信息來源:secdoctor
2017上半年,以“永恒之藍(lán)”為代表的勒索病毒攻擊��,讓全球網(wǎng)民認(rèn)識到漏洞攻擊的核彈級威力��。在不法分子惡意利用漏洞的同時��,也有很多“白帽”黑客在默默地幫助各大操作系統(tǒng)和流行軟件修復(fù)漏洞��。他們以高超技術(shù)讓網(wǎng)絡(luò)變得更安全��,否則“永恒之藍(lán)”的悲劇將無數(shù)次上演��。
為了表彰“白帽”黑客對互聯(lián)網(wǎng)安全做出的巨大貢獻��,谷歌��、微軟��、蘋果三大巨頭在每月發(fā)布安全更新時��,會對報告漏洞的安全研究人員公開致謝��。近年來��,中國廠商的網(wǎng)絡(luò)攻防技術(shù)實力飛速提升��,已經(jīng)成為各大巨頭漏洞致謝榜的重要力量��,360以獲得超過200次漏洞致謝的成績排名全球第二��,僅次于谷歌安全團隊��。騰訊��、阿里巴巴和百度的安全團隊躋身前十��,國內(nèi)新銳安全創(chuàng)業(yè)公司長亭科技也進入榜單��。
谷歌漏洞致謝榜:360移動安全優(yōu)勢巨大
谷歌漏洞致謝榜主要包括Android系統(tǒng)和Chrome瀏覽器的漏洞公告��。今年上半年��,Android漏洞的身價水漲船高��,先是谷歌宣布提高漏洞獎勵價格��,最高獎金較此前翻了4倍��,一躍達(dá)到20萬美金;著名的“漏洞軍火商”Zerodium公司也開出了20萬美元高價收購Android漏洞��。
Android漏洞含金量高��,挖掘難度也極大��。谷歌擁有數(shù)千臺服務(wù)器集群日夜不停地篩查Android等旗下產(chǎn)品的漏洞��,再加上有世界著名的“黑客天團”Google Project Zero保駕護航��,今年上半年只要能提交5枚以上漏洞��,就足以躋身谷歌漏洞致謝榜的前十強��。
上半年榜單中��,360以獲得谷歌128次漏洞致謝的成績遙遙領(lǐng)先于其他廠商��。自2015年谷歌發(fā)布Android漏洞致謝公告以來��,360已連續(xù)三年穩(wěn)居榜首��,移動安全領(lǐng)域優(yōu)勢顯著��。
中國互聯(lián)網(wǎng)巨頭騰訊和阿里巴巴的安全團隊也躋身谷歌漏洞致謝榜單前五名��。此外��,MS509 Team��、螞蟻金服、獵豹��、百度��、啟明星辰��、綠盟��、小米��、PKAV等國內(nèi)其他廠商和民間安全團隊也向谷歌報告了漏洞而獲得致謝��。
微軟致謝榜:谷歌“黑客天團”半年斬獲上百漏洞
微軟漏洞致謝榜主要由兩部分組成��,一部分是每月初“星期二補丁日”的安全公告��,另一部分是賞金計劃(Bounty Program)��,專門為Mitigation Bypass(指繞過系統(tǒng)安全機制)等專項漏洞提供獎金��。
微軟和谷歌間的相愛相殺一直是科技圈樂此不疲的話題��。在漏洞致謝方面��,微軟一貫態(tài)度高冷��,谷歌卻秉持著高漲的熱情不停地給微軟“找茬”。這兩年��,谷歌始終是微軟致謝榜單上排名靠前的座上客��,今年上半年更是斬獲104次致謝排名榜首��。相信微軟看到這一成績該是既煩惱于同伴的打擾��,又欣喜于對方幫助提升自家產(chǎn)品安全性的熱情吧!
國內(nèi)廠商方面��,360以52次致謝總數(shù)的成績排名第三��,再次創(chuàng)造中國廠商的最好成績��。近日微軟在BlackHat全球黑客大會上發(fā)布TOP100安全貢獻榜��,表彰為微軟系統(tǒng)和軟件安全做出杰出貢獻的全球100名安全專家��,360公司有十人上榜��,其中七人排名前50��,入選人數(shù)和綜合排名全面領(lǐng)先��,360Vulcan團隊的YUKI CHEN更是排名全球第三��,成為名次最高的華人研究員��。
值得稱道的是��,盡管360獲得微軟致謝數(shù)量不及谷歌微軟兩大巨頭��,但在賞金項目上卻以4次獲獎的成績領(lǐng)先所有廠商��。賞金項目考驗的不是單個漏洞的發(fā)現(xiàn)能力��,而是攻擊方式的思維技巧��,要知道��,斬斷一種攻擊方式的價值遠(yuǎn)遠(yuǎn)比修復(fù)一個漏洞高得多��。
蘋果致謝榜:五支中國戰(zhàn)隊組團上榜
縱觀今年上半年的蘋果漏洞致謝榜��,一定會發(fā)現(xiàn)不少熟悉的國內(nèi)廠商的身影��。今年上半年��,除了360和騰訊兩大漏洞致謝榜單上的?�?椭?�,長亭科技、百度以及阿里巴巴三支中國廠商也躋身前十��,組成了榜單上的新生力量��。
值得一提的是��,國內(nèi)安全廠商在蘋果漏洞安全上的研究也是遍地開花��。在十強之外��,盤古��、螞蟻金服��、華為��、天融信阿爾法團隊��、阿里巴巴��、知道創(chuàng)宇等公司也紛紛投身蘋果漏洞挖掘的陣營��。
榜單之外��,國內(nèi)安全團隊在黑客賽場上也展示著蘋果漏洞研究的強大實力��。2017年P(guān)wn2Own上��,360和長亭科技是賽場上僅有的成功挑戰(zhàn)Mac OS和Safari兩大高難項目的團隊��。360安全團隊更是憑借Mac OS中的骨灰級漏洞和絕妙的利用技巧引發(fā)全場轟動��,最終捧得Pwn2Own總冠軍獎杯��。
綜合三大巨頭的漏洞致謝榜單��,中國團隊今年上半年創(chuàng)造了有史以來最為高光的表現(xiàn)��。既有谷歌優(yōu)勢項目上的巔峰紀(jì)錄創(chuàng)造��,也有微軟賞金項目上的驚艷表現(xiàn)��,還刷新了國內(nèi)廠商入選蘋果致謝榜數(shù)量最多的紀(jì)錄��。中國安全團隊正為全球互聯(lián)網(wǎng)用戶使用更安全的系統(tǒng)和軟件產(chǎn)品做著越發(fā)重要的貢獻��。
除了漏洞致謝榜單��,我們今年還看到中國黑客在Pwn2Own世界大賽捧起冠軍獎杯為國爭光��, BlackHat、Defcon等國際賽事上驚艷亮相��,“永恒之藍(lán)”勒索病毒爆發(fā)時全力狙擊��。在互聯(lián)網(wǎng)的各個角落��,時刻上演著正義與邪惡的對抗��,而這些白帽黑客的存在��,更代表著安全智慧和守護的力量��。
