〈賞金獵人:漏洞報告〉
二零一一年當漏洞報告的來源開始枯竭的那一刻起,穆蘇里斯就知道問題嚴重了。
比起從駭客那裏取得漏洞報告,微軟開始從仲介商那裏得到更多漏洞報告──但可能是在那些漏洞已經被人利用之後。由於這暗示著那些漏洞可能已經變成具破壞力的網路攻擊,不僅對於異議分子、激進分子和新聞記者而言是壞消息,對於微軟而言也非常不利。
矽谷殘酷的人才爭奪戰依然肆虐,雷德蒙德已經成為推特和臉書等新成立的初創公司肥沃的偷獵地。微軟如今不僅少了漏洞報告,其進入大型人才庫的管道也被切斷了。
如果無法爭取到最優秀的資訊安全人才,處境將會愈來愈危險。隨著谷歌和臉書現在都已經開始支付賞金,穆蘇里斯知道微軟公司也應該這麼做。
說服微軟高層開始向駭客支付賞金是一項艱鉅的任務。首先,微軟永遠無法在網路武器市場上與政府競爭,除此之外還有另一個賞金可能變成邪惡誘因的合理限制:假如駭客能夠在攻擊領域賺到愈多錢,棄絕防禦工作的駭客人數就可能變多。
如果一個微軟程式的錯誤能讓他們賺進數千美元,還有多少有才華的資訊安全工程師願意投入這一行?
穆蘇里斯開始利用下班時間研究賽局理論,以便了解各種激勵模式及缺點。微軟可能永遠無法與政府市場競爭,然而穆蘇里斯知道金錢不是吸引駭客的主要誘因。
她將駭客的動機分成三種類別:賺取報酬、獲得認同、以及「尋求知性方面的快樂」。
假如微軟不打算支付駭客最高的報酬,就必須創造出一種條件,而在這種條件下,修復錯誤會比將漏洞武器化並販售給政府還要吸引駭客。
然而並不是每個人都吃這套,因為有些人就是為了賺錢才當駭客,有些人則認為將漏洞利用程式賣給政府是愛國的表現。
但世界上有一千八百萬名軟體程式設計師,如果微軟能以更具意義的方式來認同這些程式設計師,就能長長久久地利用他們的腦力,並邀請到最優秀的程式設計師來雷德蒙德工作。
LINE