日前,国际知名即时通讯工具WhatsApp的网页版被曝出存在安全漏洞,通过这一漏洞,黑客可以散布任意危险的恶意程序来感染用户的电脑。黑客能够利用漏洞达到自己的目的,这使得漏洞独具价值。根据漏洞的利用程度,不同漏洞价格也不同。譬如一个iOS系统的漏洞,黑市交易最低价格也在3万美金左右,漏洞挖掘堪比掘金。
图:WhatsApp的网页版被曝出存在安全漏洞
漏洞是进入系统控制权限的大门,一直以来也是网络安全从业者挖掘、研究、模拟攻防的对象。在2015中国互联网安全大会(ISC 2015)上,“漏洞挖掘与源代码安全论坛”,将就开源代码安全之痛、浏览器攻防对抗历史与技术演进等六大议题进行精讲,因此受到安全业界的广泛关注。
图:ISC 2015 中国互联网安全大会关注漏洞挖掘与源代码安全
漏洞黑市交易价格高,iOS漏洞最低3万美金
“安全漏洞”存在于任何操作系统、软件、网站当中,微软、Adobe等国际巨头都定期发布漏洞补丁,对系统与软件进行安全加固。苹果则在每次iOS升级时对其进行漏洞补丁修补。
网络安全工程师可以利用安全漏洞顺利地入侵Jeep、通用、特斯拉等汽车,从而对汽车进行远程操控,更有美国黑客在youtube上放出入侵加油站的视频。漏洞的危害显而易见。
如美剧《网络犯罪调查》里所演绎的那样,如果你找到的漏洞屌爆了,还会有诸多灰色组织向你伸出橄榄枝。在不久前被曝光的意大利著名网络军火商Hacking Team的内部数据中,存在大量极其危险的iOS 0Day漏洞,而这么多漏洞几乎全部是该组织在“漏洞市场"中买来的。
根据泄露的数据,一个普通的iOS漏洞交易价格大约在3.5至4.5万美元之间,如果独家销售给Hacking Team,价格至少会翻三倍。而一个有价值的iOS漏洞交易独家交易的价格可能会达到几十万美金。
尽管交易价格不匪,甚至挖掘漏洞赚钱的速度超过淘金,但这种交易处于灰色甚至黑色地带,为不少白帽子黑客所不齿。
挖掘是为了防护,ISC 2015关注漏洞挖掘与源代码安全
事实上,不少拥有黑客技术的工程师挖掘漏洞并非为了转卖漏洞赚钱。正所谓“未知攻,焉知防”。要加强信息安全主动防御,以信息安全攻击技术促进防护体系是一条很务实的逆向学习之路。
漏洞是信息安全的基石,也是广受攻击之所在,因此,构建软件漏洞分析基础设施、操作系统漏洞研究、浏览器攻防战、OAuth协议安全分析、TrustZone安全攻防、网络协议安全与漏洞分析等都是极为重要的安全实践方向。
在即将于9月28日至9月30日在北京国家会议中心举行的2015中国互联网安全大会(ISC 2015)上,最后一天将迎来“漏洞挖掘与源代码安全论坛”,这场论坛将从软件漏洞分析基础设施、漏洞研究、浏览器攻防战,以及网络协议安全与漏洞分析等方向探索攻防新知。包括解放军信息工程大学副教授/硕士导师/博导梯队成员/Xfocus安全点焦点成员魏强、上海交大博士王晖、清华大学教授段海新等业界顶尖技术专家都将出席该论坛。
对于白帽子黑客来说,“漏洞挖掘是为了更好地防护”。因此,“补天”等漏洞响应平台上,每天都有大量白帽子将挖掘到的漏洞进行提交,以督促相关企业尽快解决。谷歌等国际巨头都对于漏洞挖掘相当重视,曾加大了对漏洞挖掘的奖励,为研究人员预付3万美元用于挖掘漏洞。
尽管白帽子不像黑客那样参与黑市交易售卖漏洞,但从目前的情况来看,白帽子的合法收入一点也不比黑客的黑色收入少。除了谷歌之外,Adobe、微软、惠普、苹果、亚马逊等国际巨头都对提交漏洞的白帽子予以现金奖励与公开致谢,白帽子在获得经济收益之外还能收获更多容易,这也将“漏洞挖掘”置于阳光之下。
据悉,在即将召开的2015中国互联网安全大会(ISC 2015)上,还将迎来美国、以色列、韩国等国际顶尖的120位世界级安全智库和安全专家,其中包括前美国国家安全局、五角大楼网络司令部首任司令基斯.亚历山大(Gen.KeithB.Alexander)将军等国际顶级专家学者。ISC 2015将是中美国家级网络空间安全智库首次在就网络空间安全进行对话的公开会议。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
