科技巨头与网络黑市上演漏洞争夺战
随着网络攻击威胁的日益增加,一场科技巨头与网络黑市之间的漏洞争夺战也愈演愈烈。 双方争相从能够挖出软件和系统漏洞的天才黑客手中购买能够带来或破坏巨大经济利益的漏洞。
包括谷歌、脸谱和Mozilla,都提供价值数千至上万美元的“漏洞赏金”计划,以鼓励外部的破解高手寻找企业的漏洞。但是,网络黑市的买主却能拿出10倍甚至更高的价格购买这些漏洞。按目前的状况来看,以后企业很可能要大幅度的提高他们的“赏金”,以保持在这场漏洞争夺战中的竞争力。
“目前的形势相当严峻。 如果再这样下去的话,将没有人能够拥有一台没有遭到入侵的电脑, 我们已经准备好迎接一场大灾难的到来。”--维克雷姆·菲塔克 NSS实验室首席执行官
安全企业NSS实验室正在推进建立一个集中化的赏金平台,让拥有大量漏洞的公司,如甲骨文、苹果、谷歌、Mozilla、Adobe等,拿出至少与网络黑市买主一样的价格购买其存在的零日漏洞。兰德公司今年的一个调查报告披露,一些重大的零日漏洞在黑市上可以卖到30万美元。还有一些安全专家表示,这个数字可以是100万。
但NSS的这个计划缺少各方面的支持,漏洞赏金的幅度很难一下提高,更不用说那些坚持一毛钱都不想出的企业了。Adobe就是个例子,尽管在去年被黑客盗走了3800万用户的密码,但也仅表示要与“用户和报告漏洞的安全社区研究人员”一起合作,并认可他们对网站提交的建议。
其他一些不愿提供赏金的公司还有苹果、思科和甲骨文,后者出品的Java软件,因漏洞无数极易遭受黑客攻击,而饱受各方面多年来的批评和指责。
一些鼓励漏洞奖励的公司支持NSS实验室的奖池计划,但他们能够给出的价钱无法与地下网络相比。 比如去年的雅虎,其软件中的一个漏洞被安全公司 High-Tech Bridge发现并提交,雅虎奖励给该公司12.5美元折扣的T恤、笔和其他雅虎商店的出售的小商品。在被狠狠地嘲笑了一番后,雅虎最终把奖金提高到了1.5万美元。
“这是开玩笑吗?以后还能不能一起玩耍了?”
今年9月,谷歌开始为“一般”漏洞提供1.5万美元,3倍于之前的奖励,并同时在博客中表示,付给一个“非常令人印象深刻”的漏洞3万美元。而脸谱尽管声称它的一般漏洞奖金也就2千美元,但也曾为一个非常严重的漏洞拿出了3.35万美元。一开始反对奖池平台计划的微软,也在2013年底把奖金上限提高到10万美元。中国知名安全研究人员于�(TK)是该笔奖励仅有的两个获得者之一。
另外一些渴望获悉本身漏洞的公司雇用专业漏洞查找团队,如旧金山的Bugcrowd,它为漏洞开出的最高价格是2万美元。该公司已成立两年,在全世界聚揽了超过1.3万名白帽子。
Bugcrowd里的赏金之王是一名24岁的大学生,本·塞德吉波尔(Ben Sadeghipour)。他在美国加州的萨克拉曼多大学上学,专业是计算机信息安全。还是孩提时代的时候,就学习黑客技术以绕过妈妈为了防止他玩电脑设置的密码。
据估计,仅在今年本就已经挖出30多个漏洞并拿到了2.3万美元。本表示,一直有黑市上的人联系他购买漏洞,但他从不接受。因为他“不想挣不干净的钱”。
国内第三方漏洞提交平台乌云,是首家提出让白帽子“站着把钱挣了”的企业。乌云聚焦覆盖了数量众多的行业内与民间中的安全爱好者,其中活跃的白帽子有数千人。他们协助企业修复安全漏洞或整理解决方案的知识沉淀。在乌云这些年努力下,目前大型互联网企业对安全上升了一个台阶,白帽子报告的漏洞均被重视并得到确认与处理。 但仍有部分互联网企业与传统行业对安全的重视不足,导致安全事件频发,用户受到安全困扰。
“黑色产业”内流动着庞大的黑色利益,是建立在企业与用户的痛苦之上的,对互联网造成难以估量的经济造成损失。 但如果互联网企业可以重视安全研究者劳动付出,并提供其客观合法的经济收入来调动安全行业的积极性,很多安全问题都将及时发现并得到主动的处理。