信息來(lái)源:secdoctor
2017上半年���,以“永恒之藍(lán)”為代表的勒索病毒攻擊��,讓全球網(wǎng)民認(rèn)識(shí)到漏洞攻擊的核彈級(jí)威力�����。在不法分子惡意利用漏洞的同時(shí)�����,也有很多“白帽”黑客在默默地幫助各大操作系統(tǒng)和流行軟件修復(fù)漏洞�。他們以高超技術(shù)讓網(wǎng)絡(luò)變得更安全���,否則“永恒之藍(lán)”的悲劇將無(wú)數(shù)次上演���。
為了表彰“白帽”黑客對(duì)互聯(lián)網(wǎng)安全做出的巨大貢獻(xiàn),谷歌�、微軟、蘋果三大巨頭在每月發(fā)布安全更新時(shí)��,會(huì)對(duì)報(bào)告漏洞的安全研究人員公開(kāi)致謝���。近年來(lái)�����,中國(guó)廠商的網(wǎng)絡(luò)攻防技術(shù)實(shí)力飛速提升���,已經(jīng)成為各大巨頭漏洞致謝榜的重要力量���,360以獲得超過(guò)200次漏洞致謝的成績(jī)排名全球第二,僅次于谷歌安全團(tuán)隊(duì)���。騰訊�����、阿里巴巴和百度的安全團(tuán)隊(duì)躋身前十��,國(guó)內(nèi)新銳安全創(chuàng)業(yè)公司長(zhǎng)亭科技也進(jìn)入榜單��。
谷歌漏洞致謝榜:360移動(dòng)安全優(yōu)勢(shì)巨大
谷歌漏洞致謝榜主要包括Android系統(tǒng)和Chrome瀏覽器的漏洞公告。今年上半年���,Android漏洞的身價(jià)水漲船高�,先是谷歌宣布提高漏洞獎(jiǎng)勵(lì)價(jià)格���,最高獎(jiǎng)金較此前翻了4倍��,一躍達(dá)到20萬(wàn)美金;著名的“漏洞軍火商”Zerodium公司也開(kāi)出了20萬(wàn)美元高價(jià)收購(gòu)Android漏洞�����。
Android漏洞含金量高���,挖掘難度也極大�。谷歌擁有數(shù)千臺(tái)服務(wù)器集群日夜不停地篩查Android等旗下產(chǎn)品的漏洞�,再加上有世界著名的“黑客天團(tuán)”Google Project Zero保駕護(hù)航,今年上半年只要能提交5枚以上漏洞�����,就足以躋身谷歌漏洞致謝榜的前十強(qiáng)��。
上半年榜單中�����,360以獲得谷歌128次漏洞致謝的成績(jī)遙遙領(lǐng)先于其他廠商�����。自2015年谷歌發(fā)布Android漏洞致謝公告以來(lái),360已連續(xù)三年穩(wěn)居榜首���,移動(dòng)安全領(lǐng)域優(yōu)勢(shì)顯著���。
中國(guó)互聯(lián)網(wǎng)巨頭騰訊和阿里巴巴的安全團(tuán)隊(duì)也躋身谷歌漏洞致謝榜單前五名。此外�����,MS509 Team�����、螞蟻金服���、獵豹���、百度、啟明星辰�����、綠盟�����、小米���、PKAV等國(guó)內(nèi)其他廠商和民間安全團(tuán)隊(duì)也向谷歌報(bào)告了漏洞而獲得致謝�。
微軟致謝榜:谷歌“黑客天團(tuán)”半年斬獲上百漏洞
微軟漏洞致謝榜主要由兩部分組成���,一部分是每月初“星期二補(bǔ)丁日”的安全公告��,另一部分是賞金計(jì)劃(Bounty Program)�����,專門為Mitigation Bypass(指繞過(guò)系統(tǒng)安全機(jī)制)等專項(xiàng)漏洞提供獎(jiǎng)金��。
微軟和谷歌間的相愛(ài)相殺一直是科技圈樂(lè)此不疲的話題���。在漏洞致謝方面,微軟一貫態(tài)度高冷���,谷歌卻秉持著高漲的熱情不停地給微軟“找茬”���。這兩年���,谷歌始終是微軟致謝榜單上排名靠前的座上客,今年上半年更是斬獲104次致謝排名榜首���。相信微軟看到這一成績(jī)?cè)撌羌葻烙谕榈拇驍_�,又欣喜于對(duì)方幫助提升自家產(chǎn)品安全性的熱情吧!
國(guó)內(nèi)廠商方面�,360以52次致謝總數(shù)的成績(jī)排名第三,再次創(chuàng)造中國(guó)廠商的最好成績(jī)�。近日微軟在BlackHat全球黑客大會(huì)上發(fā)布TOP100安全貢獻(xiàn)榜,表彰為微軟系統(tǒng)和軟件安全做出杰出貢獻(xiàn)的全球100名安全專家���,360公司有十人上榜���,其中七人排名前50,入選人數(shù)和綜合排名全面領(lǐng)先���,360Vulcan團(tuán)隊(duì)的YUKI CHEN更是排名全球第三���,成為名次最高的華人研究員。
值得稱道的是���,盡管360獲得微軟致謝數(shù)量不及谷歌微軟兩大巨頭���,但在賞金項(xiàng)目上卻以4次獲獎(jiǎng)的成績(jī)領(lǐng)先所有廠商。賞金項(xiàng)目考驗(yàn)的不是單個(gè)漏洞的發(fā)現(xiàn)能力��,而是攻擊方式的思維技巧��,要知道���,斬?cái)嘁环N攻擊方式的價(jià)值遠(yuǎn)遠(yuǎn)比修復(fù)一個(gè)漏洞高得多��。
蘋果致謝榜:五支中國(guó)戰(zhàn)隊(duì)組團(tuán)上榜
縱觀今年上半年的蘋果漏洞致謝榜�,一定會(huì)發(fā)現(xiàn)不少熟悉的國(guó)內(nèi)廠商的身影�����。今年上半年���,除了360和騰訊兩大漏洞致謝榜單上的?��?椭猓L(zhǎng)亭科技��、百度以及阿里巴巴三支中國(guó)廠商也躋身前十,組成了榜單上的新生力量���。
值得一提的是�����,國(guó)內(nèi)安全廠商在蘋果漏洞安全上的研究也是遍地開(kāi)花�����。在十強(qiáng)之外�,盤古���、螞蟻金服��、華為�、天融信阿爾法團(tuán)隊(duì)��、阿里巴巴��、知道創(chuàng)宇等公司也紛紛投身蘋果漏洞挖掘的陣營(yíng)��。
榜單之外�����,國(guó)內(nèi)安全團(tuán)隊(duì)在黑客賽場(chǎng)上也展示著蘋果漏洞研究的強(qiáng)大實(shí)力。2017年P(guān)wn2Own上�,360和長(zhǎng)亭科技是賽場(chǎng)上僅有的成功挑戰(zhàn)Mac OS和Safari兩大高難項(xiàng)目的團(tuán)隊(duì)。360安全團(tuán)隊(duì)更是憑借Mac OS中的骨灰級(jí)漏洞和絕妙的利用技巧引發(fā)全場(chǎng)轟動(dòng)��,最終捧得Pwn2Own總冠軍獎(jiǎng)杯�。
綜合三大巨頭的漏洞致謝榜單�,中國(guó)團(tuán)隊(duì)今年上半年創(chuàng)造了有史以來(lái)最為高光的表現(xiàn)。既有谷歌優(yōu)勢(shì)項(xiàng)目上的巔峰紀(jì)錄創(chuàng)造���,也有微軟賞金項(xiàng)目上的驚艷表現(xiàn)���,還刷新了國(guó)內(nèi)廠商入選蘋果致謝榜數(shù)量最多的紀(jì)錄。中國(guó)安全團(tuán)隊(duì)正為全球互聯(lián)網(wǎng)用戶使用更安全的系統(tǒng)和軟件產(chǎn)品做著越發(fā)重要的貢獻(xiàn)��。
除了漏洞致謝榜單�����,我們今年還看到中國(guó)黑客在Pwn2Own世界大賽捧起冠軍獎(jiǎng)杯為國(guó)爭(zhēng)光��, BlackHat��、Defcon等國(guó)際賽事上驚艷亮相,“永恒之藍(lán)”勒索病毒爆發(fā)時(shí)全力狙擊�。在互聯(lián)網(wǎng)的各個(gè)角落,時(shí)刻上演著正義與邪惡的對(duì)抗�����,而這些白帽黑客的存在�,更代表著安全智慧和守護(hù)的力量。
