|
|
|
|
|
|
來源:賽迪網 發布日期:2015.08.18 點擊量:
現在人們在聽到越來越多的惡意攻擊事件,越來越多的0day漏洞,“有沒有搞錯,真的比以前多?”原因何在?
在趨勢科技CloudSec2015網絡安全大會上,中國臺灣地區HITCON CTF領隊李倫銓為我們揭示了其中的秘密。
2013年發現14個0day漏洞,2014年發現25個0day漏洞,2015年7月為止已經發現15個0day漏洞。安全圈內某些很厲害的“好孩子”黑客表示,被發現的0day漏洞會越來越多。企業服務器漏洞、學校系統漏洞、游戲外掛漏洞……漏洞真的很多、很多,而當被發現的漏洞反饋給相關企業、學校、游戲廠商人員時,大多被忽視、被推卸。漏洞被發現了不可怕,但不被重視、不被及時封堵、不建立相關防護機制才是最可怕的。而這也促使某些本來僅僅是喜歡研究網絡安全技術的“好孩子”,變成了真正的駭客。
還記得近期曝出的HackingTeam遭遇攻擊400G資料泄漏事件么?“這些資料使得地下駭客們的技術前進了3年。”曾幾何時,對犯罪嫌疑人進行監控,需要在室外電話線上外掛線路才能實現監聽。而今不用那么復雜了,借助0day漏洞,通過在智能手機上做些“小小的手腳”植入RCS,就可以輕松實現對一個人全部日常行動的監控。之所以會如此,僅僅是由于這個“人”用智能手機瀏覽了某個特殊的網頁。Hacking Team正在做的就是這類事情,當然他們做的更大一些。
Stuxnet讓人們知道:“原來真有這種事”——來自某知名黑客對伊朗核設施攻擊事件的評論。
能夠奢侈的用4個0day發起攻擊,不會是普通的地下黑色產業鏈集團里的駭客,只有國家級網絡攻擊才會如此“奢華”。Hacking Team所暴露出來的資料,再次確認數字軍火的發展正在失去平衡。許多國外政府已經花費數百萬美元從Hacking Team購買了N多0day漏洞,用來做什么?這個問題就不需要回答了吧。
原廠對于黑客幫助其發現0day漏洞的獎金,與地下黑色產業鏈甚至Hacking Team這類企業對于0day漏洞的高價收購,造就了不對稱的產業價值、不對稱的安全意識,正是因此使得0day越來越多。
好在有些企業已經將對漏洞發現者的獎勵從一件T恤增加到了數百萬美元的獎金。美國政府也在開出大筆獎金尋求安全研究人員、白帽子黑客等幫助其解決各類網絡安全問題。
金錢并不一定就能徹底解決安全漏洞問題,但恰當的漏洞發現獎金等激勵機制的建立,能夠減少0day漏洞被惡意利用,這樣不僅能從根源上就解決安全問題,還是對用戶最為負責任的舉措。
相關新聞:
