網(wǎng)絡(luò)攻防,漏洞為王。2015年網(wǎng)絡(luò)空間硝煙不斷:一方面,俄羅斯APT28組織攻擊美國(guó)大型企業(yè)、疑似美國(guó)Duqu2.0入侵俄羅斯廠商卡巴斯基事件分 別曝光,雙方攻擊者都使用了Windows內(nèi)核漏洞作為制勝法寶;另一方面,全球漏洞交易市場(chǎng)活躍,法國(guó)Zerodium明碼標(biāo)價(jià)收購(gòu)漏洞,意大利 HackingTeam販賣漏洞的郵件、攻擊代碼更是隨著400G內(nèi)部數(shù)據(jù)泄露而大白于天下,漏洞無(wú)疑就是網(wǎng)絡(luò)空間的精準(zhǔn)導(dǎo)彈甚至核武器級(jí)別軍火。
在攻擊者瘋狂使用漏洞武器的同時(shí),Windows等系統(tǒng)和軟件也在緊鑼密鼓地?fù)屝蘼┒矗幸慌?ldquo;安全守衛(wèi)者”黑客將漏洞無(wú)償報(bào)告給軟件商,幫助廠商打補(bǔ)丁保護(hù)用戶,而微軟等廠商也會(huì)對(duì)漏洞報(bào)告者進(jìn)行公開致謝。
接下來(lái),我們將對(duì)Adobe、Apple、Google、Microsoft四個(gè)影響數(shù)億用戶的漏洞“大戶”進(jìn)行2015年盤點(diǎn),看看都有哪些黑客團(tuán)隊(duì)榮登這些廠商的漏洞致謝榜。
Adobe:“漏洞之王”的救贖
Adobe的安全性一向飽受詬病,但由于Adobe Flash Player的跨平臺(tái)廣泛應(yīng)用,現(xiàn)時(shí)仍然“講不出再見”。在Zerodium公布的漏洞收購(gòu)價(jià)格表上,F(xiàn)lash漏洞最高可以賣到8萬(wàn)美元!2015年,Adobe送出近300個(gè)漏洞致謝。在Flash徹底退出歷史舞臺(tái)之前,但愿守衛(wèi)者黑客們多幫助Adobe再抵擋一陣。
|
2015年Adobe漏洞致謝榜 |
|
|
致謝對(duì)象 |
報(bào)告漏洞數(shù)量 |
|
Goole Project Zero |
101 |
|
ZDI |
55 |
|
Qihoo360 |
55 |
|
bilou/NicolasJoly |
42 |
|
Alibaba |
14 |
|
Keen Team |
8 |
|
Trend Micro |
5 |
|
Fortinet |
4 |
|
KnownSec |
2 |
|
Palo Alto Networks |
2 |
|
FireEye |
1 |
|
McAfee |
1 |
|
PKAV |
1 |
|
Venustech |
1 |
Apple:越獄難度與日俱增
蘋果iOS系統(tǒng)的遠(yuǎn)程越獄漏洞價(jià)值百萬(wàn)美金。對(duì)越獄愛好者來(lái)說(shuō),自然不愿意見到漏洞被封堵,但對(duì)于普通的蘋果用戶來(lái)說(shuō),iOS的安全更新實(shí)實(shí)在在是一件兒好事,這意味iPhone、iPad等產(chǎn)品安全性不斷提升。
|
2015年蘋果漏洞致謝榜 |
|
|
致謝對(duì)象 |
報(bào)告漏洞數(shù)量 |
|
Google Project Zero |
44 |
|
ZDI |
24 |
|
TaiG |
11 |
|
Qihoo360 |
9 |
|
FireEye |
7 |
|
Alibaba |
5 |
|
KeenTeam |
4 |
|
Tencent |
3 |
|
Fortine |
2 |
|
Palo Alto Networks |
1 |
Google:開創(chuàng)漏洞獎(jiǎng)勵(lì)先河
Google是最早花錢鼓勵(lì)黑客尋找自家漏洞的企業(yè),但其漏洞信息比較封閉,往往只公布漏洞報(bào)告者榜單,不公開具體涉及哪些漏洞。從今年8月和12月開始,Google的Android系統(tǒng)和Chrome瀏覽器才分別公開具體漏洞編號(hào)。這也是Google致謝的漏洞數(shù)量相對(duì)較少的重要原因。
|
2015年Google漏洞致謝榜 |
|||
|
致謝對(duì)象 |
Android漏洞 |
Chrome漏洞 |
合計(jì) |
|
Qihoo360 |
7 |
2 |
9 |
|
Trend Micro |
5 |
0 |
5 |
|
Mariusz Mlynski |
0 |
4 |
4 |
|
Google Project Zero |
2 |
0 |
2 |
|
Copperhead Security |
2 |
0 |
2 |
|
Exodus Intelligence |
2 |
0 |
2 |
|
Zimperium |
1 |
0 |
1 |
|
Alibaba |
1 |
0 |
1 |
|
Baidu |
1 |
0 |
1 |
|
Keen Team |
1 |
0 |
1 |
Microsoft:免費(fèi)致謝+賞金計(jì)劃
微軟的漏洞致謝主要來(lái)自于每月“補(bǔ)丁星期二”的安全公告,此外微軟也推出了賞金計(jì)劃,專門給Mitigation Bypass(意指繞過(guò)系統(tǒng)安全機(jī)制的攻擊技術(shù))和Edge瀏覽器等專項(xiàng)產(chǎn)品提供漏洞獎(jiǎng)金。
|
2015年微軟漏洞致謝榜 |
||||
|
致謝對(duì)象 |
安全公告 漏洞數(shù)量 |
賞金計(jì)劃 |
總計(jì) |
|
|
Edge漏洞 |
繞過(guò)技術(shù) |
|||
|
ZDI |
154 |
0 |
1 |
155 |
|
Google Project Zero |
93 |
0 |
1 |
94 |
|
Palo Alto Networks |
34 |
0 |
0 |
34 |
|
Qihoo360 |
22 |
3 |
1 |
26 |
|
Baidu |
26 |
0 |
0 |
26 |
|
Versign iDefense |
25 |
0 |
0 |
25 |
|
Tencent |
14 |
1 |
1 |
16 |
|
FireEye |
14 |
1 |
0 |
15 |
|
Trend Micro |
15 |
0 |
0 |
15 |
|
Keen Team |
11 |
0 |
0 |
11 |
|
NSFOCUS |
6 |
0 |
1 |
7 |
|
Fortinet |
7 |
0 |
0 |
7 |
|
KnownSec |
6 |
0 |
0 |
6 |
|
iSight Partners |
3 |
0 |
0 |
3 |
|
McAfee |
2 |
0 |
0 |
2 |
|
Venustech Adlab |
1 |
0 |
0 |
1 |
|
VRV |
1 |
0 |
0 |
1 |
綜合以上四家軟件巨頭的致謝公告,2015年度全球十大黑客天團(tuán)如下:
|
TOP10 |
Adobe |
Apple |
|
Microsoft |
總計(jì) |
|
Google Project Zero |
101 |
44 |
2 |
94 |
241 |
|
ZDI |
55 |
24 |
0 |
155 |
234 |
|
Qihoo360 |
55 |
9 |
9 |
26 |
99 |
|
bilou/Nicolas Joly |
42 |
0 |
0 |
0 |
42 |
|
Palo Alto Networks |
1 |
1 |
0 |
34 |
36 |
|
Baidu |
0 |
0 |
1 |
26 |
27 |
|
Trend Micro |
5 |
0 |
5 |
15 |
25 |
|
Versign iDefense |
0 |
0 |
0 |
25 |
25 |
|
Keen Team |
8 |
4 |
1 |
11 |
24 |
|
FireEye |
1 |
7 |
0 |
15 |
23 |
Google Project Zero當(dāng)之無(wú)愧奪魁。作為Google旗下精英團(tuán)隊(duì),Google Project Zero不光捍衛(wèi)著Google的安全,也用實(shí)際行動(dòng)促進(jìn)各大軟件廠商提升產(chǎn)品安全性;排名第二的ZDI(HP’s Zero Day Initiative)與榜首的漏洞致謝數(shù)量差距不大,但ZDI的漏洞大多來(lái)自收購(gòu)而不是靠自身實(shí)力挖掘;排名第四的bilou/Nicolas Joly在一年間轉(zhuǎn)戰(zhàn)效力于VUPEN、Google Project Zero和微軟,因此單獨(dú)列出。
360、百度和Keen Team三支中國(guó)團(tuán)隊(duì)也成功進(jìn)入十大天團(tuán),分別名列第三、第六和第九。360的優(yōu)勢(shì)在于跨平臺(tái)的安全研究實(shí)力,包括Windows、Android、iOS等系統(tǒng)和Chrome、IE、Edge、Adobe Flash Player等軟件均挖掘出不少漏洞;百度則在2015年發(fā)力挖掘IE漏洞,憑借26個(gè)IE漏洞致謝脫穎而出;Keen Team也屬于全能型選手,但沒(méi)有特別突出的陣地,今年收獲的漏洞致謝數(shù)量反而落后于百度。
在全球TOP10以外,阿里巴巴、騰訊、綠盟科技、知道創(chuàng)宇等國(guó)內(nèi)團(tuán)隊(duì)也或多或少地出現(xiàn)在各大軟件廠商的漏洞致謝名單中。隨著國(guó)內(nèi)互聯(lián)網(wǎng)行業(yè)持續(xù)加大對(duì)安全的投入,相信會(huì)有更多中國(guó)的安全團(tuán)隊(duì)活躍在世界舞臺(tái)上。
京公網(wǎng)安備 11010502049343號(hào)