互聯(lián)網(wǎng)充斥著漏洞,這是不足為奇的事。從程序員開始寫代碼起,他們就必定會犯錯。而只要他們犯錯,犯罪分子、政府、黑客分子就都能對這些漏洞無所不用其極。
包括谷歌、Facebook、Dropbox、PayPal、微軟、雅虎,甚至電動車制造商特斯拉等科技公司如今都有一種懸賞機制,只要黑客發(fā)現(xiàn)他們產(chǎn)品存在的漏洞并報告給他們,這些公司就會向這些黑客提供獎金。
這是科技行業(yè)對黑客發(fā)現(xiàn)漏洞的標(biāo)準(zhǔn)回應(yīng)方式發(fā)生的重大轉(zhuǎn)變。
為安全而攻擊,還能領(lǐng)到懸賞
二十年前,向大公司報告漏洞或許可能獲得一件對方善意贈送的程序員文化衫,或者一筆小額的獎金。但往往并不是這樣,他們很有可能是被無視,甚至面臨刑事訴訟。
因此,一個以兜售“零日漏洞”為主的“黑市”(黑客市場)應(yīng)運而生。零日漏洞是指存在于廠商的產(chǎn)品或服務(wù)中未被發(fā)現(xiàn)但容易在毫無癥狀的情況下被攻擊的漏洞。根據(jù)外交政策專家透露,網(wǎng)絡(luò)犯罪分子和政府都在進(jìn)行漏洞發(fā)現(xiàn)并保留的軍備競賽,他們把漏洞儲存起來以用作未來的網(wǎng)絡(luò)武器。
此前一起網(wǎng)絡(luò)攻擊事件顯示出,世界上有大約40個國家的政府還在向越來越多的科技公司購買間諜軟件。前美國國家安全局領(lǐng)導(dǎo)Michael V. Hayden表示,這些工具的普及使得網(wǎng)絡(luò)攻擊變成一件門檻更低的事情,它不再像以往那樣需要很高級的專業(yè)技術(shù)才能實現(xiàn)。
因此,毫無疑問地,我們需要一種新的思維來審視看似不可突破的網(wǎng)絡(luò)安全問題。根據(jù)美國運營商Verizon對去年60%的數(shù)據(jù)泄露事件的分析,攻擊者通常能在數(shù)分鐘之內(nèi)成功盜取被攻擊者的數(shù)據(jù),而這些被攻擊的公司都會來不及發(fā)布補丁去修復(fù)漏洞。此外,Verizon還發(fā)現(xiàn),在網(wǎng)絡(luò)攻擊發(fā)生后,即便供應(yīng)商已經(jīng)向這些公司提供了補丁,但99.9%的受攻擊漏洞依舊存在!
在經(jīng)歷了一連串嚴(yán)重的黑客攻擊事件后,現(xiàn)在,F(xiàn)acebook和微軟公司發(fā)起了一個叫“網(wǎng)絡(luò)漏洞美國懸賞”(Internet Bug Bounty)的項目,由來自安全部門的志愿者運營。該項目主要目的是向報告漏洞的白帽子黑客支付獎金。
到目前為止,最積極維護(hù)互聯(lián)網(wǎng)安全的是谷歌。該公司除了會給白帽子一筆巨額的獎金,還安排自家的頂級安全分析師組成一個互聯(lián)網(wǎng)安全項目“零點計劃”(Project Zero)。該項目組織了一群黑客精英,專門負(fù)責(zé)揭露出谷歌及整個互聯(lián)網(wǎng)的安全漏洞。
而“零點計劃”的目標(biāo)就是,讓那些犯罪分子和政府儲存著的漏洞武器一無用處。“零點計劃”負(fù)責(zé)人、特斯拉首席安全官Chris Evans表示,人們需要的是無需擔(dān)心會遭受任何攻擊的互聯(lián)網(wǎng)使用環(huán)境,包括政府的監(jiān)控、不法分子的信息盜取。
但事實上,我們根本無法確切地知道“零點計劃”是否真的挫傷了各國國家的間諜工具。而且,谷歌的行動并非沒有爭議,尤其是面對那些尚不肯向白帽子提供獎金的公司,比如蘋果,谷歌已然揭露了蘋果產(chǎn)品超過60個的安全漏洞。此外,還有微軟。去年,因為微軟未在谷歌限定的90天內(nèi)修復(fù)漏洞,谷歌于是公開了Windows中的一個漏洞,并受到微軟的指責(zé)。谷歌后來寬限了公司修復(fù)漏洞的時間。
正確的姿勢是戰(zhàn)勝漏洞,而非搶先
但是,要指出的是,漏洞懸賞項目并不是只有科技巨頭才有。世界上總會存在對立的兩面。
新興的像HackerOne和BugCrowd這樣的創(chuàng)業(yè)團隊,他們就聯(lián)手組件了一個巨大的黑客網(wǎng)絡(luò),設(shè)置專門賞金來擴大網(wǎng)絡(luò)“捉蟲”活動。他們竟還說服了眾多科技公司接受黑客攻擊,以測試產(chǎn)品漏洞,從而獲取賞金。他們的創(chuàng)想很簡單:科技巨頭永遠(yuǎn)不可能憑一己之力去發(fā)現(xiàn)所有漏洞,他們必須投資研究人員去尋找漏洞。
安全專家則表示,漏洞懸賞計劃固然有效,但顯得被動。他們認(rèn)為,要做這場貓抓老鼠的游戲中領(lǐng)先的唯一途徑是,鼓勵開發(fā)者在設(shè)計中結(jié)合安全編碼實踐。
“今時今日,漏洞懸賞計劃是一個不錯的亡羊補牢的方式。但長遠(yuǎn)來說,為保障整個互聯(lián)網(wǎng)的健全我們還需要更好地投資。”Linux Foundation及其他組織指出,開發(fā)者應(yīng)該專注于安全編碼技能,而非潛在里擔(dān)憂漏洞的出現(xiàn)。“國家和組織總會有源源不斷的間諜工具,但如果你能讓安全防御更上一層樓,那么至少那些工具入侵的難度也會加大。”就是說,科技公司的策略應(yīng)是戰(zhàn)勝,而非搶先。
如今網(wǎng)絡(luò)安全的現(xiàn)實是,無論采用的是消滅漏洞還是HTTP加密的防御方式,黑客總能輕而易舉地入侵用戶的網(wǎng)絡(luò),包括計算機程序、手機通信,甚至車載系統(tǒng)、智能家居。所以,各公司仍需更加嚴(yán)肅對待網(wǎng)絡(luò)安全防御。
科學(xué)技術(shù)的進(jìn)步永無止境,錯誤也不會消失。而且,對黑客來說,最好的事物莫過于錯誤。