第28章 悬赏百万美元举行黑客大赛

黑客的基本条件就是，精通计算机和网络。从某种意义上来说，他们也是“科学家”。所不同的是，他们不需要在实验室里蛮干苦干，而只需要具备一根电话线、一个调制解调器、一台计算机，就可以对计算机系统存在的漏洞进行大量的研究了。

为了发现并且证实一个计算机系统的漏洞，黑客们可能需要进行大量的测试、分析大量代码，用很长的时间来编写程序。可以这样说，用他们的“X光”一照，几乎没有软件不存在一定的问题。可是，考虑到商业利润和商业信誉的原因，软件商们又实在不愿意向社会公开自己的系统漏洞。只有到了黑客们“群起而攻之”的时候，软件商们才会不得不发布有关安全公告，提供解决方案和补丁程序下载。

但是，也有例外。

2001年4月28日加拿大一家名为Saafnet的新公司表示，该公司相信他们现在已经安装的新型网络安全装置，简直就是“刀枪不入”。所以，他们主动悬赏100万美元，在当年七八月份举行一次黑客攻击有奖大奖赛，“邀请”黑客入侵他们的网络。相关人士对安装有上述装置的计算机系统进行攻击，只要成功窃取相关密码或是入侵到网络内部，就算获胜。最短时间内入侵者，就可以获得这笔奖金。如果有可能的话，他们还要通过美国广播公司将这次比赛进行实况转播。

Saafnet国际公司介绍说，他们刚刚建立1年的时间。为了防止黑客攻击及网上欺诈的危险，他们特意研制了一种名为“Alpha盾牌”的硬件装置，该装置可以安装在计算机与调制解调器之间，为防范网络攻击起到有效作用。据称，用户可以像往常一样浏览网站，但这一装置不时会中断网络连接，这使得网络罪犯无法拥有足够的时间入侵计算机系统从事犯罪活动。

该公司的创始人兼首席执行官、24岁的维卡什·萨米表示，只有在用户本人按动鼠标按键、启动下载信息的程序时，计算机才会听从命令，这就很好地防止了黑客或者网上诈骗分子窃取用户私人信息。从用户的角度看，这种装置可以说天衣无缝，因为它一点儿都不会妨碍用户浏览网页。同时，网络黑客却可以被拦截在用户的计算机系统之外，因为他们在连接中断之前仅有几秒钟的时间展开攻击，自然难度极大。

可惜的是，截止本书完稿时还没有得到比赛举行的消息。业内分析人士指出，即使最终没有人能够成功入侵Saafnet公司的网络，也并不能说明该网络的安全性就是绝对的密不透风。

无独有偶。

1999年，一个国产路由器厂家搞过一个为期3天、悬赏10万元的活动。

2000年，某公司防火墙摆下10天“擂台”，以50万元的“检测费”，悬赏“8341防火墙”的突破者。

美国、德国、英国的此类活动更多。

数字音乐安全联盟（简称SDMI）的成立，是唱片业为了防止盗版而作出的努力成果之一。2000年9月，这个联盟的主席Leonardo Chiariglione在网上安放了几个加密的音乐文件。Chiariglione说，如果有谁能够破译这几个音乐文件的密码，那么这个人就将获得1万美元的奖金。这次竞赛的时间是9月15日至10月7日在hacksdmi网站上公开进行。

遗憾的是，看起来这项唾手可得的活动，却遭到了许多黑客的熟视无睹。有的黑客认为，比赛给出的期限太短；有的则认为参加竞赛反而是帮敌人的忙。所以，他们宁可保持沉默，也不要去赢那1万美元的奖金。

2001年4月下旬，英国Argus系统公司也举行了一次黑客竞赛活动，并且放出大话，谁能第1个成功入侵其研制的、固若金汤的Pit Bull安全系统，就可以得到35000英镑（约合人民币41.2万元）的奖金。

4月25日Argus公司公开承认，这也是他们第一次承认被黑，一个来自波兰的黑客小组“精神错乱的最终阶段”（Last Stage of Delirium），赢得了该公司承诺的35000英镑奖金，他们攻破了Pit Bull网络安全系统把守的服务器。Argus公司的牛皮吹破了。

值得高兴的是，Argus并没有为这次失败找什么借口。该公司在声明中称：“我们坦率地承认，在这种场合下，Pit Bull没能保护系统免受来自这个安全漏洞的侵袭。罪名成立！”

如果我们仔细探讨一下这种悬赏行为就会发现，“悬赏”与一般的测试是不同的。

在正式软件产品发布以前，进行α测试和β测试是软件业的一个惯例。例如，最新Windows操作系统Windows XP的Beta2测试版，曾经分发给全球50万名测试人员进行测试。事实上，悬赏摆擂台式的测试和一般的软件测试有着本质的区别。

首先，悬赏检测与一般测试的出发点不同。软件工程中的一个基本常识就是，软件测试是为了发现软件中的错误，以便对软件做出相应修改而进行的。测试只能证明程序中有错误，而不能证明程序中没有错误，也就是说，不能证明程序的正确性。网络安全产品的悬赏检测，则是以该软件正确为前提，其根本目的是要证明软件是正确的而且非常可靠。

悬赏攻击测试从技术上来看，应该属于安全测试或者脆弱性测试的一部分。它通常不分发给测试者，而是在测试者对产品基本上不了解的情况下，让他们自己想方设法去攻击，这样一来，即使有成千上万种通用的攻击方法，也不可能有很高的效率。

悬赏黑客进行攻击，实际上在我国是与有关法规相冲突的。我们可以在自己所控制的局域网范围内，进行任意黑客攻击测试。在不受任何单位控制的国际互联网上进行黑客攻击测试，必然会导致有害数据在国际互联网上传播，这也就违反了我国有关互联网的管理规定。

对于刚刚起步的网络信息安全产业来讲，这种手法危害甚大。一个产品刚刚出来，就敢说“用我的产品没事”，这一说，哪个单位还敢用？世界上至今没有，以后也不会有哪一个生产安全产品的企业敢说自己的产品100%安全。