漏洞挖掘哪家強?中國團隊閃耀國際巨頭致謝榜自媒體
對任何互聯(lián)網(wǎng)公司來說,漏洞都是難以根除的頑疾。尤其是蘋果、谷歌和微軟等巨頭公司,一直是黑客挖掘漏洞的重要目標。不過在黑客群體中也有黑帽子和白帽子之分,黑帽子挖漏洞是為了通過網(wǎng)絡(luò)犯罪獲利,白帽子挖漏洞則是要幫助廠商提升產(chǎn)品安全性。
由于漏洞挖掘的門檻比較高,在流行系統(tǒng)和軟件上與全球黑客競速挖出新漏洞,更是難上加難,漏洞挖掘能力也因此成為判斷一個安全團隊技術(shù)實力的重要指標。而中國團隊,已經(jīng)是各大巨頭漏洞致謝榜上異軍突起的骨干力量。
接下來,我們就通過微軟、蘋果、谷歌和Adobe四大廠商在2015年的漏洞致謝榜,盤點中國白帽子軍團在漏洞挖掘方面的表現(xiàn)。
微軟:中國黑客的“老朋友”,23名華人入選TOP100黑客貢獻榜
截至8月17日,微軟在2015年一共發(fā)出342次漏洞致謝,來自中國的安全團隊獲得其中的53次致謝,包括:360Vulcan Team(20次)、KeenTeam(11次)、百度(9次)、綠盟科技的NSFOCUS Security Team(5次)、騰訊(4次)、知道創(chuàng)宇(2次)、啟明星辰(1次)、華為(1次)。
在微軟漏洞挖掘方面,主推Windows安全產(chǎn)品的360具有明顯優(yōu)勢,今年在Pwn2Own黑客大賽上攻破Win8.1+IE11的360VulcanTeam,也已經(jīng)成為漏洞挖掘的主力軍,今年獲得的20次漏洞致謝不僅在中國領(lǐng)先,在全球范圍內(nèi)也僅次于收購漏洞的惠普ZDI平臺和谷歌黑客天團Google Project Zero,排名第三位。
在不久前舉行的BlackHat“全球黑帽大會”上,微軟特別在展會中心租了大塊場地,用巨幅背景墻列出為微軟安全做出巨大貢獻的TOP100黑客貢獻榜。在該名單上,有至少23名華人上榜,中國黑客在Windows安全領(lǐng)域的深厚積累由此可見一斑。
Adobe:千瘡百孔的漏洞重災(zāi)區(qū)
Adobe Flash插件和PDF閱讀器都有著廣泛應(yīng)用,然而其產(chǎn)品安全性一直飽受詬病。今年以來,Adobe共發(fā)布了251條漏洞信息及相關(guān)致謝,其中有至少36條漏洞是由中國安全團隊提交的。
從統(tǒng)計來看,阿里巴巴在收購瀚海源之后在一定程度上彌補了軟件漏洞研究的能力,11個漏洞大多是由原瀚海源團隊成員提交給Adobe的;作為Pwn2Own黑客大賽上攻破Adobe產(chǎn)品的團隊,KeenTeam在Adobe漏洞報告方面表現(xiàn)出色,今年迄今一共提交了11個漏洞,與阿里巴巴數(shù)量相同。360VulcanTeam從6月開始也將漏洞挖掘從Windows擴展到Adobe等更多系統(tǒng)和軟件上,后續(xù)表現(xiàn)值得期待。
在Adobe漏洞致謝榜上還出現(xiàn)了來自中國的新面孔——PKAV,這是一個號稱“誓與AV搶宅男”的民間黑客技術(shù)團隊,在烏云漏洞平臺上曾經(jīng)多次報告國內(nèi)各大廠商的漏洞,受到國際軟件巨頭的認可。
蘋果:越獄團隊大顯身手
在蘋果公司2015上半年的179次安全性更新中,大約有半數(shù)漏洞是由蘋果自己發(fā)現(xiàn)的,涵蓋iTunes、iWatch、iMac等多項產(chǎn)品系統(tǒng)。而在由外部黑客研究者報告的漏洞中,中國安全團隊和研究人員也收獲了20個漏洞致謝。
在最新的iOS8.4.1更新中,國內(nèi)的太極越獄團隊獲得了8個漏洞致謝,成為漏洞報告大戶。要知道,蘋果系統(tǒng)的越獄和安卓系統(tǒng)的ROOT一樣,都是要靠漏洞才能實現(xiàn)的。太極把漏洞提交給蘋果修復,頗有些自砸飯碗的意味,不知道是何用意。
2015年迄今,國內(nèi)安全團隊獲得的蘋果漏洞致謝統(tǒng)計如下:太極越獄團隊(10個)、KeenTeam(4個)、阿里巴巴(3個)、360(2個)、騰訊(1個)。除了專職越獄的太極和常年打比賽的KeenTeam以外,國內(nèi)其他團隊特別是安全廠商在蘋果漏洞挖掘方面顯得動力不足,畢竟蘋果本身就是個封閉的生態(tài)系統(tǒng),安全軟件在蘋果設(shè)備上的權(quán)限和功能遠不如Windows或者Android平臺。
谷歌:花錢找漏洞
盡管擁有“黑客天團”Google Project Zero,谷歌仍孜孜不倦地在尋找著自身產(chǎn)品中的安全漏洞,甚至為漏洞報告者提供獎金。這也充分證明,只有在高度重視安全的平臺上,才能誕生出真正優(yōu)秀的黑客團隊。
上圖:谷歌漏洞獎勵計劃和Android漏洞致謝名單
長久以來,美國和俄羅斯等少數(shù)國家是網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)領(lǐng)先者。而在過去數(shù)年,人才外流也成為制約中國網(wǎng)絡(luò)安全發(fā)展的一個痛點。在微軟、蘋果等巨頭公司的漏洞致謝名單中,分布在FireEye、Palo Alto Networks、McAfee、Fortinet等海外安全公司的華人屢屢上榜,這無疑是中國安全行業(yè)的巨大損失。
如今隨著360、阿里巴巴、百度、騰訊等互聯(lián)網(wǎng)公司在安全研究領(lǐng)域持續(xù)投入,國內(nèi)安全人才的待遇水漲船高,人才流失的情況終于得到極大緩解。中國的安全技術(shù)實力也得到快速提升,部分研究領(lǐng)域已經(jīng)可以與國際巨頭比肩。在BlackHat和DEFCON這樣的頂級黑客大會上,越來越多中國人出現(xiàn)在演講臺上,中國安全企業(yè)的影響力也與日俱增。在網(wǎng)絡(luò)空間這個看不見硝煙的戰(zhàn)場上,中國網(wǎng)絡(luò)安全行業(yè)正迎來屬于自己的黃金時代。
(文/獨孤依風,訂閱號:worldlun,"互聯(lián)網(wǎng)一些事"微信訂閱號:toutiaoshi)
1.砍柴網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;2.砍柴網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:砍柴網(wǎng)",不尊重原創(chuàng)的行為砍柴網(wǎng)或?qū)⒆肪控熑危?.作者投稿可能會經(jīng)砍柴網(wǎng)編輯修改或補充。
