科技巨頭與網絡黑市上演漏洞爭奪戰

科技巨頭與網絡黑市上演漏洞爭奪戰

  隨著網絡攻擊威脅的日益增加,一場科技巨頭與網絡黑市之間的漏洞爭奪戰也愈演愈烈。雙方爭相從能夠挖出軟件和系統漏洞的天才黑客手中購買能夠帶來或破壞巨大經濟利益的漏洞。

  包括谷歌、臉譜和Mozilla,都提供價值數千至上萬美元的“漏洞賞金”計劃,以鼓勵外部的破解高手尋找企業的漏洞。但是,網絡黑市的買主卻能拿出10倍甚至更高的價格購買這些漏洞。按目前的狀況來看,以後企業很可能要大幅度的提高他們的“賞金”,以保持在這場漏洞爭奪戰中的競爭力。

  “目前的形勢相當嚴峻。如果再這樣下去的話,將沒有人能夠擁有一臺沒有遭到入侵的電腦,我們已經準備好迎接一場大災難的到來。”–維克雷姆·菲塔克 NSS實驗室首席執行官

  安全企業NSS實驗室正在推進建立一個集中化的賞金平臺,讓擁有大量漏洞的公司,如甲骨文、蘋果、谷歌、Mozilla、Adobe等,拿出至少與網絡黑市買主一樣的價格購買其存在的零日漏洞。蘭德公司今年的一個調查報告披露,一些重大的零日漏洞在黑市上可以賣到30萬美元。還有一些安全專傢表示,這個數字可以是100萬。

  但NSS的這個計劃缺少各方面的支持,漏洞賞金的幅度很難一下提高,更不用說那些堅持一毛錢都不想出的企業瞭。Adobe就是個例子,盡管在去年被黑客盜走瞭3800萬用戶的密碼,但也僅表示要與“用戶和報告漏洞的安全社區研究人員”一起合作,並認可他們對網站提交的建議。



  其他一些不願提供賞金的公司還有蘋果、思科和甲骨文,後者出品的Java軟件,因漏洞無數極易遭受黑客攻擊,而飽受各方面多年來的批評和指責。

  一些鼓勵漏洞獎勵的公司支持NSS實驗室的獎池計劃,但他們能夠給出的價錢無法與地下網絡相比。比如去年的雅虎,其軟件中的一個漏洞被安全公司 High-Tech Bridge發現並提交,雅虎獎勵給該公司12.5美元折扣的T恤、筆和其他雅虎商店的出售的小商品。在被狠狠地嘲笑瞭一番後,雅虎最終把獎金提高到瞭1.5萬美元。  

  “這是開玩笑嗎?以後還能不能一起玩耍瞭?”

  今年9月,谷歌開始為“一般”漏洞提供1.5萬美元,3倍於之前的獎勵,並同時在博客中表示,付給一個“非常令人印象深刻”的漏洞3萬美元。而臉譜盡管聲稱它的一般漏洞獎金也就2千美元,但也曾為一個非常嚴重的漏洞拿出瞭3.35萬美元。一開始反對獎池平臺計劃的微軟,也在2013年底把獎金上限提高到10萬美元。中國知名安全研究人員於暘(TK)是該筆獎勵僅有的兩個獲得者之一。

  另外一些渴望獲悉本身漏洞的公司雇用專業漏洞查找團隊,如舊金山的Bugcrowd,它為漏洞開出的最高價格是2萬美元。該公司已成立兩年,在全世界聚攬瞭超過1.3萬名白帽子。

  Bugcrowd裡的賞金之王是一名24歲的大學生,本·塞德吉波爾(Ben Sadeghipour)。他在美國加州的薩克拉曼多大學上學,專業是計算機信息安全。還是孩提時代的時候,就學習黑客技術以繞過媽媽為瞭防止他玩電腦設置的密碼。

  據估計,僅在今年本就已經挖出30多個漏洞並拿到瞭2.3萬美元。本表示,一直有黑市上的人聯系他購買漏洞,但他從不接受。因為他“不想掙不幹凈的錢”。

  國內第三方漏洞提交平臺烏雲,是首傢提出讓白帽子“站著把錢掙瞭”的企業。烏雲聚焦覆蓋瞭數量眾多的行業內與民間中的安全愛好者,其中活躍的白帽子有數千人。他們協助企業修復安全漏洞或整理解決方案的知識沉淀。在烏雲這些年努力下,目前大型互聯網企業對安全上升瞭一個臺階,白帽子報告的漏洞均被重視並得到確認與處理。但仍有部分互聯網企業與傳統行業對安全的重視不足,導致安全事件頻發,用戶受到安全困擾。

  “黑色產業”內流動著龐大的黑色利益,是建立在企業與用戶的痛苦之上的,對互聯網造成難以估量的經濟造成損失。但如果互聯網企業可以重視安全研究者勞動付出,並提供其客觀合法的經濟收入來調動安全行業的積極性,很多安全問題都將及時發現並得到主動的處理。  

  阿裡巴巴、騰訊、百度、360、京東、新浪、網易都有著各自的漏洞響應中心,對提交漏洞的白帽子給予相應的獎勵。幾年前,付錢給攻擊你的人,還是一種激進的思想。但互聯網世界變化的如此之快,現如今激進已經成為實用。網絡空間,有著成千上萬擁有漏洞發現技術的黑客人才,把這些人召集起來,給予他們一個可以實現自我並可以“站著把錢掙瞭”的機會,豈非一件利已利人的大好事?

  烏雲聯合創始人孟卓向安全牛介紹,白帽子在烏雲一個月內的漏洞獎金額度較多的相當於其近半年的薪資總額,平均起來白帽子每個月都能拿到一般薪資水平1~3倍的漏洞獎金。漏洞獎勵在烏雲以及國內企業的努力下,給瞭白帽子們一個展現自己、被企業認可與合法收益的渠道,為行業創造著巨大價值。

  由兩名前美國國傢安全局官員在2013年創立的Synack,則使用另一種方法尋找軟件漏洞。他們並不招攬大量的黑客,而是付錢給企業、院校和政府裡的安全專傢,後者包括國傢安全局的現有員工。Synack開出的單個漏洞獎金上限一般是5千美元。

  還有一些公司把發現的零日漏洞賣給全球的政府機構,包括美國的情報部門和軍事機構。他們用這些漏洞開發漏洞利用程序,以滲透他國的計算機系統。工控安全專業廠商匡恩科技總裁孫一按曾向安全牛表示:“在網絡黑市上,重要的工控安全漏洞能賣到60萬至100萬歐元。”

  “在極少數情況下,為瞭收集頂級情報信息,政府授權國傢安全局使用零日漏洞。”–美國總統顧問小組

  由於這些漏洞有時無法得到修復,從而將公眾暴露於危險之中,而且全世界各個國傢對零日漏洞的購買需求也在極大的推動著網絡黑市。為此,美國政府一直飽受批評。

  發現漏洞並不是一件很容易的事,即使對於專業的軟件公司來說。這主要是因為傳統的計算機教育隻關註於實現功能的代碼編程,並沒有關註安全漏洞,更談不上符合安全規范的代碼編程瞭。因此,許多業內人士人為,雇用黑客來查找漏洞不失為一個很好的辦法。

  安全咨詢服務商谷安天下總經理李華對安全牛表示,對於大型機構來說,雇傭黑客進行眾測最大的問題是信任問題和風險控制問題。因此,做為深受客戶信任的咨詢顧問方,谷安天下的專傢進行風險控制以及與客戶的需求溝通,再與烏雲平臺組織的業內著名白帽子合作,針對行業應用進行深度測試。目前已經在一些知名的金融機構取得瞭非常不錯的效果,得到瞭行業客戶的認可。

  

Comments are closed.