هکرها هم میتوانند درآمد مشروع و قانونی داشته باشند. فقط کافی است اراده کنند تا نان حلال از عمل خویش خورند؛ البته سر یک دوراهی باید برای این اتفاق تصمیمگیری کنند.
هکرها بسته به انتخاب خود، میتوانند آینده یک محصول یا شرکت را تا حدودی رقم زده و یا تحت تاثیر قرار دهند.
فرض کنید شما هکر کامپیوتر هستید و یک حفره نفوذی در نرمافزاری پیدا کردهاید.
اگر این حرفه برای هکرهای خرابکار آشکار شود، امکان سرقت پول یا حتی هویت افراد را برایشان فراهم میکند. برای شما مایه مباهات و افتخار است که حفره یک نرمافزار راپیدا کردهاید، اما واقعیت این است که چنین موفقیتی دردی از پول اجاره خانه و موعدی که هر روز نزدیکتر میشود دوا نمیکند.
با این تفاسیر، احتمال اینکه کشفتان را به بالاترین قیمت پیشنهادی بفروشید، چقدر است؟
اگر از شرکت نرمافزاری مربوطه که حفره در آن پیدا شده، تقاضای پول کنید، این طور به نظر میرسد که قصد اخاذی یا حق السکوت دارید.
مشکلی که احتمال دارد در این راه با آن مواجه شوید، این است که به دلیل عدم تمایل شرکت برای پرداخت پول، مجبور شوید دانش و یافتههایتان را در اختیار هکرهای خرابکار بگذارید.
احتمال وقوع چنین اتفاقی است که ارزش آن حفره را بیش از پیش نشان داده و در درجه اول اهمیت، قرار میدهد. در درجه بعدی اهمیت اما، پاداش عادلانه برای یافتن آن حفره است که باید ارایه شود؛ اما چه کسی حاضر است بابت آن به شما پول بدهد؟!
کسب و کارها نیز به مثابه طبیعت از خلاء گریزانند، بدین لحاظ شرکتهای امنیتی به وجود آمدهاند که خلاء میان هکرها و شرکتهای سازنده نرمافزار و محصولاتی از این دست را پر میکنند.
این شرکتها حفرههای یافت شده را از هکرها و یا به عبارت دیگر «پژوهشگران امنیتی» میخرند.
شرکتهای مذکور پس از این مرحله نسبت به فروش حفرههای موجود به شرکتهای نرمافزاری اقدام میکنند و اغلب همراه با ارایه نقاط ضعف، اصلاحیهای را هم ارایه میدهند. گاهی هم این نقاط ضعف را دستمایه «تحقیقات» بعدی قرار میدهند، یعنی با استفاده از این نقاط ضعف، به جست و جوی نقاط ضعف بزرگتر و سودمندتر (البته به نفع خودشان) میپردازند.
چنین شرکتهایی سعی دارند به مثابه نوعی «نهاد سوم» عمل کنند که از سوی هکرها و شرکتهای نرمافزاری مورد پذیرش قرار گرفته باشد.
البته ادعای آنها این است که بازار را خوب میشناسند و از هزینهای که احتمال دارد برای حفرهها پرداخت شود، مطلعند.
با وجود این، اغلب نه هکرها به آنها اعتماد میکنند و نه شرکتهای دیگر.
هکرها میگویند، اگر برای اثبات مدعایشان درباره یک حفره و هزینهای که میبایست بابت آن پرداخت شود به شرکتهایی از این دست مراجعه کنند، ارزش اطلاعاتی که دارند یکسره از بین میرود، زیرا دیگر فقط آنها نیستند که از وجود آن حفره مطلعند؛ و در واقع محرمانه بودن اطلاعات از دست میرود.
شرکتهای نرمافزاری نیز در این میان معتقدند که این شرکتهای واسط تنها اطلاعات بی معنی و پیش پا افتاده را به آنها ارایه میکنند.
شاید این شرکتها زیادی بدگمان هستند اما به هر حال اظهار میدارند که نقاط ضعف اصلی مستقیما به بازار سیاه راه میبرند.
در همین راستا یک شرکت سوییسی برای شفافسازی در این حوزه اقدام جدیدی انجام داده است. با سرویس جدید این شرکت تمامی فرآیند فروش حفرهها و ارایه نقاط ضعف به شکلی شفاف انجام میپذیرد و از طرفی هکرها نیز بیش از پیش با ارایه اطلاعات درست و دقیق از مزایای مادی اقدامشان منتفع میشوند.
شرکت Wabi Sabilabi متمایز از شرکتهای امنیتی قدیمیتر، به اختیار و سلیقه خود اقدام به خرید و فروش اطلاعات نمیکند بلکه تنها فضای مناسبی را برای عقد چنین قراردادهایی فراهم میآورد.
هکرها یا شکارچیان حفرهها و نقاط ضعف نیز میتوانند از این فضای کسب و کاری به سه شیوه استفاده کنند.
۱) کشف خود را در یک مزایده رودررو و مستقیم برای فروش ارایه کرده و آن را با حقوق انحصاریاش به بالاترین پیشنهاد عرضه کنند.
۲) حفره را با قیمتی ثابت بدون آنکه وارد مزایده شود انحصارا به شرکتی خاص بفروشند.
۳) حفره را با قیمت ثابت به تعداد زیادی از خریداران که مایل به دریافت آنها هستند، عرضه کنند.
Wabi Sabalabi برای فراهم کردن فضا و شرایط این فرآیند، دو اقدام انجام داده است.
۱) در تلاش است، تنها به افرادی که اهداف و موجودیت مشروع و قانونی دارند امکان خرید و فروش اطلاعات را بدهد (البته این کار به کمک یک فرآیند تحقیقی شبیه به روند مورد استفاده در بانکها برای جلوگیری از پولشویی انجام میگیرد).
۲) شرکت موضوع و حفره مورد ادعای یابندهاش را پیش از عرضه برای فروش مورد بررسی قرار میدهد تا از ادعای هکر در مورد آن مطمئن شود.
هرمان زامپاریولو (Herman Zampariolo)، رییس شرکت Wabi Sabi Labi در این باره میگوید: تاکنون از زمان راهاندازی مرکز داد و ستد شرکت، صدها هکر در شرکت ثبت نام کردهاند ولی فقط ۴ حفره برای فروش عرضه شدهاند و قیمت مطرح شده برای آنها هم متوسط بوده است. برخی معتقدند که علت این امر، ارزیابی خریداران از نحوه کار این سیستم است.
البته ناگفته نماند که به تازگی ۲۰۰ حفره برای بررسی به شرکت عرضه شدهاند.
با این اوصاف، اگر با چنین مزایدههایی خواستار موفقیت چشمگیر باشید، باید از سد موانع متعددی بگذرید. یکی از این موانع مربوط به فروشنده است. اگر فروشنده در مورد پیشنهادش کاملا روراست عمل کند، خریدار نیز بدون آنکه برای این اطلاعات مبلغی پرداخت کرده باشد از جزییات آن مطلع میشود.
مورد دیگر این است که شانس اطلاع یافتن افراد دیگر از وجود آن حفره به مرور گذشت زمان افزایش مییابد. هنگامی که مساله بیان آن حفره برای هکر از ضرورت برخوردار است و او نیاز دارد که در کمترین زمان نسبت به طرح آن اقدام کند، مجبور میشود فرآیند تصدیق و ارزیابی شرکت برای حضور در مزایده را از سر بگیرد.
اما واقعیت این است که معضل اصلی در راه پویایی یک مزایده درباره نواقص نرمافزاری، برگزاری یک مزایده قانونی است.
جنیفر گرانیک (Jennifer Granick)، یکی از حقوقدانان دانشگاه استانفورد که سالهای متمادی در این مورد به تحقیق و مطالعه پرداختهاند، میگوید: اگر فردی با استفاده از مرکز داد و ستدی مشابه Wabi Sabi Labi مرتکب جرمی شود، یعنی از اطلاعات مربوط به حفرهای که در آنجا خریداری کرده برای مقاصد نادرست سوء استفاده کند، آنگاه صاحب مرکز تجاری مذکور با دردسر و مشکل مواجه خواهد شد.
با توجه به قوانین کیفری آمریکا، باید ثابت شود که صاحب آن مرکز تجاری آگاهانه نسبت به فروش اطلاعات یک حفره به فرد مجرم اقدام کرده است.
البته بر اساس قوانین شهروندی، باید بی احتیاطی شرکت اثبات شود.
در فیلمهای وسترن آدم خوبها کلاههای سفید میپوشند و آدم بدها کلاههای سیاه بر سر میگذارند. این قانون در مورد هکرهای کامپیوتری نیز به شکلی نمادین مورد استفاده قرار گرفته است.شاید اقدام جدید شرکت Wabi Sabi Labi جانی تازه بدمد در کالبد هکرهایی نوظهور با کلاههایی خاکستری.