网络犯罪有利可图，以及来自惠普黑客比赛的更多教训 - 彭博社

摄影：美联社通过AP照片黑客是一项孤独的事业，隐秘且在计算机屏幕的微光下昏暗，至少在大众想象中是这样。半年度比赛 Pwn2Own 则不然，由 惠普 的零日计划（ZDI）组织，团队聚集在一起展示“利用”，这是一个内部术语，用于指利用网络浏览器和视频流程序中的安全漏洞来控制笔记本电脑。

今年，八名参赛者（一些是团队，一些是个人）在3月12日至13日的温哥华完成了12次成功攻击，赢得了85万美元。惠普和 谷歌 团队还有机会为慈善事业进行黑客攻击，披露漏洞并将奖金捐赠给加拿大红十字会。结果告诉你一些关于网络安全的事情。

黑客变得越来越难。 在比赛的两天里，披露了35个独立的漏洞，通常是通过将几个缺陷串联在一起形成一次攻击。根据在Pwn2Own的工作，这些漏洞的开发比以往的比赛花费了更长的时间，惠普企业安全产品的首席技术官雅各布·韦斯特表示。“这突显了我们在软件行业开始真正构建更好安全性方面所产生的一些影响，”他说。“攻击者必须开发更复杂的利用，涉及更多的单独漏洞以及它们之间更复杂的连接，而不是过去那样。”

可以赚很多钱。 在2007年第一次Pwn2Own比赛中，每个漏洞的奖金最高为10,000美元。今天是150,000美元。这反映了一个更广泛的趋势：想要出售自己技能的黑客现在有很多选择，并且市场越来越成熟。ZDI在研究人员发现并披露漏洞时支付报酬，以便公司有机会修复这些漏洞。各个公司（谷歌、微软、Mozilla等）也做同样的事情。

比赛中最大的赢家是来自Vupen Security的团队，他们赢得了400,000美元。Vupen的业务是开发漏洞并将其出售给政府和情报机构，这些机构用它们进行间谍活动或网络攻击。这就是HP所定义的漏洞的灰色市场（比赛网站上有一张不错的信息图）。当然，还有直接的黑市，网络犯罪分子在这里购买他们需要的漏洞，例如，入侵Target。

公司修复缺陷的速度更快——但仍然太慢。 一旦黑客在Pwn2Own上展示了他们的武器，他们会向相关软件制造商解释他们是如何做到的，媒体发布称之为披露室。West表示，在2010年，通过ZDI和Pwn2Own比赛报告的漏洞，公司修复这些漏洞花费了超过一年时间。现在，报告给ZDI的前10名供应商中有六家在120天内修复漏洞——截至本月，ZDI已将其设定为官方截止日期。ZDI发布未在此之前修复的漏洞的建议，以便第三方开发保护措施。将反应时间从超过一年缩短到四个月是进步。但这仍然给网络犯罪分子留下了很大的机会窗口。