扫码打开虎嗅APP
随着网络攻击威胁的日益增加,一场科技巨头与网络黑市之间的漏洞争夺战也愈演愈烈。双方争相从能够挖出软件和系统漏洞的天才黑客手中购买能够带来或破坏巨大经济利益的漏洞。
包括谷歌、脸谱和Mozilla,都提供价值数千至上万美元的“漏洞赏金”计划,以鼓励外部的破解高手寻找企业的漏洞。但是,网络黑市的买主却能拿出10倍甚至更高的价格购买这些漏洞。按目前的状况来看,以后企业很可能要大幅度的提高他们的“赏金”,以保持在这场漏洞争夺战中的竞争力。
“目前的形势相当严峻。如果再这样下去的话,将没有人能够拥有一台没有遭到入侵的电脑,我们已经准备好迎接一场大灾难的到来。”--维克雷姆·菲塔克 NSS实验室首席执行官
安全企业NSS实验室正在推进建立一个集中化的赏金平台,让拥有大量漏洞的公司,如甲骨文、苹果、谷歌、Mozilla、Adobe等,拿出至少与网络黑市买主一样的价格购买其存在的零日漏洞。兰德公司今年的一个调查报告披露,一些重大的零日漏洞在黑市上可以卖到30万美元。还有一些安全专家表示,这个数字可以是100万。
但NSS的这个计划缺少各方面的支持,漏洞赏金的幅度很难一下提高,更不用说那些坚持一毛钱都不想出的企业了。Adobe就是个例子,尽管在去年被黑客盗走了3800万用户的密码,但也仅表示要与“用户和报告漏洞的安全社区研究人员”一起合作,并认可他们对网站提交的建议。
其他一些不愿提供赏金的公司还有苹果、思科和甲骨文,后者出品的Java软件,因漏洞无数极易遭受黑客攻击,而饱受各方面多年来的批评和指责。
一些鼓励漏洞奖励的公司支持NSS实验室的奖池计划,但他们能够给出的价钱无法与地下网络相比。比如去年的雅虎,其软件中的一个漏洞被安全公司 High-Tech Bridge发现并提交,雅虎奖励给该公司12.5美元折扣的T恤、笔和其他雅虎商店的出售的小商品。在被狠狠地嘲笑了一番后,雅虎最终把奖金提高到了1.5万美元。
“这是开玩笑吗?以后还能不能一起玩耍了?”
今年9月,谷歌开始为“一般”漏洞提供1.5万美元,3倍于之前的奖励,并同时在博客中表示,付给一个“非常令人印象深刻”的漏洞3万美元。而脸谱尽管声称它的一般漏洞奖金也就2千美元,但也曾为一个非常严重的漏洞拿出了3.35万美元。一开始反对奖池平台计划的微软,也在2013年底把奖金上限提高到10万美元。中国知名安全研究人员于旸(TK)是该笔奖励仅有的两个获得者之一。
另外一些渴望获悉本身漏洞的公司雇用专业漏洞查找团队,如旧金山的Bugcrowd,它为漏洞开出的最高价格是2万美元。该公司已成立两年,在全世界聚揽了超过1.3万名白帽子。
Bugcrowd里的赏金之王是一名24岁的大学生,本·塞德吉波尔(Ben Sadeghipour)。他在美国加州的萨克拉曼多大学上学,专业是计算机信息安全。还是孩提时代的时候,就学习黑客技术以绕过妈妈为了防止他玩电脑设置的密码。
据估计,仅在今年本就已经挖出30多个漏洞并拿到了2.3万美元。本表示,一直有黑市上的人联系他购买漏洞,但他从不接受。因为他“不想挣不干净的钱”。
国内第三方漏洞提交平台乌云,是首家提出让白帽子“站着把钱挣了”的企业。乌云聚焦覆盖了数量众多的行业内与民间中的安全爱好者,其中活跃的白帽子有数千人。他们协助企业修复安全漏洞或整理解决方案的知识沉淀。在乌云这些年努力下,目前大型互联网企业对安全上升了一个台阶,白帽子报告的漏洞均被重视并得到确认与处理。但仍有部分互联网企业与传统行业对安全的重视不足,导致安全事件频发,用户受到安全困扰。
“黑色产业”内流动着庞大的黑色利益,是建立在企业与用户的痛苦之上的,对互联网造成难以估量的经济造成损失。但如果互联网企业可以重视安全研究者劳动付出,并提供其客观合法的经济收入来调动安全行业的积极性,很多安全问题都将及时发现并得到主动的处理。
阿里巴巴、腾讯、百度、360、京东、新浪、网易都有着各自的漏洞响应中心,对提交漏洞的白帽子给予相应的奖励。几年前,付钱给攻击你的人,还是一种激进的思想。但互联网世界变化的如此之快,现如今激进已经成为实用。网络空间,有着成千上万拥有漏洞发现技术的黑客人才,把这些人召集起来,给予他们一个可以实现自我并可以“站着把钱挣了”的机会,岂非一件利已利人的大好事?
乌云联合创始人孟卓向安全牛介绍,白帽子在乌云一个月内的漏洞奖金额度较多的相当于其近半年的薪资总额,平均起来白帽子每个月都能拿到一般薪资水平1~3倍的漏洞奖金。漏洞奖励在乌云以及国内企业的努力下,给了白帽子们一个展现自己、被企业认可与合法收益的渠道,为行业创造着巨大价值。
由两名前美国国家安全局官员在2013年创立的Synack,则使用另一种方法寻找软件漏洞。他们并不招揽大量的黑客,而是付钱给企业、院校和政府里的安全专家,后者包括国家安全局的现有员工。Synack开出的单个漏洞奖金上限一般是5千美元。
还有一些公司把发现的零日漏洞卖给全球的政府机构,包括美国的情报部门和军事机构。他们用这些漏洞开发漏洞利用程序,以渗透他国的计算机系统。工控安全专业厂商匡恩科技总裁孙一按曾向安全牛表示:“在网络黑市上,重要的工控安全漏洞能卖到60万至100万欧元。”
“在极少数情况下,为了收集顶级情报信息,政府授权国家安全局使用零日漏洞。”--美国总统顾问小组
由于这些漏洞有时无法得到修复,从而将公众暴露于危险之中,而且全世界各个国家对零日漏洞的购买需求也在极大的推动着网络黑市。为此,美国政府一直饱受批评。
发现漏洞并不是一件很容易的事,即使对于专业的软件公司来说。这主要是因为传统的计算机教育只关注于实现功能的代码编程,并没有关注安全漏洞,更谈不上符合安全规范的代码编程了。因此,许多业内人士人为,雇用黑客来查找漏洞不失为一个很好的办法。
安全咨询服务商谷安天下总经理李华对安全牛表示,对于大型机构来说,雇佣黑客进行众测最大的问题是信任问题和风险控制问题。因此,做为深受客户信任的咨询顾问方,谷安天下的专家进行风险控制以及与客户的需求沟通,再与乌云平台组织的业内著名白帽子合作,针对行业应用进行深度测试。目前已经在一些知名的金融机构取得了非常不错的效果,得到了行业客户的认可。
“中国知名的金融服务机构已经在实施众测,并取得了良好的效果,这是一种未来的发展趋势。”--李华