高額的獎(jiǎng)金支持,推動(dòng)安全漏洞的研究工作形成一個(gè)獲利豐厚的市場(chǎng),進(jìn)而又促成更多的漏洞研究工作。近日召開的Pwn2Own黑客大賽上,參賽者發(fā)現(xiàn)了30多個(gè)主流瀏覽器及其插件上的漏洞。因此可以說(shuō)信息安全不是最終目標(biāo),而是一個(gè)旅程。
Pwn2Own黑客競(jìng)賽的規(guī)則是,來(lái)自世界各國(guó)的安全研究人員小組在最新的操作系統(tǒng)上尋找四種不同瀏覽器的漏洞,勝者將把被攻破的筆記本帶回家,并且最高可獲得10萬(wàn)美元的獎(jiǎng)金。本次大賽上,8個(gè)安全研究小組報(bào)告了35個(gè)漏洞,大賽組織者將把這些漏洞報(bào)送給相關(guān)廠商以得到修補(bǔ)。
高額的獎(jiǎng)金支持,推動(dòng)安全漏洞的研究工作形成一個(gè)獲利豐厚的市場(chǎng),進(jìn)而又促成更多的漏洞研究工作。2013年黑客大賽上,參賽人員拿走了共計(jì)超過(guò)85萬(wàn)美元的獎(jiǎng)金。
一般來(lái)說(shuō),攻擊成功需要發(fā)現(xiàn)兩個(gè)漏洞。一個(gè)用來(lái)突破保護(hù)系統(tǒng)的“沙盒”,另一個(gè)用來(lái)提升權(quán)限,從瀏覽器到操作系統(tǒng)內(nèi)核。這種分成兩個(gè)階段的入侵已經(jīng)成為新的攻擊形式,但在幾年前僅使用一個(gè)漏洞便可以掌控系統(tǒng)內(nèi)核,這說(shuō)明安全防護(hù)水平已經(jīng)提高,入侵過(guò)程更加困難。
安全公司VUPEN在此次大賽上,獨(dú)自攬入40萬(wàn)美元獎(jiǎng)金。先后攻破了Adobe的閱讀器、Flash,微軟的IE,Mozilla的Firefox以及谷歌的Chrome。
專家提醒:漏洞越多就越證明了各個(gè)操作系統(tǒng)和服務(wù)器的安全性太脆弱。這樣的黑客大賽確實(shí)能激勵(lì)人們對(duì)漏洞的關(guān)心與發(fā)現(xiàn)解決漏洞的能力,但是基于目前無(wú)法徹底消滅漏洞的存在,只能使用最有效的武器加以防御,而靈活且有針對(duì)性的加密軟件就是最好的選擇!