“漏洞=$$$”,一点也不夸张:对漏洞研究人员而言,提供微软或其它信息业者没有发现到的可攻击安全漏洞给某些安全厂商推出的“漏洞贡献者方案Vulnerability Contributor Program (VCP)”、“零时差项目 (Zero Day Initiative,ZDI)”,可以获得金钱报酬;对黑客而言,利用漏洞撰写而成的 Bot 傀儡虫,可以组成攻击他人的僵尸网络销售给不法者;对企业而言,一些安全研究员或是黑客已经从”搜集漏洞”中找到另一片商机。看看这个由安全业者提供的漏洞奖励计画,你将不难明白,在产品或操作系统上寻找新的安全漏洞似乎是不错的“生财之道”:
上述是Argeniss提供的资料,IDefense也有类似的方案,名为“漏洞贡献者计划(Vulnerability Contributor Program,VCP)”,接受任何人提供新的安全漏洞并支付这些人酬劳。3Com 与旗下公司 TippingPoint 也于7月底共同推出“零时差项目 (Zero Day Initiative,ZDI)”,提供优厚的条件奖励安全研究人员揭露所发现的安全漏洞。只要有人购买研究人员提供的安全漏洞,研究人员就可获得点数。点数的计算类似航空公司会员累积里程的方式,每年会依据研究人员当年度提报安全漏洞所获得的总金额,采一元兑一点的方式累计点数。“零时差项目 (Zero Day Initiative,ZDI )”每一个等级都提供独特的奖励与优惠条件,所有奖励与优惠条件在获得点数后的下一年全年有效,奖金从1,000 美元到20,000 美金不等,还可免费登录并招待前往拉斯维加斯参加国际黑客年会DEFCON、BlackHat 大会。以下是 ZDI 奖励方案各等级会员的介绍: