<年度票房奖>:漏洞病毒
得奖理由：<漏洞=＄＄＄>

2005年由 Bot 傀儡程序所组成的僵尸网络，俨然成为集团式犯罪的必要条件，可怕的是，你的计算机成为犯罪集团暗地纳入的行凶会员，你可能一点都不知情。2005 年第一季，寄发大量邮件的 BOT WORM 傀儡虫家族 MYTOB 现身之后，导致BOT WORM 傀儡虫创作者或团体开始迅速繁衍，这些人利用公开程序代码的模块化特性获得极大的进展，包括 ZOTOB 作者也是属于同个黑客集团成员。网络安全机构 SANS表示，僵尸计算机已被黑客当作用来勒索的工具，尤其是线上赌博网站。某些黑客还会将他们以 bot傀儡程序所控制的计算机，出租给其它国家的黑客。

僵尸网络控制计算机获利 6万美元

FBI 成员于2005年11 月3 日逮捕一名涉嫌利用 Bot 犯案的黑客。菲裔美籍人士 Jeanson Ancheta 被控涉及两起诈欺与多起计算机入侵与洗钱案。Ancheta 涉嫌利用经过修改的 "rxbot" 特洛伊木马程控数千台含有安全漏洞的计算机。他在这些遭控制的系统中安装会产生弹出信息的恶意程序，这项阴谋行动总共产生了高达 $60,000 美元的不法利益。目前Ancheta 已被收押且不得保释，预计将于12 月 27 日出庭受审。如果他被控的 17 罪名都成立的话，将必须面临 50 年的刑期。

发现一个漏洞值多少钱？

“漏洞=＄＄＄”，一点也不夸张：对漏洞研究人员而言，提供微软或其它信息业者没有发现到的可攻击安全漏洞给某些安全厂商推出的“漏洞贡献者方案Vulnerability Contributor Program (VCP)”、“零时差项目 (Zero Day Initiative，ZDI)”，可以获得金钱报酬;对黑客而言，利用漏洞撰写而成的 Bot 傀儡虫，可以组成攻击他人的僵尸网络销售给不法者;对企业而言，一些安全研究员或是黑客已经从”搜集漏洞”中找到另一片商机。看看这个由安全业者提供的漏洞奖励计画，你将不难明白，在产品或操作系统上寻找新的安全漏洞似乎是不错的“生财之道”：




上述是Argeniss提供的资料，IDefense也有类似的方案，名为“漏洞贡献者计划（Vulnerability Contributor Program，VCP)”，接受任何人提供新的安全漏洞并支付这些人酬劳。3Com 与旗下公司 TippingPoint 也于7月底共同推出“零时差项目 (Zero Day Initiative，ZDI)”，提供优厚的条件奖励安全研究人员揭露所发现的安全漏洞。只要有人购买研究人员提供的安全漏洞，研究人员就可获得点数。点数的计算类似航空公司会员累积里程的方式，每年会依据研究人员当年度提报安全漏洞所获得的总金额，采一元兑一点的方式累计点数。“零时差项目 (Zero Day Initiative，ZDI )”每一个等级都提供独特的奖励与优惠条件，所有奖励与优惠条件在获得点数后的下一年全年有效，奖金从1,000 美元到20,000 美金不等，还可免费登录并招待前往拉斯维加斯参加国际黑客年会DEFCON、BlackHat 大会。以下是 ZDI 奖励方案各等级会员的介绍：



虽然提出奖励计划的厂商，旨在发现技术应用中存在的漏洞，为用户提供更好的安全服务。然而趋势科技也忧虑以下问题：

-如果漏洞提报者，对赞助厂商提供的金额并不满意怎么办？他们将如何处置所揭露的安全弱点？
-如果发现的安全漏洞未通知供货商，会不会在道德约束失效后，产生其它可能性：比如抢先在黑客BlackHat黑帽大会上发表成果，借以肯定自身功力。

(责任编辑：关美纳)