AD
2015年发生的两件大事,让全世界技术人员的目光都聚焦于漏洞挖掘领域 其一是Hacking Team被攻破,大量0day漏洞流出;其二是Zerodium公司出资百万美金悬赏一个iOS漏洞,尔后又发出详细的漏洞收购价目表。
图1:Zerodium出资百万美金悬赏iOS漏洞曾有安全人员比喻:每个漏洞都是一发子弹或者导弹;而Zerodium与Hacking Team等漏洞中间商,就是互联网世界中彻头彻尾的军火贩子。一些高危漏洞如果被其贩卖给攻击者,势必会导致相关系统被攻破,美人事管理局(2200万人员数据泄露、局长引咎辞职)、婚外情网站Ashley Madison(3700万用户数据失窃、致大量名流身败名裂)等机构或网站的惨剧或将再次重演。
漏洞的出现几乎不可避免,所以厂商们能做的,就是尽量在黑客之前发现并修补上漏洞。在这场与时间的赛跑中,谁掌握的技术人员越多,谁就越有可能提前到达终点。于是国外的巨头们纷纷推出了 漏洞奖励计划 ,通过礼品、赏金等奖励,换取广大 白帽子 黑客手中的漏洞。
早在2010年,Google、Facebook(甚至直接向黑客发放了visa借记卡)、PayPal、Mozilla等公司就已推出了漏洞奖励计划;即便坚持多年 不为漏洞付款 习惯的微软,也在Google、ZDI、Vupen等诸多三方漏洞挖掘者的夹击下妥协,推出 蓝帽子 奖高额($25W)悬赏漏洞;BlackHat、DEFCON等世界级的黑客大会,更是为厂商们提供了大量有价值的漏洞。
近年来,随着网络安全上升到国家层面高度,以及各类安全事件的频发,国内很多厂商对漏洞的态度,也从 避之唯恐不及 ,变成了 欢迎一起来找茬 。360、腾讯、网易、人人、京东相继推出漏洞奖励计划 其中腾讯、网易、人人、京东等施行以 积分换礼物 的奖励方式;而360,则成为国内第一个以现金作为漏洞奖励的互联网公司。
除了民间的白帽子受到善待,在2015年的漏洞挖掘 竞赛 中,国内安全厂商也体现出了自己的技术实力。在2015年各大国际巨头的漏洞致谢榜单上,中国军团战功累累,从最熟悉的老朋友微软,到逐渐熟络的新伙伴Adobe、苹果、Google 360、Keen等我国安全与黑客团队,共为全球厂商免费提供了价值上千万美金的漏洞,其技术实力不可小觑。
