|
|
|
|
|
|
来源:赛迪网 发布日期:2015.08.18 点击量:
现在人们在听到越来越多的恶意攻击事件,越来越多的0day漏洞,“有没有搞错,真的比以前多?”原因何在?
在趋势科技CloudSec2015网络安全大会上,中国台湾地区HITCON CTF领队李伦铨为我们揭示了其中的秘密。
2013年发现14个0day漏洞,2014年发现25个0day漏洞,2015年7月为止已经发现15个0day漏洞。安全圈内某些很厉害的“好孩子”黑客表示,被发现的0day漏洞会越来越多。企业服务器漏洞、学校系统漏洞、游戏外挂漏洞……漏洞真的很多、很多,而当被发现的漏洞反馈给相关企业、学校、游戏厂商人员时,大多被忽视、被推卸。漏洞被发现了不可怕,但不被重视、不被及时封堵、不建立相关防护机制才是最可怕的。而这也促使某些本来仅仅是喜欢研究网络安全技术的“好孩子”,变成了真正的骇客。
还记得近期曝出的HackingTeam遭遇攻击400G资料泄漏事件么?“这些资料使得地下骇客们的技术前进了3年。”曾几何时,对犯罪嫌疑人进行监控,需要在室外电话线上外挂线路才能实现监听。而今不用那么复杂了,借助0day漏洞,通过在智能手机上做些“小小的手脚”植入RCS,就可以轻松实现对一个人全部日常行动的监控。之所以会如此,仅仅是由于这个“人”用智能手机浏览了某个特殊的网页。Hacking Team正在做的就是这类事情,当然他们做的更大一些。
Stuxnet让人们知道:“原来真有这种事”——来自某知名黑客对伊朗核设施攻击事件的评论。
能够奢侈的用4个0day发起攻击,不会是普通的地下黑色产业链集团里的骇客,只有国家级网络攻击才会如此“奢华”。Hacking Team所暴露出来的资料,再次确认数字军火的发展正在失去平衡。许多国外政府已经花费数百万美元从Hacking Team购买了N多0day漏洞,用来做什么?这个问题就不需要回答了吧。
原厂对于黑客帮助其发现0day漏洞的奖金,与地下黑色产业链甚至Hacking Team这类企业对于0day漏洞的高价收购,造就了不对称的产业价值、不对称的安全意识,正是因此使得0day越来越多。
好在有些企业已经将对漏洞发现者的奖励从一件T恤增加到了数百万美元的奖金。美国政府也在开出大笔奖金寻求安全研究人员、白帽子黑客等帮助其解决各类网络安全问题。
金钱并不一定就能彻底解决安全漏洞问题,但恰当的漏洞发现奖金等激励机制的建立,能够减少0day漏洞被恶意利用,这样不仅能从根源上就解决安全问题,还是对用户最为负责任的举措。
相关新闻:
