當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

iOS漏洞黑市價(jià)最低3萬美金 漏洞挖掘比淘金還賺錢

 2015-09-16 13:13  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

日前,國際知名即時(shí)通訊工具WhatsApp的網(wǎng)頁版被曝出存在安全漏洞,通過這一漏洞,黑客可以散布任意危險(xiǎn)的惡意程序來感染用戶的電腦。黑客能夠利用漏洞達(dá)到自己的目的,這使得漏洞獨(dú)具價(jià)值。根據(jù)漏洞的利用程度,不同漏洞價(jià)格也不同。譬如一個(gè)iOS系統(tǒng)的漏洞,黑市交易最低價(jià)格也在3萬美金左右,漏洞挖掘堪比掘金。

 

圖:WhatsApp的網(wǎng)頁版被曝出存在安全漏洞

漏洞是進(jìn)入系統(tǒng)控制權(quán)限的大門,一直以來也是網(wǎng)絡(luò)安全從業(yè)者挖掘、研究、模擬攻防的對(duì)象。在2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2015)上,“漏洞挖掘與源代碼安全論壇”,將就開源代碼安全之痛、瀏覽器攻防對(duì)抗歷史與技術(shù)演進(jìn)等六大議題進(jìn)行精講,因此受到安全業(yè)界的廣泛關(guān)注。

 

圖:ISC 2015 中國互聯(lián)網(wǎng)安全大會(huì)關(guān)注漏洞挖掘與源代碼安全

漏洞黑市交易價(jià)格高,iOS漏洞最低3萬美金

“安全漏洞”存在于任何操作系統(tǒng)、軟件、網(wǎng)站當(dāng)中,微軟、Adobe等國際巨頭都定期發(fā)布漏洞補(bǔ)丁,對(duì)系統(tǒng)與軟件進(jìn)行安全加固。蘋果則在每次iOS升級(jí)時(shí)對(duì)其進(jìn)行漏洞補(bǔ)丁修補(bǔ)。

網(wǎng)絡(luò)安全工程師可以利用安全漏洞順利地入侵Jeep、通用、特斯拉等汽車,從而對(duì)汽車進(jìn)行遠(yuǎn)程操控,更有美國黑客在youtube上放出入侵加油站的視頻。漏洞的危害顯而易見。

如美劇《網(wǎng)絡(luò)犯罪調(diào)查》里所演繹的那樣,如果你找到的漏洞屌爆了,還會(huì)有諸多灰色組織向你伸出橄欖枝。在不久前被曝光的意大利著名網(wǎng)絡(luò)軍火商Hacking Team的內(nèi)部數(shù)據(jù)中,存在大量極其危險(xiǎn)的iOS 0Day漏洞,而這么多漏洞幾乎全部是該組織在“漏洞市場"中買來的。

根據(jù)泄露的數(shù)據(jù),一個(gè)普通的iOS漏洞交易價(jià)格大約在3.5至4.5萬美元之間,如果獨(dú)家銷售給Hacking Team,價(jià)格至少會(huì)翻三倍。而一個(gè)有價(jià)值的iOS漏洞交易獨(dú)家交易的價(jià)格可能會(huì)達(dá)到幾十萬美金。

盡管交易價(jià)格不匪,甚至挖掘漏洞賺錢的速度超過淘金,但這種交易處于灰色甚至黑色地帶,為不少白帽子黑客所不齒。

挖掘是為了防護(hù),ISC 2015關(guān)注漏洞挖掘與源代碼安全

事實(shí)上,不少擁有黑客技術(shù)的工程師挖掘漏洞并非為了轉(zhuǎn)賣漏洞賺錢。正所謂“未知攻,焉知防”。要加強(qiáng)信息安全主動(dòng)防御,以信息安全攻擊技術(shù)促進(jìn)防護(hù)體系是一條很務(wù)實(shí)的逆向?qū)W習(xí)之路。

漏洞是信息安全的基石,也是廣受攻擊之所在,因此,構(gòu)建軟件漏洞分析基礎(chǔ)設(shè)施、操作系統(tǒng)漏洞研究、瀏覽器攻防戰(zhàn)、OAuth協(xié)議安全分析、TrustZone安全攻防、網(wǎng)絡(luò)協(xié)議安全與漏洞分析等都是極為重要的安全實(shí)踐方向。

在即將于9月28日至9月30日在北京國家會(huì)議中心舉行的2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2015)上,最后一天將迎來“漏洞挖掘與源代碼安全論壇”,這場論壇將從軟件漏洞分析基礎(chǔ)設(shè)施、漏洞研究、瀏覽器攻防戰(zhàn),以及網(wǎng)絡(luò)協(xié)議安全與漏洞分析等方向探索攻防新知。包括解放軍信息工程大學(xué)副教授/碩士導(dǎo)師/博導(dǎo)梯隊(duì)成員/Xfocus安全點(diǎn)焦點(diǎn)成員魏強(qiáng)、上海交大博士王暉、清華大學(xué)教授段海新等業(yè)界頂尖技術(shù)專家都將出席該論壇。

對(duì)于白帽子黑客來說,“漏洞挖掘是為了更好地防護(hù)”。因此,“補(bǔ)天”等漏洞響應(yīng)平臺(tái)上,每天都有大量白帽子將挖掘到的漏洞進(jìn)行提交,以督促相關(guān)企業(yè)盡快解決。谷歌等國際巨頭都對(duì)于漏洞挖掘相當(dāng)重視,曾加大了對(duì)漏洞挖掘的獎(jiǎng)勵(lì),為研究人員預(yù)付3萬美元用于挖掘漏洞。

盡管白帽子不像黑客那樣參與黑市交易售賣漏洞,但從目前的情況來看,白帽子的合法收入一點(diǎn)也不比黑客的黑色收入少。除了谷歌之外,Adobe、微軟、惠普、蘋果、亞馬遜等國際巨頭都對(duì)提交漏洞的白帽子予以現(xiàn)金獎(jiǎng)勵(lì)與公開致謝,白帽子在獲得經(jīng)濟(jì)收益之外還能收獲更多容易,這也將“漏洞挖掘”置于陽光之下。

據(jù)悉,在即將召開的2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2015)上,還將迎來美國、以色列、韓國等國際頂尖的120位世界級(jí)安全智庫和安全專家,其中包括前美國國家安全局、五角大樓網(wǎng)絡(luò)司令部首任司令基斯.亞歷山大(Gen.KeithB.Alexander)將軍等國際頂級(jí)專家學(xué)者。ISC 2015將是中美國家級(jí)網(wǎng)絡(luò)空間安全智庫首次在就網(wǎng)絡(luò)空間安全進(jìn)行對(duì)話的公開會(huì)議。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦