军的队伍拿下北京二环的一套普通住宅还是没有问题的！

黑客大赛遍地是奖金，一个项目的奖金不够，一个大赛的奖金不够，多参加几个凭借逆天实力与超强漏洞，还是有希望在北京二环过上美好生活的！

2.各大公司的漏洞奖励计划

微软的 BUG 奖励项目已经存在挺长时间的了，不过在 2015 年，微软宣布要对此项目做个升级——向微软报告一个漏洞，最高奖金可以达到 10 万美元——先前奖金最高是到 5 万美元。

2016年，微软发布了一个高危漏洞的补丁，该漏洞由腾讯玄武实验室创建者于旸（TK教主）发现，并将其命名为“BadTunnel”，是目前Windows历史上影响最广泛的漏洞，从 Win95 到 Win10 都受影响。尤其对于微软已不支持的版本（如Win XP），其用户将面临被秘密监控的危险。因此，微软的漏洞奖励计划为其授予 50000 美元的奖金。

【神一样的TK教主】

TK 还和微软的漏洞奖金计划有个小故事，他此前还拿过微软 10万美元的奖金。在图灵访谈里，他是这么自述的：

“2013 年 3 月 8 日，我在 CanSecWest 2013 上介绍了一种通用的绕过 DEP、ASLR 甚至 EMET 的技术，并提出了相应的防御建议——没有直接报告微软是因为此前微软不认为这类问题属于漏洞。

在我公开这个技术后一个多月，微软发布了 EMET v4 Beta，在其中根据我的描述和建议，对这种漏洞利用方法进行了检测防护。但就在新版 EMET 发布后的第二天，我发现这个版本虽然新设计了很多防护功能，但实现上存在重大安全问题，甚至反而会使漏洞利用变的比不装 EMET 更容易。于是我将该问题报告给了微软。

又过了两个月，2013年6月17日，微软发布 EMET v4 正式版，在其中修复了我发现的问题。并在同一天，启动了 Mitigation Bypass Bounty 项目，征集绕过 DEP 和 ASLR 等防御技术的方法，给出了最高 10 万美元的奖金。后来还在官方 Blog 中用我当初提出的技术作为例子，来说明什么样的技术才符合 Mitigation Bypass Bounty 项目的标准。

于是有很多朋友误以微软已经给我发了这个奖，向我表示祝贺。我跟他们说其实没有，并且不太相信微软真的会给奖金，毕竟他们已经坚持了十几年不为漏洞付钱的原则。

但是，2013 年 10 月 8 日，微软公布了 James Forshaw 成为第一个获得 Mitigation Bypass Bounty 的人。我很惊讶，没想到微软转变了风格。然后我告诉老婆：很可能是我之前提出的技术促成微软设立了这个奖，但我却错过了成为第一个拿到奖的人。我老婆表示很可惜，于是我对她说：“你别急，我给你弄一个回来”。

然后我花了一些时间，把之前研究的另一些漏洞利用技术做了实现，发给微软，然后拿回了这个奖。”

TK 曾对宅客频道编辑表示，他把历次漏洞奖金都攒着，作为自家小孩的教育基金，除了医学这种耗钱的学科可能有问题（TK 是大夫出身，人称“妇科圣手”），念别的学科应该绰绰有余了！

你看，人家没提想买二环的房子，是不是已经买了？

插一句题外话，4 月宅客频道将邀请TK 和他的小伙伴来开一堂线上公开课，你们会不会很激动？

谷歌从 2010 年推出 Bug 赏金计划以来，它已发放了逾 600 万美元奖金。2016年，谷歌向用户推送了 51.0.2704.79版 Chrome。该版本总共修复了15个安全漏洞及其他一些系统漏洞。在这 15 个漏洞中，其中有2个为高级别，它们能让攻击者绕过浏览器的跨源代码执行限制并通过 Blink 引擎及其扩展组件在上面运行恶意代码。谷歌为发现这 2 个漏洞的安全研究员提供了 7.5 万美元的奖金。此外，还有 5 个安全漏洞为中等级别，它们的奖金从 1000 美元到 4000 美元不等。

这里有个小故事。安全研究员桑美•韦德 在2015年 发现谷歌域名 Google.com 尚未注册，于是花费12美元成功买下了这个域名。谷歌原计划给他奖励 6006.13 美元（这个数字看起来与谷歌的拼写很像），这个都不算漏洞，但也在奖励计划内，而且，当该公司发现韦德准备将这笔奖金捐给慈善机构时，它将奖励金额提高了一倍。

苹果公司就更土豪了。

2016年，苹果表示，将向发现软件产品漏洞的相关人员提供最高 20 万美元的奖励。比如，发现安全引导固件组件类漏洞即可获得最高 20 万美元奖励，而那些小修小补，像发现从沙箱进程可访问沙箱以外的用户数据的错误则最多可获得 25000 美元的奖励。

2016年，Facebook 给来自佐治亚理工学院的研究人员颁发了10 万美金，用于奖励后者发现了一种基于浏览器可让内存崩溃的新类别漏洞，同时他们还建立了对应的检测技术。

有了这些互联网巨头在前，不少公司也跟上对漏洞发现者“大大有赏”。比如，

示：“据说，腾讯安全应急响应中心（TSRC）每年预算是几百万，包含各类奖金，每年都会有年会，漏洞之王也有十几万元的奖励。蚂蚁金服安全应急响应中心（AFSRC） 对单个漏洞有奖励过最高的 36万。反正，我知道好几个黑客在家专门挖洞，把工作辞职了。”

据说，HackerOne 会赚取费用的 20%，剩下的就是黑客自己的佣金。

HackerOne 创始人

4.漏洞中间商

著名“网络军火商”Zerodium ( 0day 中间商 )值得单拎出来在这里说一说。Zerodium的商业模式和 Hacking Team 相同，是一家向政府和企业销售安全漏洞套装和间谍工具的供应商。

Zerodium 曾发布过各类从网络罪犯购买然后转售给需求者的目标软件和入侵方法的价格表。从 Zerodium 找到了一张价目表。

可以看到，最值钱的是苹果 iOS 的 0day，最高收购价格可达 150 万美元。

据 2015 年的一个报道显示，

Zerodium 还曾在 2015 年悬赏过，iOS 9 前三个 0day 漏洞能够获得每个漏洞都可获得最高 100 万美元的奖金。

据公开资料，Zerodium 的创始人名叫贝克拉 (Chaouki Bekrar)，除了这家安全公司之外，他还在法国巴黎开办了一家名为 Vupen 的公司。这家法国公司的业务颇受争议，他们专门开发针对知名软件的攻击手段，然后将漏洞和攻击方式转让给全世界的政府情报部门。

5.黑市和黑产（违法途径）

黑客唐青昊在大学期间，曾做过一个软件，被人购买后，他无意中得知，购买控制软件的这个人把软件用在了“灰色地带”。仅仅一个月的时间，就赚到了一个天文数字，唐青昊自此对此深恶痛绝。

这还只是一个控制软件，并不是漏洞，甚至不是人人盯着的 0day 。

洋葱网络Tor中曾出现了一个名为 TheRealDeal 的地下市场，为买卖双方提供了的 0day 漏洞交易的服务。黑市的漏洞价格其实可以参考 Zerodium 发布的价格表，可能差不多，但也有业内人士表示，黑市价格应该比 Zerodium 发布的价格表更高。

“如果台面上的价格等于黑市价格，那大家干嘛还拿去黑市卖，还有风险。”该业内人士对说。

知道创宇超级安全体检团队负责人王宇曾在《南方都市报》的一篇报道里提到，“我看过的黑市叫价最贵的漏洞达到300万元以上”。

不过，要提醒的是，这并不是什么正当途径，不是发家致富的好路子，切莫伸手。

致谢：腾讯安全云鼎实验室的安全研究员张祖优（Fooying）对该文撰写提供了帮助。