中新网12月26日电 漏洞,在网络攻击的世界里,是亘古不变的硬通货。今年,灰色交易市场上,ios漏洞的售价一度飙到百万美元,安卓、微软的漏洞随随便便也能卖到10万美元。但在白帽黑客眼里,天价悬赏并没什么吸引力,各大厂商的漏洞致谢榜才是彰显实力的荣誉赛场。
在三大巨头中,谷歌的赏金最为慷慨,2015年向300多位研究者提供了200多万美元的奖金;苹果今年在黑帽大会上首次推出了漏洞定向赏金计划,提供最高20万美元的奖金;微软今年推出的edge浏览器专项漏洞赏金计划,最高奖金也达1.5万美元。与天价黑市相比,厂商们的赏金虽显“吝啬”,但毫不影响白帽子挖洞的热情,以360、腾讯、百度等为代表的中国黑客,今年形成了各大漏洞致谢榜单上强势的中国力量。
谷歌致谢榜:360移动安全优势凸显
拥有数千台机器大军日夜不停地筛查漏洞,再加上自家黑客天团google project zero保驾护航,谷歌漏洞的挖掘难度可想而知。2016年,只要提交9枚漏洞,就可以跻身谷歌致谢榜单前十位,360今年一口气提交了157枚漏洞(155枚安卓漏洞,2枚chrome漏洞),不仅实现了安卓系统漏洞挖掘领域的称霸,还保持了三次蝉联致谢榜首位的记录。
谷歌虽然是最早花钱鼓励黑客寻找自家漏洞的厂商,但从2015年8月和12月开始,才分别开始公开安卓和chrome的漏洞编号,致谢榜的统计也从2015年底开始。这一年,360拉开了“刷榜”的帷幕,以9次漏洞致谢的成绩,远超当时的趋势科技(5次致谢)和谷歌黑客天团(2次致谢),一跃登上榜首。
2016上半年,360累计提交47枚漏洞(44枚安卓漏洞,3枚chrome漏洞)第二次问鼎榜首,报告漏洞数量较当时的第二名趋势科技(11枚漏洞)高出了4倍多。2016年底,360在移动端的安全研究优势不断扩大,再一次将老牌黑客天团google和趋势科技甩在身后。
值得一提的是,今年另外两家中国安全厂商腾讯和阿里也双双跻身致谢榜单前十,分别以32次、28次漏洞致谢的成绩位列第四、五位。此外,百度(4次致谢)、猎豹(4次致谢)、pkav(2次致谢)、华为(2次致谢)等公司也纷纷向谷歌报告漏洞并获得致谢。
微软致谢榜:三支中国团队跻身前十
微软漏洞致谢榜主要由两部分组成,一部分是每月初“星期二补丁日”的安全公告,另一部分是赏金计划(bounty program),专门为mitigation bypass(指绕过系统安全机制)等专项漏洞提供奖金。
2015年,致谢榜排名前三的是google(93个漏洞公告,1个赏金项目),palo alto networks(34个漏洞公告),奇虎360(22个漏洞公告,4个赏金项目)和百度(26个漏洞公告);腾讯以14个漏洞公告,2个赏金项目位列第六。
2016年上半年,趋势科技以3亿美元收购惠普旗下的零日计划(zdi)后,漏洞挖掘实力增长惊人,以34次漏洞致谢一跃而至榜单首位。相比之下,google和palo alto networks的成绩大幅下滑,google仅获得23次漏洞致谢,排名第二。360、百度、腾讯紧随其后,分列第三、四、五位,再次跻身榜单前十。
纵观微软近两年的漏洞榜单,前十名的选手走马换将,上半年还是风云人物,下半年就可能跌出榜单之外。但360、腾讯、百度三支安全团队,一直凭借稳定发挥,占据漏洞报告数量的前十位。2016年底,腾讯(45次致谢)、360(39次致谢)、百度(27次致谢)第三次入围微软致谢前十位,提交漏洞的数量较去年也有了显著的提高。另外两支中国团队——绿盟科技和知道创宇,今年也向微软分别提交了4枚和1枚漏洞。
苹果致谢榜:腾讯360再次上榜
据趋势科技近日发布的报告,随着苹果产品市场占有率的不断增加,黑客攻击的重心也逐渐转移到苹果设备上来。对比近两年漏洞的致谢情况不难发现,越来越多的白帽子们在挖掘苹果漏洞方面日渐活跃,紧锣密鼓地保卫着用户的安全,其中,国内安全厂商也十分抢眼。
2015年,占据苹果漏洞致谢榜前三位的是谷歌(50枚漏洞)、雅虎(27枚漏洞)以及国内的太极越狱团队(15枚漏洞)。另外,盘古团队(11枚漏洞)、360(9枚漏洞)、清华大学(7枚漏洞)三家机构分列第四、五、六位。
2016年开始,腾讯逐渐成为苹果致谢榜上的重量选手,并和360双双成为榜单十强上的常客,2016年底,腾讯(55次致谢)和360(13次致谢)刷新了其报告漏洞数量上的最好成绩。另外,国内其他安全机构在漏洞致谢上也开始遍地开花,百度、阿里、pkav、华为、知道创宇等公司纷纷加入苹果漏洞挖掘的阵营。
综合三大巨头厂商的漏洞致谢,中国白帽黑客的表现亮点颇多,但这只是中国黑客技术实力的其中一面。pwn2own、pwnfest等世界黑客大赛上的惊艳表现,blackhat、defcon等国际会议上的轮番亮相,在检验网络安全实力的各大赛场,都活跃着中国黑客的身影。
漏洞就像枪支一样,不法分子利用会带来巨大的安全威胁,但在正义的白帽子手中,则会变成有力的反击武器。在互联网的各个角落,时刻都上演着安全从业者和不法分子的激烈对抗。这其中,中国黑客逐步成为这场黑白交锋中的主力,用精湛的技术实力捍卫正义的力量。