黑客也有好坏之分,也就是所谓的黑帽子和白帽子。24岁的大三学生Behrouz(“Ben”) Sadeghipour就是一名白帽子,他用自己的实际行动在与黑帽子做斗争,与此同时还挣得了大量现金。
他每周大概会用20个小时的时间来挖漏洞,当然找漏洞并不是无偿的,公司一般都会给予一定的现金奖励或者其他一些奖励。目前,Sadeghipour在圈内小有名气,他时常会被邀请作为白帽子参加一些安全会议。
1、你是怎样开始白帽子工作的?
我之前就已经了解到,像谷歌,雅虎,微软等这样的大公司,他们会雇佣一些白帽子来测试其系统,不少公司是通过第三方平台发布测试项目,如果发现漏洞就会给予一定的奖励。
2、你是怎样获得这份实习工作的?
2月份的时候,我是作为一名自由职业者开始挖漏洞,当时找到了很多的漏洞,所以公司对我的印象比较深刻。后来我就开始在Twitter上和Bugcrowd运营副总Jonathan Cran聊天。之后我又在拉斯维加斯的一个白帽子会议上遇见了cran和公司的其他几位高管。7月份他们就给了我一个实习的机会, 9月就开始了我的实习生涯。我希望毕业以后能在Bugcrowd或者类似的安全公司工作。
3、作为一个SOHO白帽子能挣多少?
提交20-30个漏洞报告大概挣了2万美元。事实上我提交了至少有100份漏洞报告,只是有些公司没有给现金奖励,只是给了纪念性T-shirt之类的东西。但是有些比较厉害的白帽子,加上原有工作的工资,他们的年薪大概会在7-8万美元。
4、你怎么决定做白帽子的?
在我小的时候,妈妈严格限制我上网,她甚至会设置电脑登录密码。而我会一直坐在电脑前破解密码直至成功。从那时起我就开始阅读黑客相关的文章,并学会了自己写代码,之后也一直坚持自己的爱好从事计算机相关的工作。
但在我18岁的时候,我决定不在从事计算机相关的工作了,因为我的家人一直在告诉我黑客是违法的,我也不想做违法的事,所以就决定放弃计算机类的工作。曾停滞了三年,直到我听说了漏洞奖金这回事。很尴尬,因为我后来我才知道黑客有黑帽子、白帽子之分,黑帽子是邪恶的,他们会窃取用户数据;而白帽子是正义的,他们主要是从事一些研究并阻止黑客利用漏洞。
做黑帽子还是做白帽子取决于是想以肮脏的方式挣很多钱还是以高尚的方式挣较少的钱。
5、为什么不好好读大学课程,要做白帽子?
做白帽子是理论联系实际的一个绝佳途径,大学里学的理论知识相对很简单,而通过实际挖漏洞可以学到更多。就我个人而言,我9个月的挖洞历程比我之前在学校里学的要有用的多。
6、你是怎样合理安排学业和工作的?
我大概每周会花20个小时用在挖漏洞上,其他时间还是用在学业上。
7、你最值得自豪的成绩是什么?
我过去曾读过一些关于牛人的文章,我当时就想我要是也能成为那样的人就好了,我还希望能做到雅虎的前十名。我做到了!还有就是我的家人现在都以我为荣,谷歌中输入我的名字就会出现很多关于我的文章,我已经是小有名气了!