对任何互联网公司来说,漏洞都是难以根除的顽疾。尤其是苹果、谷歌和微软等巨头公司,一直是黑客挖掘漏洞的重要目标。不过在黑客群体中也有黑帽子和白帽子之分,黑帽子挖漏洞是为了通过网络犯罪获利,白帽子挖漏洞则是要帮助厂商提升产品安全性。
由于漏洞挖掘的门槛比较高,在流行系统和软件上与全球黑客竞速挖出新漏洞,更是难上加难,漏洞挖掘能力也因此成为判断一个安全团队技术实力的重要指标。而中国团队,已经是各大巨头漏洞致谢榜上异军突起的骨干力量。
接下来,我们就通过微软、苹果、谷歌和Adobe四大厂商在2015年的漏洞致谢榜,盘点中国白帽子军团在漏洞挖掘方面的表现。
微软:中国黑客的“老朋友”,23名华人入选TOP100黑客贡献榜
截至8月17日,微软在2015年一共发出342次漏洞致谢,来自中国的安全团队获得其中的53次致谢,包括:360Vulcan Team(20次)、KeenTeam(11次)、百度(9次)、绿盟科技的NSFOCUS Security Team(5次)、腾讯(4次)、知道创宇(2次)、启明星辰(1次)、华为(1次)。
在微软漏洞挖掘方面,主推Windows安全产品的360具有明显优势,今年在Pwn2Own黑客大赛上攻破Win8.1+IE11的360VulcanTeam,也已经成为漏洞挖掘的主力军,今年获得的20次漏洞致谢不仅在中国领先,在全球范围内也仅次于收购漏洞的惠普ZDI平台和谷歌黑客天团Google Project Zero,排名第三位。
在不久前举行的BlackHat“全球黑帽大会”上,微软特别在展会中心租了大块场地,用巨幅背景墙列出为微软安全做出巨大贡献的TOP100黑客贡献榜。在该名单上,有至少23名华人上榜,中国黑客在Windows安全领域的深厚积累由此可见一斑。
Adobe:千疮百孔的漏洞重灾区
Adobe Flash插件和PDF阅读器都有着广泛应用,然而其产品安全性一直饱受诟病。今年以来,Adobe共发布了251条漏洞信息及相关致谢,其中有至少36条漏洞是由中国安全团队提交的。
从统计来看,阿里巴巴在收购瀚海源之后在一定程度上弥补了软件漏洞研究的能力,11个漏洞大多是由原瀚海源团队成员提交给Adobe的;作为Pwn2Own黑客大赛上攻破Adobe产品的团队,KeenTeam在Adobe漏洞报告方面表现出色,今年迄今一共提交了11个漏洞,与阿里巴巴数量相同。360VulcanTeam从6月开始也将漏洞挖掘从Windows扩展到Adobe等更多系统和软件上,后续表现值得期待。
在Adobe漏洞致谢榜上还出现了来自中国的新面孔——PKAV,这是一个号称“誓与AV抢宅男”的民间黑客技术团队,在乌云漏洞平台上曾经多次报告国内各大厂商的漏洞,受到国际软件巨头的认可。
苹果:越狱团队大显身手
在苹果公司2015上半年的179次安全性更新中,大约有半数漏洞是由苹果自己发现的,涵盖iTunes、iWatch、iMac等多项产品系统。而在由外部黑客研究者报告的漏洞中,中国安全团队和研究人员也收获了20个漏洞致谢。
在最新的iOS8.4.1更新中,国内的太极越狱团队获得了8个漏洞致谢,成为漏洞报告大户。要知道,苹果系统的越狱和安卓系统的ROOT一样,都是要靠漏洞才能实现的。太极把漏洞提交给苹果修复,颇有些自砸饭碗的意味,不知道是何用意。
2015年迄今,国内安全团队获得的苹果漏洞致谢统计如下:太极越狱团队(10个)、KeenTeam(4个)、阿里巴巴(3个)、360(2个)、腾讯(1个)。除了专职越狱的太极和常年打比赛的KeenTeam以外,国内其他团队特别是安全厂商在苹果漏洞挖掘方面显得动力不足,毕竟苹果本身就是个封闭的生态系统,安全软件在苹果设备上的权限和功能远不如Windows或者Android平台。
谷歌:花钱找漏洞
尽管拥有“黑客天团”Google Project Zero,谷歌仍孜孜不倦地在寻找着自身产品中的安全漏洞,甚至为漏洞报告者提供奖金。这也充分证明,只有在高度重视安全的平台上,才能诞生出真正优秀的黑客团队。
上图:谷歌漏洞奖励计划和Android漏洞致谢名单
长久以来,美国和俄罗斯等少数国家是网络安全领域的技术领先者。而在过去数年,人才外流也成为制约中国网络安全发展的一个痛点。在微软、苹果等巨头公司的漏洞致谢名单中,分布在FireEye、Palo Alto Networks、McAfee、Fortinet等海外安全公司的华人屡屡上榜,这无疑是中国安全行业的巨大损失。
如今随着360、阿里巴巴、百度、腾讯等互联网公司在安全研究领域持续投入,国内安全人才的待遇水涨船高,人才流失的情况终于得到极大缓解。中国的安全技术实力也得到快速提升,部分研究领域已经可以与国际巨头比肩。在BlackHat和DEFCON这样的顶级黑客大会上,越来越多中国人出现在演讲台上,中国安全企业的影响力也与日俱增。在网络空间这个看不见硝烟的战场上,中国网络安全行业正迎来属于自己的黄金时代。
(文/独孤依风,订阅号:worldlun,"互联网一些事"微信订阅号:toutiaoshi)