置頂

駭客風雲〉駭客到底有多賺錢?抓1個漏洞最高拿260萬元

這一群人,到底是守護者?還是復仇者聯盟?
文 / 劉彥伯    
2022-05-04
瀏覽數 16,650+
駭客風雲〉駭客到底有多賺錢?抓1個漏洞最高拿260萬元
圖/pexels
Line分享 articlefont

一個駭客的年薪是多少?這可能取決於「他/她」屬於黑白兩道哪一道?還要看年資及技術。

「台灣駭客年會HITCON 2021」上,副總統賴清德曾提到,台灣每月平均遭受3億次的駭客掃描、3000萬次的攻擊,相信在大多數人心中,駭客這個稱呼都和負面或犯罪脫離不了關係。

但如果再看看例如維基解密(WikiLeaks),乃至俄烏戰爭中,向俄羅斯政府宣戰的「匿名者(Anonymous)」,他們又似乎站在正向的一方。駭客也有分好壞嗎?

釋疑:駭客到底是好人還是壞人?

首先要了解,無論是哪一種駭客,「Hacker」這個名稱原就是專指熟知電腦系統、程式設計、網路架構的高手,沒有好壞分別。

因為都是透過破解與入侵的破壞手法,所以該如何界定駭客的好壞呢?現行的方式主要都是根據駭客手法是否合乎法定、攻擊的正當性、意圖不同等角度,用不同的色帽來做分類。

延伸閱讀

駭客風雲〉駭客有多神祕?可以確定跟電影演的不一樣

「色帽」主要分為紅帽(Red Hat)、白帽(White Hat)、灰帽(Grey Hat)、黑帽(Black Hat)、藍帽(Blue Hat)、綠帽(Green Hat)六種。

白帽駭客,亦稱為道德駭客(Ethical Hacker),會透過試探和入侵系統以確認系統的安全性,他們會揭露所發現的系統漏洞,並提出建議給系統原廠或是政府、公司,以提高該單位的資訊安全程度。

不少白帽是受僱於公司,就像一般的上班族一樣,例如Google的Project Zero就是如此,他們的任務就是到處去挖掘及研究市售軟體、硬體韌體或者開源碼的漏洞,一旦發現,他們便會將該漏洞的詳細報告寄給廠商,甚至揭露。光2021年,他們就發掘多達 58 個零日漏洞(0-day exploits)。

除了Google外,像是資安公司例如趨勢科技、Check Point等不少研究團隊常常會發表他們所發現的零日漏洞,當然除了提醒的用意外,實際上更像是一種「實力展示」。

而和白帽不同的,黑帽駭客則是專注在「如何利用漏洞創造最大利益,無論代價!」所以當他們發掘系統漏洞時,他們會想辦法透過這個新發現來賺錢,例如販售這個漏洞、入侵系統、製造病毒等違法犯罪行為來牟利。

灰帽駭客,顧名思義介於正義與邪惡之間,有時他們會為了竊取金錢或資訊而入侵系統,但有時又會主動提醒目標企業注意漏洞,賺取佣金。

藍帽駭客的定義有兩種,一是復仇者,他們可能因為被激怒後決定去做入侵報仇。另外一種是受僱的外部安全專家,某公司可能會邀請他們來測試即將發布的軟體或硬件產品,藉此找出錯誤。簡單的說,藍帽平常沒事不會主動出擊。

延伸閱讀

貿然投入恐踩大地雷!投資虛幣前,請先看懂三大騙局

紅帽駭客就像虛擬世界裡的羅賓漢,他們會採取積極措施去阻止黑帽駭客,為了將事情掌握在自己手中,他們會不遺餘力地發動全面攻擊,以摧毀犯罪分子或犯罪用的服務器並破壞他們的資源,以暴制暴的代表。

綠帽駭客,簡單的說就是初學者,這些初學者通常會採取正當的教育途徑學習技能,獲得證書並參加技能發展課程來學習如何成為駭客。雖然是初學者但也可能帶來危險,因為他們可能無法正確評判自己的作為將帶來的後果。

腳本小子,他們不能稱為駭客。

這個名稱來自Script Kiddie,雖然和黑帽一樣也是進行破壞,但說穿了腳本小子只是個利用別人寫好的程式來發起攻擊的網路鬧事者,他們甚至不懂得攻擊程式的原理與設計。

釋疑:有女性的駭客嗎?

有的,但比率不多。根據美國ZIPPIA統計,美國當地白帽駭客的女性占 8.5%,男性佔 91.5%。

釋疑:駭客靠什麼維持生計?

以黑帽駭客為例,他們接案不會到一般的人力銀行網站,通常是透過認識的人介紹,或是在暗網(Darkweb)上面的工作徵人告示。而暗網上面時不時會有人在發案,多是與色情、賭博、虛擬貨幣等相關的委託,偶爾也會出現商業機密、入侵破壞等有關的委託案件。

而白帽或灰帽駭客,除了一般工作的薪水外,有時也會透過提報漏洞來賺取獎金與名聲。

你可能好奇發現一個產品或系統漏洞可以獲得多少報酬?以Google「漏洞獎勵計劃」為例,針對發現Linux Kernel、Kubernetes、GKE或 kCTF上問題的提報者,會根據漏洞的程度大小,提供從2萬到9.1萬美元不等的報酬,相當於260萬台幣的高額獎金

而當發掘的漏洞被認定越多,其實也等同於個人的技術被認可,名氣因此也隨之提升。

名氣對駭客來說很重要,除了滿足虛榮心外,其實不少駭客有了婚姻或年紀後,不想繼續冒險,會想找一個穩定的工作,他們通常選擇被高薪招募到大型企業或是政府單位,或者自己籌募創投資金自創公司。

延伸閱讀

你買的NFT是假貨?台灣「這團隊」靠一協議讓盜圖無所遁形

提到收入,電腦駭客其實就是電腦方面的專家,既然是專家報酬就會比一般工作高一點。

印度是現在全世界最多電腦工程師的輸出大國,根據intellipaat一份關於印度白帽駭客起薪與薪資的調查中可以看到,白帽駭客的薪資水準完全取決於資歷與技術經驗累積。

取自intellipaat圖/取自intellipaat

總體來說,駭客和一般的受薪階級很類似,工作經驗與大環境的好壞,同樣影響了駭客的收入。

釋疑:沒有人敢招惹駭客?近乎無敵?

確實,沒事不要招惹駭客,尤其是集團型的駭客組織。

但也不要以為駭客們無所不能,前述提到駭客在暗網接案時,偶而也會碰到一些衰事。

例如碰到初次合作不熟悉的委託人,或者委託人的背景也不簡單,可能就會出現完工後款項支付不符,但也無法追討,成了冤大頭、替人做了白工的事情。

舉個從暗網討論區中看到的例子。一位黑帽駭客花了數個月的時間成功滲透到某一間公司,並且植入了勒索病毒,向企業主索討上千萬金額。本來以為可以結案了,但卻因為碰到企業主怎樣就是不願意付錢,加上原來的雇主跑路,而他自己數月內完全沒收入,因此向其他駭客網友在訴苦,還萌生了應該去找一份正職工作的想法。

以上是不是很顛覆你對駭客的想像呢?

駭客的存在,從正面的角度來看,正因為駭客不斷地入侵破解及挑戰,也等同促使了更具安全性且穩定的產品和系統被設計出來,不是嗎?

資安電影