iOS漏洞黑市價最低3萬美金 漏洞挖掘比淘金還賺錢

責(zé)任編輯:editor004

2015-09-16 11:19:01

摘自:CCTIME飛象網(wǎng)

日前,國際知名即時通訊工具WhatsApp的網(wǎng)頁版被曝出存在安全漏洞,通過這一漏洞,黑客可以散布任意危險的惡意程序來感染用戶的電腦。盡管交易價格不匪,甚至挖掘漏洞賺錢的速度超過淘金,但這種交易處于灰色甚至黑色地帶,為不少白帽子黑客所不齒。

日前,國際知名即時通訊工具WhatsApp的網(wǎng)頁版被曝出存在安全漏洞,通過這一漏洞,黑客可以散布任意危險的惡意程序來感染用戶的電腦。黑客能夠利用漏洞達(dá)到自己的目的,這使得漏洞獨具價值。根據(jù)漏洞的利用程度,不同漏洞價格也不同。譬如一個iOS系統(tǒng)的漏洞,黑市交易最低價格也在3萬美金左右,漏洞挖掘堪比掘金。

  圖:WhatsApp的網(wǎng)頁版被曝出存在安全漏洞

漏洞是進(jìn)入系統(tǒng)控制權(quán)限的大門,一直以來也是網(wǎng)絡(luò)安全從業(yè)者挖掘、研究、模擬攻防的對象。在2015中國互聯(lián)網(wǎng)安全大會(ISC2015)上,“漏洞挖掘與源代碼安全論壇”,將就開源代碼安全之痛、瀏覽器攻防對抗歷史與技術(shù)演進(jìn)等六大議題進(jìn)行精講,因此受到安全業(yè)界的廣泛關(guān)注。

  圖:ISC2015中國互聯(lián)網(wǎng)安全大會關(guān)注漏洞挖掘與源代碼安全

漏洞黑市交易價格高,iOS漏洞最低3萬美金

“安全漏洞”存在于任何操作系統(tǒng)、軟件、網(wǎng)站當(dāng)中,微軟、Adobe等國際巨頭都定期發(fā)布漏洞補丁,對系統(tǒng)與軟件進(jìn)行安全加固。蘋果則在每次iOS升級時對其進(jìn)行漏洞補丁修補。

網(wǎng)絡(luò)安全工程師可以利用安全漏洞順利地入侵Jeep、通用、特斯拉等汽車,從而對汽車進(jìn)行遠(yuǎn)程操控,更有美國黑客在youtube上放出入侵加油站的視頻。漏洞的危害顯而易見。

如美劇《網(wǎng)絡(luò)犯罪調(diào)查》里所演繹的那樣,如果你找到的漏洞屌爆了,還會有諸多灰色組織向你伸出橄欖枝。在不久前被曝光的意大利著名網(wǎng)絡(luò)軍火商HackingTeam的內(nèi)部數(shù)據(jù)中,存在大量極其危險的iOS0Day漏洞,而這么多漏洞幾乎全部是該組織在“漏洞市場"中買來的。

根據(jù)泄露的數(shù)據(jù),一個普通的iOS漏洞交易價格大約在3.5至4.5萬美元之間,如果獨家銷售給HackingTeam,價格至少會翻三倍。而一個有價值的iOS漏洞交易獨家交易的價格可能會達(dá)到幾十萬美金。

盡管交易價格不匪,甚至挖掘漏洞賺錢的速度超過淘金,但這種交易處于灰色甚至黑色地帶,為不少白帽子黑客所不齒。

挖掘是為了防護(hù),ISC2015關(guān)注漏洞挖掘與源代碼安全

事實上,不少擁有黑客技術(shù)的工程師挖掘漏洞并非為了轉(zhuǎn)賣漏洞賺錢。正所謂“未知攻,焉知防”。要加強(qiáng)信息安全主動防御,以信息安全攻擊技術(shù)促進(jìn)防護(hù)體系是一條很務(wù)實的逆向?qū)W習(xí)之路。

漏洞是信息安全的基石,也是廣受攻擊之所在,因此,構(gòu)建軟件漏洞分析基礎(chǔ)設(shè)施、操作系統(tǒng)漏洞研究、瀏覽器攻防戰(zhàn)、OAuth協(xié)議安全分析、TrustZone安全攻防、網(wǎng)絡(luò)協(xié)議安全與漏洞分析等都是極為重要的安全實踐方向。

在即將于9月28日至9月30日在北京國家會議中心舉行的2015中國互聯(lián)網(wǎng)安全大會(ISC2015)上,最后一天將迎來“漏洞挖掘與源代碼安全論壇”,這場論壇將從軟件漏洞分析基礎(chǔ)設(shè)施、漏洞研究、瀏覽器攻防戰(zhàn),以及網(wǎng)絡(luò)協(xié)議安全與漏洞分析等方向探索攻防新知。包括解放軍信息工程大學(xué)副教授/碩士導(dǎo)師/博導(dǎo)梯隊成員/Xfocus安全點焦點成員魏強(qiáng)、上海交大博士王暉、清華大學(xué)教授段海新等業(yè)界頂尖技術(shù)專家都將出席該論壇。

對于白帽子黑客來說,“漏洞挖掘是為了更好地防護(hù)”。因此,“補天”等漏洞響應(yīng)平臺上,每天都有大量白帽子將挖掘到的漏洞進(jìn)行提交,以督促相關(guān)企業(yè)盡快解決。谷歌等國際巨頭都對于漏洞挖掘相當(dāng)重視,曾加大了對漏洞挖掘的獎勵,為研究人員預(yù)付3萬美元用于挖掘漏洞。

盡管白帽子不像黑客那樣參與黑市交易售賣漏洞,但從目前的情況來看,白帽子的合法收入一點也不比黑客的黑色收入少。除了谷歌之外,Adobe、微軟、惠普、蘋果、亞馬遜等國際巨頭都對提交漏洞的白帽子予以現(xiàn)金獎勵與公開致謝,白帽子在獲得經(jīng)濟(jì)收益之外還能收獲更多容易,這也將“漏洞挖掘”置于陽光之下。

據(jù)悉,在即將召開的2015中國互聯(lián)網(wǎng)安全大會(ISC2015)上,還將迎來美國、以色列、韓國等國際頂尖的120位世界級安全智庫和安全專家,其中包括前美國國家安全局、五角大樓網(wǎng)絡(luò)司令部首任司令基斯.亞歷山大(Gen.KeithB.Alexander)將軍等國際頂級專家學(xué)者。ISC2015將是中美國家級網(wǎng)絡(luò)空間安全智庫首次在就網(wǎng)絡(luò)空間安全進(jìn)行對話的公開會議。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號