李斐然

世界上有兩種人可以靠找碴揚(yáng)名立萬——給新媳婦挑毛病的婆婆，給互聯(lián)網(wǎng)公司找漏洞的黑客。比如說巴勒斯坦小伙子卡利爾，就靠給Facebook挑刺兒大賺了一筆。

這位胖乎乎的巴勒斯坦程序員前段時(shí)間失業(yè)了，每天閑著無事在Facebook上亂逛，結(jié)果就撞上了網(wǎng)站漏洞。他給技術(shù)人員寫了幾次信，都沒人搭理。沒辦法，他只好跑到Facebook老總馬克·扎克伯格的主頁上，利用自己發(fā)現(xiàn)的漏洞“黑”了他的網(wǎng)頁留言說：“親愛的扎克伯格，抱歉黑掉了你的頁面，可是我沒別的辦法，我只是想告訴你們，我發(fā)現(xiàn)了一個(gè)漏洞。”

別覺得卡利爾是在大驚小怪，這可是失業(yè)的他賺錢的好機(jī)會(huì)。在重視賬戶安全的互聯(lián)網(wǎng)公司，找到漏洞可是很值錢的。很多公司都有漏洞獎(jiǎng)勵(lì)項(xiàng)目，漏洞一響，黃金萬兩。在過去3年的時(shí)間里，谷歌公司已經(jīng)為漏洞花掉了200萬美元。

Facebook向來也對漏洞獎(jiǎng)勵(lì)很大方。本月初公布的數(shù)據(jù)顯示，他們于2011年啟動(dòng)的漏洞獎(jiǎng)勵(lì)項(xiàng)目已經(jīng)向來自全世界的329人發(fā)放了100萬美元，對于那些經(jīng)常報(bào)告漏洞的黑客，他們甚至直接給對方辦好了信用卡，方便隔三岔五為漏洞付費(fèi)。

“就算我們對信息安全的投入再大，我們的團(tuán)隊(duì)都永遠(yuǎn)不可能擁有世界上全部最聰明的人才，也無法以所有方式去看待一個(gè)復(fù)雜多變且問題重重的系統(tǒng)。”Facebook在漏洞獎(jiǎng)勵(lì)公告中說，“漏洞獎(jiǎng)勵(lì)計(jì)劃可以幫助我們找到來自全世界的人才，我們可以借由這些背景不同的人，以不同的角度看待問題。”

當(dāng)然了，同樣是程序出了毛病，漏洞也分高低貴賤。最值錢的漏洞之一就是“零日漏洞”。這種漏洞的特點(diǎn)是破壞力極大，發(fā)現(xiàn)后可以立即發(fā)動(dòng)攻擊，而這時(shí)候其他人還絲毫沒有察覺到漏洞的存在，安全人員來不及發(fā)布補(bǔ)丁，所以這種攻擊完全是“零”時(shí)差。據(jù)媒體報(bào)道，在私底下，蘋果iOS系統(tǒng)的零日漏洞曾經(jīng)叫價(jià)到每個(gè)50萬美元。

一旦零日漏洞被利用，后果將不亞于一場戰(zhàn)爭。據(jù)《紐約時(shí)報(bào)》報(bào)道，美國官員承認(rèn)，美國國家安全局曾經(jīng)和以色列聯(lián)手，利用Windows等系統(tǒng)的零日漏洞，發(fā)動(dòng)名為“超級(jí)工廠病毒”的蠕蟲項(xiàng)目攻擊。這場攻擊沒有出動(dòng)一兵一卒，卻依靠起初不被注意的零日漏洞，讓病毒長期潛伏在世界許多國家工廠里面，暗中控制工廠計(jì)算機(jī)的運(yùn)作。

誰也不知道這場攻擊始于何時(shí)，但在2010年被發(fā)現(xiàn)的時(shí)候，超級(jí)工廠病毒已經(jīng)控制了伊朗鈾濃縮設(shè)施中30%的計(jì)算機(jī)，成功地摧毀了伊朗五分之一的離心器，導(dǎo)致伊朗一度暫時(shí)關(guān)閉了核設(shè)施和核電廠。美國和以色列的官員后來對媒體表示，伊朗的核武器項(xiàng)目因此倒退了好幾年。

只要功夫深，誰都有機(jī)會(huì)。像卡利爾，雖然沒有找到零日漏洞，但是他所發(fā)現(xiàn)的Facebook漏洞還是讓他迅速得到了重視。Facebook的工程師幾分鐘后就聯(lián)系到了他，向他詳細(xì)咨詢了漏洞的情況，很快修復(fù)了這個(gè)問題。

可是，卡利爾卻并沒有得到Facebook一毛錢的獎(jiǎng)勵(lì)，網(wǎng)站的負(fù)責(zé)人解釋說，卡利爾提出的漏洞很有意義，但“關(guān)鍵的問題在于你如何報(bào)告這個(gè)漏洞的存在——未經(jīng)同意利用他人的真實(shí)賬號(hào)做一個(gè)展示顯然不行。我們無法接受利用漏洞對真實(shí)用戶造成影響的行為”。

盡管Facebook不肯掏錢，但支持卡利爾的人們卻在網(wǎng)上發(fā)起捐贈(zèng)，給他籌集了11000美元做漏洞獎(jiǎng)勵(lì)。另外，拜這個(gè)漏洞所賜，卡利爾可能也快要擺脫失業(yè)狀態(tài)了。不少公司看到卡利爾發(fā)現(xiàn)的漏洞后，邀請他來工作。

“作為一個(gè)巴勒斯坦人，我為能夠找出Facebook的漏洞感到驕傲?！笨ɡ麪栒f，“我和所有人一樣，期待找到一份好工作，開始正常的生活?！?/p>