網絡攻防,漏洞為王。2015年網絡空間硝煙不斷:一方面,俄羅斯APT28組織攻擊美國大型企業、疑似美國Duqu2.0入侵俄羅斯廠商卡巴斯基事件分別曝光,雙方攻擊者都使用了Windows內核漏洞作為制勝法寶;另一方面,全球漏洞交易市場活躍,法國Zerodium明碼標價收購漏洞,義大利HackingTeam販賣漏洞的郵件、攻擊代碼更是隨著400G內部數據洩露而大白於天下,漏洞無疑就是網絡空間的精準飛彈甚至核武器級別軍火。
在攻擊者瘋狂使用漏洞武器的同時,Windows等系統和軟體也在緊鑼密鼓地搶修漏洞,更有一批「安全守衛者」黑客將漏洞無償報告給軟體商,幫助廠商打補丁保護用戶,而微軟等廠商也會對漏洞報告者進行公開致謝。
接下來,我們將對Adobe、Apple、Google、Microsoft四個影響數億用戶的漏洞「大戶」進行2015年盤點,看看都有哪些黑客團隊榮登這些廠商的漏洞致謝榜。
Adobe:「漏洞之王」的救贖
Adobe的安全性一向飽受詬病,但由於Adobe Flash Player的跨平臺廣泛應用,現時仍然「講不出再見」。在Zerodium公布的漏洞收購價格表上,Flash漏洞最高可以賣到8萬美元!2015年,Adobe送出近300個漏洞致謝。在Flash徹底退出歷史舞臺之前,但願守衛者黑客們多幫助Adobe再抵擋一陣。
2015年Adobe漏洞致謝榜 | |
致謝對象 | 報告漏洞數量 |
Goole Project Zero | 101 |
ZDI | 55 |
Qihoo360 | 55 |
bilou/NicolasJoly | 42 |
Alibaba | 14 |
Keen Team | 8 |
Trend Micro | 5 |
Fortinet | 4 |
KnownSec | 2 |
Palo Alto Networks | 2 |
FireEye | 1 |
McAfee | 1 |
PKAV | 1 |
Venustech | 1 |
Apple:越獄難度與日俱增
蘋果iOS系統的遠程越獄漏洞價值百萬美金。對越獄愛好者來說,自然不願意見到漏洞被封堵,但對於普通的蘋果用戶來說,iOS的安全更新實實在在是一件兒好事,這意味iPhone、iPad等產品安全性不斷提升。
2015年蘋果漏洞致謝榜 | |
致謝對象 | 報告漏洞數量 |
Google Project Zero | 44 |
ZDI | 24 |
TaiG | 11 |
Qihoo360 | 9 |
FireEye | 7 |
Alibaba | 5 |
KeenTeam | 4 |
Tencent | 3 |
Fortine | 2 |
Palo Alto Networks | 1 |
Google:開創漏洞獎勵先河
Google是最早花錢鼓勵黑客尋找自家漏洞的企業,但其漏洞信息比較封閉,往往只公布漏洞報告者榜單,不公開具體涉及哪些漏洞。從今年8月和12月開始,Google的Android系統和Chrome瀏覽器才分別公開具體漏洞編號。這也是Google致謝的漏洞數量相對較少的重要原因。
2015年Google漏洞致謝榜 | |||
致謝對象 | Android漏洞 | Chrome漏洞 | 合計 |
Qihoo360 | 7 | 2 | 9 |
Trend Micro | 5 | 0 | 5 |
Mariusz Mlynski | 0 | 4 | 4 |
Google Project Zero | 2 | 0 | 2 |
Copperhead Security | 2 | 0 | 2 |
Exodus Intelligence | 2 | 0 | 2 |
Zimperium | 1 | 0 | 1 |
Alibaba | 1 | 0 | 1 |
Baidu | 1 | 0 | 1 |
Keen Team | 1 | 0 | 1 |
Microsoft:免費致謝+賞金計劃
微軟的漏洞致謝主要來自於每月「補丁星期二」的安全公告,此外微軟也推出了賞金計劃,專門給Mitigation Bypass(意指繞過系統安全機制的攻擊技術)和Edge瀏覽器等專項產品提供漏洞獎金。
2015年微軟漏洞致謝榜 | ||||
致謝對象 | 安全公告 漏洞數量 | 賞金計劃 | 總計 | |
Edge漏洞 | 繞過技術 | |||
ZDI | 154 | 0 | 1 | 155 |
Google Project Zero | 93 | 0 | 1 | 94 |
Palo Alto Networks | 34 | 0 | 0 | 34 |
Qihoo360 | 22 | 3 | 1 | 26 |
Baidu | 26 | 0 | 0 | 26 |
Versign iDefense | 25 | 0 | 0 | 25 |
Tencent | 14 | 1 | 1 | 16 |
FireEye | 14 | 1 | 0 | 15 |
Trend Micro | 15 | 0 | 0 | 15 |
Keen Team | 11 | 0 | 0 | 11 |
NSFOCUS | 6 | 0 | 1 | 7 |
Fortinet | 7 | 0 | 0 | 7 |
KnownSec | 6 | 0 | 0 | 6 |
iSight Partners | 3 | 0 | 0 | 3 |
McAfee | 2 | 0 | 0 | 2 |
Venustech Adlab | 1 | 0 | 0 | 1 |
VRV | 1 | 0 | 0 | 1 |
綜合以上四家軟體巨頭的致謝公告,2015年度全球十大黑客天團如下:
TOP10 | Adobe | Apple | Microsoft | 總計 | |
Google Project Zero | 101 | 44 | 2 | 94 | 241 |
ZDI | 55 | 24 | 0 | 155 | 234 |
Qihoo360 | 55 | 9 | 9 | 26 | 99 |
bilou/Nicolas Joly | 42 | 0 | 0 | 0 | 42 |
Palo Alto Networks | 1 | 1 | 0 | 34 | 36 |
Baidu | 0 | 0 | 1 | 26 | 27 |
Trend Micro | 5 | 0 | 5 | 15 | 25 |
Versign iDefense | 0 | 0 | 0 | 25 | 25 |
Keen Team | 8 | 4 | 1 | 11 | 24 |
FireEye | 1 | 7 | 0 | 15 | 23 |
Google Project Zero當之無愧奪魁。作為Google旗下精英團隊,Google Project Zero不光捍衛著Google的安全,也用實際行動促進各大軟體廠商提升產品安全性;排名第二的ZDI(HP’s Zero Day Initiative)與榜首的漏洞致謝數量差距不大,但ZDI的漏洞大多來自收購而不是靠自身實力挖掘;排名第四的bilou/Nicolas Joly在一年間轉戰效力於VUPEN、Google Project Zero和微軟,因此單獨列出。
360、百度和Keen Team三支中國團隊也成功進入十大天團,分別名列第三、第六和第九。360的優勢在於跨平臺的安全研究實力,包括Windows、Android、iOS等系統和Chrome、IE、Edge、Adobe Flash Player等軟體均挖掘出不少漏洞;百度則在2015年發力挖掘IE漏洞,憑藉26個IE漏洞致謝脫穎而出;Keen Team也屬於全能型選手,但沒有特別突出的陣地,今年收穫的漏洞致謝數量反而落後於百度。
在全球TOP10以外,阿里巴巴、騰訊、綠盟科技、知道創宇等國內團隊也或多或少地出現在各大軟體廠商的漏洞致謝名單中。隨著國內網際網路行業持續加大對安全的投入,相信會有更多中國的安全團隊活躍在世界舞臺上。