閱讀 :553

世界上有兩種人可以靠找碴揚名立萬——給新媳婦挑毛病的婆婆，給互聯網公司找漏洞的黑客。比如說巴勒斯坦小伙子卡利爾，就靠給Facebook挑刺兒大賺了一筆。

這位胖乎乎的巴勒斯坦程序員前段時間失業了，每天閑著無事在Facebook上亂逛，結果就撞上了網站漏洞。他給技術人員寫了幾次信，都沒人搭理。沒辦法，他只好跑到Facebook老總馬克·扎克伯格的主頁上，利用自己發現的漏洞“黑”了他的網頁留言說：“親愛的扎克伯格，抱歉黑掉了你的頁面，可是我沒別的辦法，我只是想告訴你們，我發現了一個漏洞。”

別覺得卡利爾是在大驚小怪，這可是失業的他賺錢的好機會。在重視賬戶安全的互聯網公司，找到漏洞可是很值錢的。很多公司都有漏洞獎勵項目，漏洞一響，黃金萬兩。在過去3年的時間里，谷歌公司已經為漏洞花掉了200萬美元。

Facebook向來也對漏洞獎勵很大方。本月初公布的數據顯示，他們于2011年啟動的漏洞獎勵項目已經向來自全世界的329人發放了100萬美元，對于那些經常報告漏洞的黑客，他們甚至直接給對方辦好了信用卡，方便隔三岔五為漏洞付費。

“就算我們對信息安全的投入再大，我們的團隊都永遠不可能擁有世界上全部最聰明的人才，也無法以所有方式去看待一個復雜多變且問題重重的系統。”Facebook在漏洞獎勵公告中說，“漏洞獎勵計劃可以幫助我們找到來自全世界的人才，我們可以借由這些背景不同的人，以不同的角度看待問題。”

當然了，同樣是程序出了毛病，漏洞也分高低貴賤。最值錢的漏洞之一就是“零日漏洞”。這種漏洞的特點是破壞力極大，發現后可以立即發動攻擊，而這時候其他人還絲毫沒有察覺到漏洞的存在，安全人員來不及發布補丁，所以這種攻擊完全是“零”時差。據媒體報道，在私底下，蘋果iOS系統的零日漏洞曾經叫價到每個50萬美元。

一旦零日漏洞被利用，后果將不亞于一場戰爭。據《紐約時報》報道，美國官員承認，美國國家安全局曾經和以色列聯手，利用Windows等系統的零日漏洞，發動名為“超級工廠病毒”的蠕蟲項目攻擊。這場攻擊沒有出動一兵一卒，卻依靠起初不被注意的零日漏洞，讓病毒長期潛伏在世界許多國家工廠里面，暗中控制工廠計算機的運作。

誰也不知道這場攻擊始于何時，但在2010年被發現的時候，超級工廠病毒已經控制了伊朗鈾濃縮設施中30%的計算機，成功地摧毀了伊朗五分之一的離心器，導致伊朗一度暫時關閉了核設施和核電廠。美國和以色列的官員后來對媒體表示，伊朗的核武器項目因此倒退了好幾年。

只要功夫深，誰都有機會。像卡利爾，雖然沒有找到零日漏洞，但是他所發現的Facebook漏洞還是讓他迅速得到了重視。Facebook的工程師幾分鐘后就聯系到了他，向他詳細咨詢了漏洞的情況，很快修復了這個問題。

可是，卡利爾卻并沒有得到Facebook一毛錢的獎勵，網站的負責人解釋說，卡利爾提出的漏洞很有意義，但“關鍵的問題在于你如何報告這個漏洞的存在——未經同意利用他人的真實賬號做一個展示顯然不行。我們無法接受利用漏洞對真實用戶造成影響的行為”。

盡管Facebook不肯掏錢，但支持卡利爾的人們卻在網上發起捐贈，給他籌集了11000美元做漏洞獎勵。另外，拜這個漏洞所賜，卡利爾可能也快要擺脫失業狀態了。不少公司看到卡利爾發現的漏洞后，邀請他來工作。

“作為一個巴勒斯坦人，我為能夠找出Facebook的漏洞感到驕傲。”卡利爾說，“我和所有人一樣，期待找到一份好工作，開始正常的生活。”

下一篇:機會是樸素的 下一篇 【方向鍵 ( → )下一篇】

上一篇:“股票式”點酒 上一篇 【方向鍵 ( ← )上一篇】