日前,國際知名即時通訊工具WhatsApp的網頁版被曝出存在安全漏洞,通過這一漏洞,黑客可以散布任意危險的惡意程序來感染用戶的電腦。黑客能夠利用漏洞達到自己的目的,這使得漏洞獨具價值。根據漏洞的利用程度,不同漏洞價格也不同。譬如一個iOS系統的漏洞,黑市交易最低價格也在3萬美金左右,漏洞挖掘堪比掘金。
圖:WhatsApp的網頁版被曝出存在安全漏洞
漏洞是進入系統控制權限的大門,一直以來也是網絡安全從業者挖掘、研究、模擬攻防的對象。在2015中國互聯網安全大會(ISC2015)上,“漏洞挖掘與源代碼安全論壇”,將就開源代碼安全之痛、瀏覽器攻防對抗歷史與技術演進等六大議題進行精講,因此受到安全業界的廣泛關注。
圖:ISC2015中國互聯網安全大會關注漏洞挖掘與源代碼安全
漏洞黑市交易價格高,iOS漏洞最低3萬美金
“安全漏洞”存在于任何操作系統、軟件、網站當中,微軟、Adobe等國際巨頭都定期發布漏洞補丁,對系統與軟件進行安全加固。蘋果則在每次iOS升級時對其進行漏洞補丁修補。
網絡安全工程師可以利用安全漏洞順利地入侵Jeep、通用、特斯拉等汽車,從而對汽車進行遠程操控,更有美國黑客在youtube上放出入侵加油站的視頻。漏洞的危害顯而易見。
如美劇《網絡犯罪調查》里所演繹的那樣,如果你找到的漏洞屌爆了,還會有諸多灰色組織向你伸出橄欖枝。在不久前被曝光的意大利著名網絡軍火商HackingTeam的內部數據中,存在大量極其危險的iOS0Day漏洞,而這么多漏洞幾乎全部是該組織在“漏洞市場"中買來的。
根據泄露的數據,一個普通的iOS漏洞交易價格大約在3.5至4.5萬美元之間,如果獨家銷售給HackingTeam,價格至少會翻三倍。而一個有價值的iOS漏洞交易獨家交易的價格可能會達到幾十萬美金。
盡管交易價格不匪,甚至挖掘漏洞賺錢的速度超過淘金,但這種交易處于灰色甚至黑色地帶,為不少白帽子黑客所不齒。
挖掘是為了防護,ISC2015關注漏洞挖掘與源代碼安全
事實上,不少擁有黑客技術的工程師挖掘漏洞并非為了轉賣漏洞賺錢。正所謂“未知攻,焉知防”。要加強信息安全主動防御,以信息安全攻擊技術促進防護體系是一條很務實的逆向學習之路。
漏洞是信息安全的基石,也是廣受攻擊之所在,因此,構建軟件漏洞分析基礎設施、操作系統漏洞研究、瀏覽器攻防戰、OAuth協議安全分析、TrustZone安全攻防、網絡協議安全與漏洞分析等都是極為重要的安全實踐方向。
在即將于9月28日至9月30日在北京國家會議中心舉行的2015中國互聯網安全大會(ISC2015)上,最后一天將迎來“漏洞挖掘與源代碼安全論壇”,這場論壇將從軟件漏洞分析基礎設施、漏洞研究、瀏覽器攻防戰,以及網絡協議安全與漏洞分析等方向探索攻防新知。包括解放軍信息工程大學副教授/碩士導師/博導梯隊成員/Xfocus安全點焦點成員魏強、上海交大博士王暉、清華大學教授段海新等業界頂尖技術專家都將出席該論壇。
對于白帽子黑客來說,“漏洞挖掘是為了更好地防護”。因此,“補天”等漏洞響應平臺上,每天都有大量白帽子將挖掘到的漏洞進行提交,以督促相關企業盡快解決。谷歌等國際巨頭都對于漏洞挖掘相當重視,曾加大了對漏洞挖掘的獎勵,為研究人員預付3萬美元用于挖掘漏洞。
盡管白帽子不像黑客那樣參與黑市交易售賣漏洞,但從目前的情況來看,白帽子的合法收入一點也不比黑客的黑色收入少。除了谷歌之外,Adobe、微軟、惠普、蘋果、亞馬遜等國際巨頭都對提交漏洞的白帽子予以現金獎勵與公開致謝,白帽子在獲得經濟收益之外還能收獲更多容易,這也將“漏洞挖掘”置于陽光之下。
據悉,在即將召開的2015中國互聯網安全大會(ISC2015)上,還將迎來美國、以色列、韓國等國際頂尖的120位世界級安全智庫和安全專家,其中包括前美國國家安全局、五角大樓網絡司令部首任司令基斯.亞歷山大(Gen.KeithB.Alexander)將軍等國際頂級專家學者。ISC2015將是中美國家級網絡空間安全智庫首次在就網絡空間安全進行對話的公開會議。