安全资讯

2016黑客挖洞全盘点:揭秘互联网三巨头背后的中国力量

字号+ 作者:匿名投稿 来源:转载 2016-12-27 14:00 我要评论( )

在网络攻击的世界里,是亘古不变的硬通货。今年,灰色交易市场上,iOS漏洞的售价一度飙到百万美元,安卓、微软的漏洞随随便便也能卖到10万美元。但在白帽黑客眼里......

在网络攻击的世界里,是亘古不变的硬通货。今年,灰色交易市场上,iOS漏洞的售价一度飙到百万美元,安卓、微软的漏洞随随便便也能卖到10万美元。但在白帽黑客眼里,天价悬赏并没什么吸引力,各大厂商的漏洞致谢榜才是彰显实力的荣誉赛场。

在 三大巨头中,谷歌的赏金最为慷慨,2015年向300多位研究者提供了200多万美元的奖金;苹果今年在黑帽大会上首次推出了漏洞定向赏金计划,提供最高 20万美元的奖金;微软今年推出的Edge浏览器专项漏洞赏金计划,最高奖金也达1.5万美元。与天价黑市相比,厂商们的赏金虽显“吝啬”,但毫不影响白 帽子挖洞的热情,以360、腾讯、百度等为代表的中国黑客,今年形成了各大漏洞致谢榜单上强势的中国力量。

谷歌致谢榜:360移动安全优势凸显

拥 有数千台机器大军日夜不停地筛查漏洞,再加上自家黑客天团Google Project Zero保驾护航,谷歌漏洞的挖掘难度可想而知。2016年,只要提交9枚漏洞,就可以跻身谷歌致谢榜单前十位,360今年一口气提交了157枚漏洞 (155枚安卓漏洞,2枚Chrome漏洞),不仅实现了安卓系统漏洞挖掘领域的称霸,还保持了三次蝉联致谢榜首位的记录。

谷歌虽然是最早 花钱鼓励黑客寻找自家漏洞的厂商,但从2015年8月和12月开始,才分别开始公开安卓和Chrome的漏洞编号,致谢榜的统计也从2015年底开始。这 一年,360拉开了“刷榜”的帷幕,以9次漏洞致谢的成绩,远超当时的趋势科技(5次致谢)和谷歌黑客天团(2次致谢),一跃登上榜首。

2016 上半年,360累计提交47枚漏洞(44枚安卓漏洞,3枚Chrome漏洞)第二次问鼎榜首,报告漏洞数量较当时的第二名趋势科技(11枚漏洞)高出了4 倍多。2016年底,360在移动端的安全研究优势不断扩大,再一次将老牌黑客天团Google和趋势科技甩在身后。

值得一提的是,今年另外两家中国安全厂商腾讯和阿里也双双跻身致谢榜单前十,分别以32次、28次漏洞致谢的成绩位列第四、五位。此外,百度(4次致谢)、猎豹(4次致谢)、PKAV(2次致谢)、华为(2次致谢)等公司也纷纷向谷歌报告漏洞并获得致谢。

微软致谢榜:三支中国团队跻身前十

微软漏洞致谢榜主要由两部分组成,一部分是每月初“星期二补丁日”的安全公告,另一部分是赏金计划(Bounty Program),专门为Mitigation Bypass(指绕过系统安全机制)等专项漏洞提供奖金。

2015年,致谢榜排名前三的是Google(93个漏洞公告,1个赏金项目),Palo Alto Networks(34个漏洞公告),奇虎360(22个漏洞公告,4个赏金项目)和百度(26个漏洞公告);腾讯以14个漏洞公告,2个赏金项目位列第六。

2016 年上半年,趋势科技以3亿美元收购惠普旗下的零日计划(ZDI)后,漏洞挖掘实力增长惊人,以34次漏洞致谢一跃而至榜单首位。相比之下,Google和 Palo Alto Networks的成绩大幅下滑,Google仅获得23次漏洞致谢,排名第二。360、百度、腾讯紧随其后,分列第三、四、五位,再次跻身榜单前十。

纵 观微软近两年的漏洞榜单,前十名的选手走马换将,上半年还是风云人物,下半年就可能跌出榜单之外。但360、腾讯、百度三支安全团队,一直凭借稳定发挥, 占据漏洞报告数量的前十位。2016年底,腾讯(45次致谢)、360(39次致谢)、百度(27次致谢)第三次入围微软致谢前十位,提交漏洞的数量较去 年也有了显著的提高。另外两支中国团队——绿盟科技和知道创宇,今年也向微软分别提交了4枚和1枚漏洞。

苹果致谢榜:腾讯360再次上榜

据趋势科技近日发布的报告,随着苹果产品市场占有率的不断增加,黑客攻击的重心也逐渐转移到苹果设备上来。对比近两年漏洞的致谢情况不难发现,越来越多的白帽子们在挖掘苹果漏洞方面日渐活跃,紧锣密鼓地保卫着用户的安全,其中,国内安全厂商也十分抢眼。

2015年,占据苹果漏洞致谢榜前三位的是谷歌(50枚漏洞)、雅虎(27枚漏洞)以及国内的太极越狱团队(15枚漏洞)。另外,盘古团队(11枚漏洞)、360(9枚漏洞)、清华大学(7枚漏洞)三家机构分列第四、五、六位。

2016 年开始,腾讯逐渐成为苹果致谢榜上的重量选手,并和360双双成为榜单十强上的常客,2016年底,腾讯(55次致谢)和360(13次致谢)刷新了其报 告漏洞数量上的最好成绩。另外,国内其他安全机构在漏洞致谢上也开始遍地开花,百度、阿里、PKAV、华为、知道创宇等公司纷纷加入苹果漏洞挖掘的阵营。

综 合三大巨头厂商的漏洞致谢,中国白帽黑客的表现亮点颇多,但这只是中国黑客技术实力的其中一面。Pwn2Own、PwnFest等世界黑客大赛上的惊艳表 现,Blackhat、Defcon等国际会议上的轮番亮相,在检验网络安全实力的各大赛场,都活跃着中国黑客的身影。

漏洞就像枪支一样,不法分子利用会带来巨大的安全威胁,但在正义的白帽子手中,则会变成有力的反击武器。在互联网的各个角落,时刻都上演着安全从业者和不法分子的激烈对抗。这其中,中国黑客逐步成为这场黑白交锋中的主力,用精湛的技术实力捍卫正义的力量。

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Information/510.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 黑客居然能利用4G 网络漏洞监视用户

    黑客居然能利用4G 网络漏洞监视用户

    2018-03-21 11:40

  • 论人工智能与网络安全话题讲述

    论人工智能与网络安全话题讲述

    2017-03-14 08:47

  • 10大白帽黑客专用的 Linux 操作系统

    10大白帽黑客专用的 Linux 操作系统

    2017-02-22 15:24

  • 白帽黑客大赛GeekPwn(极棒)正式启动

    白帽黑客大赛GeekPwn(极棒)正式启动

    2017-02-16 08:21

网友点评
暂时未开启评论功能~