2015年爆出的漏洞總共值多少錢?

責任編輯:editor006

作者:史中·方槍槍

2015-12-29 18:02:44

摘自:雷鋒網(wǎng)

對待榮譽和金錢的態(tài)度,可能是白帽子黑客和黑帽子黑客的最大區(qū)別。白帽子黑客榮譽至上,至于金錢,“取之有道”是這一種族的自畫像。在雷鋒網(wǎng)和諸多知名的白帽子團隊掌門人的接觸中,“致謝數(shù)量”是他們“嚴重”關(guān)心的硬指標。

對待榮譽和金錢的態(tài)度,可能是白帽子黑客和黑帽子黑客的最大區(qū)別。

黑帽子在乎實惠,能夠通過非法手段搞到錢才是最重要的。至于榮譽則是避之不及,全世界都不知道他的存在才好。

白帽子黑客榮譽至上,至于金錢,“取之有道”是這一種族的自畫像。

在巨頭林立的IT世界,白帽子的榮譽有一種標準的格式,那就是巨頭的“致謝”。如微軟、蘋果等都會對提交重大漏洞的組織個人發(fā)布致謝涵,甚至現(xiàn)金獎勵。和你想象中不同,這些致謝并不能簡單地理解為虛名大于實惠,而是行業(yè)巨擘對于團隊的光榮加冕。說起來,白帽子和鏢局有很多共同點,那就是對團體的榮譽背書是重要的無形資產(chǎn)——跑江湖靠的是江湖喝號。“你若盛開,清風自來”是白帽子的生存模式之一。

在雷鋒網(wǎng)和諸多知名的白帽子團隊掌門人的接觸中,“致謝數(shù)量”是他們“嚴重”關(guān)心的硬指標。

2015呼嘯而過,各大白帽子黑客團隊的“致謝”KPI都達標了嗎?把各大公司發(fā)出的致謝信搜集起來,可以輕松盤點出各大團隊今年的“戰(zhàn)績”。別急,先來看一張非常值錢的圖表吧,這是漏洞軍火商ZERODIUM為不同產(chǎn)品的漏洞開出的價碼。

ZERODIUM 發(fā)布的漏洞“牌價”

  ZERODIUM 發(fā)布的漏洞“牌價”

其實,ZERODIUM為特別的iOS漏洞開出的最貴價碼,比圖表中最貴的漏洞還要貴一倍,達到了喪心病狂的100萬美元,而且據(jù)說有人真的拿到了這筆錢。那么,現(xiàn)在就讓我們帶著沉重的心情來看看這些把漏洞無私提交給廠商的白帽子究竟損失了多少錢吧。。。

Adobe

Adobe在滲透防御中總是扮演豬隊友的角色。Flash Player“體質(zhì)虛寒”,但是又被各家平臺輪番寵幸,所以成為了各路黑客攻擊的突破口。查看“價目表”,發(fā)現(xiàn) Adobe PDF Reader 和 Flash Player的漏洞都可以買到8萬美金,說明這些漏洞還是很有價值的。

算算2015年爆出的漏洞總共值多少錢?

  2015 Adobe漏洞致謝榜

在Adobe戰(zhàn)場的亂斗中,谷歌“0計劃”當仁不讓地抓到了101個漏洞,穩(wěn)居第一。而國內(nèi)主要的團隊幾乎全部榜上有名。360以55個排名并列第二,阿里巴巴和新興安全公司知道創(chuàng)于也榜上有名。值得注意的是,小而美的技術(shù)向團隊Keen Team和誓與AV爭宅男的PKAV團隊也做出了貢獻。

蘋果

算算2015年爆出的漏洞總共值多少錢?

  2015蘋果漏洞致謝榜

多數(shù)業(yè)界人士都認為iOS漏洞是最難挖掘的漏洞種類之一。因為iOS用戶手里掌握了大量的金錢和社會資源,所以每一個漏洞的爆出都恨不得關(guān)系到世界和平。但從“越獄”這個巨大而繁榮的產(chǎn)業(yè)上來看,就可以得知而有關(guān)蘋果的一切漏洞都具有“貴”的特性。從榜單上看,太極團隊和Keen Team是這個領(lǐng)域的老兵了,對于這兩個團隊來說,蘋果系統(tǒng)的漏洞搜尋是他們壓箱底的絕活。所以拿到好成績并不讓人意外。

微軟

算算2015年爆出的漏洞總共值多少錢?

  2015微軟漏洞致謝榜

可以說微軟是對自家漏洞最為“渴望”的公司,為此他們專門成立了漏洞獎勵計劃。一個名叫 Jason的大胡子每天奔走世界各地用現(xiàn)金“利誘”白帽子們提交漏洞。

算算2015年爆出的漏洞總共值多少錢?

  微軟漏洞獎勵計劃負責人Jason Shirk

雖然微軟在今年大幅提高了其安全性,不過在公眾心中,“軟柿子”的形象可能還要很長時間才能改觀。榜單顯示,360和百度都以26個漏洞并列第四位。不過360在Edge漏洞和賞金漏洞方面都有斬獲,而百度在這兩項上收獲為零。

谷歌

算算2015年爆出的漏洞總共值多少錢?

  2015谷歌漏洞致謝榜

谷歌對于漏洞也是獎勵的態(tài)度,不過卻在公布漏洞細節(jié)方面比較保守。實際上,在今年下半年他們才開始公布漏洞的具體細節(jié)。在這一個榜單中,360終于替中國公司拿到了榜首的位置。

算算2015年爆出的漏洞總共值多少錢?

  找到漏洞最多的白帽子團隊Top 10

綜合四大公司的漏洞來看,谷歌0計劃當仁不讓拿下了漏洞王稱號,這也是對硅谷極客們實至名歸的獎賞。而排名第二的ZDI主要靠收購漏洞上榜,勝之不武。讓心欣喜的是,第三名的位置被360拿下,這和2015年360祭出了旗下幾個如涅槃、伏爾甘等大牛云集的重磅團隊是分不開的。這些大牛不僅給中國的團隊爭光,也算沒有辜負老周這么多年死磕打安全牌的苦心。百度名列第六,說明其在安全方面也下了很大的功夫,這和2015年百度在全球延攬安全人才的舉動是分不開的。作為一個以漏洞為標簽的安全團隊 Keen Team,拿到第九位的名次,值得業(yè)內(nèi)贊賞,這也是對他們專業(yè)精神的一種鼓舞。

單單看微軟、谷歌、蘋果、Adobe這“四大天王”的Top10排行,就有800+漏洞被爆出,權(quán)且按照1萬美金一個漏洞的價格來算,這些漏洞就值800萬美金。把如此價值連城的漏洞無償或低價奉獻給企業(yè),白帽子果然值得讓人尊敬啊。

還有三天,這些戰(zhàn)績就要清零。而2016年的第一個漏洞獎勵,會花落誰家呢?這個并不安全的世界還真是讓人期待呢。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號