企业黑客化敌为友:“漏洞赏金”频频出现是否
【猎云网(狼蚁网络推广号:ilieyun)】4月12日报道 (文/小白)
编者注:如果你经历过账号被盗,也听说过火车票售票网站和学信网等网站被黑,数据遭到泄露,那么对于未来几年内就有望普及的无人驾驶汽车,你还会万般期待吗?还有声势浩大的大数据、物联网乃至人工智能,除了期待,你会不会也有点担心?考虑到用户的这一点心理,最近漏洞赏金逐渐成为大趋势。百度、小米、360等国内企业纷纷拿出自己的漏洞赏金项目,而在国外,甚至连政府也开始为自己的系统悬赏漏洞了……
有光明的地方,一定也会有黑暗。
当那些富有情怀和理想的企业家向我们描绘了一幅幅未来美好图景时,他们并没有指出随之而来的问题。以互联网为例,随着人们越来越依赖网络时代的便捷生活,我们也逐渐置自身于无形的危险之中。殊不知,一切皆有代价,互联网的发展越是快速,越是凸显了其在基础安全方面的薄弱。
2016年初,乌克兰电力系统遭到恶意软件的攻击,造成大规模停电事故。
2015年,美国人事管理局服务器被攻破,造成美国历史上最大一次政府数据泄露事故,保守估计约2000多万条雇员个人信息泄露,这些信息不仅有姓名、住址,还有社保号码。数据泄露从2014年3月份开始,直至2015年6月才发现。
在往前一个月,美国国税局的安保系统被黑客攻破,不仅造成用户数据泄露,黑客还利用纳税人信息制造假退税申请,骗取5000多万美元退税金。
除了政府方面,还有企业的网络安全系统被黑。
知名的婚外情网站Ashley Madison被黑,注册用户信息和信用卡记录;索尼影业遭到黑客攻击,大量内部资料外泄;美国移动电话服务公司T-Mobile遭到黑客攻击,1500多万用户个人信息泄露等等。
然而历史的网络安全问题还没有解决,我们又要迎来新的问题:无人驾驶汽车。
纵然无人驾驶汽车可以减少交通拥堵,减少交通事故,解放人类司机,但是安全问题呢?
想象一下未来的某个清晨,你像往常一下准备开车去上班,发动汽车——然后仪表盘上弹出一行字:“你的车已经被我们控制了,赎金10万比特币。”
或者你坐在车里吃着早饭看着手机,突然车辆开始不受控制……
你瞧,这么多年了我们的网络安全依然漏洞百出,给了黑客无数可乘之机,那么刚刚起步的无人驾驶汽车,我们又能给予多少信心呢?你愿意坐上一辆随时可能被别人操控的无人驾驶汽车吗?(这个“别人”还不像现在的人类司机那个“别人”,后者至少有监管,前者隐匿于暗处防不胜防。)
然而眼看着无人驾驶汽车就要在最近几十年成为主流,甚至有人相信无人驾驶汽车取代人类驾驶车辆将成为必然,就像百年前汽车取代马车一样,这横亘于其中的安全要怎么解决?
或者说,自互联网诞生以来的网络安全问题到底要怎么解决?
光明战士——赏金黑客崛起
诗人雪莱有一句名言:“冬天来了,春天还会远吗?”
在这里,我们可以说:“黑暗已经笼罩,黎明还会远吗?”
要了解当下的黑暗形势,我们先来了解一下这些黑客。芬兰安全专家Mikko Hypponen在一次西南大会上把现今的黑客分成了五种类型:
• 友好的“白帽子”黑客,他们也攻击系统安全,但是目的在于发现系统的薄弱之处,以便于修复和完善系统。这类“白帽子”黑客也是我们的赏金黑客主力军。
• 激进黑客,比如“匿名者(Anonymous)”,他们的行动多带有政治性,但不会长久因政治目的而行动。比较著名的案例是2014年索尼影业糟黑,起因大概是一部电影。
• 国内和国外情报机构,过去10年里这个问题越来越严重。大家一定还记得2013年的斯诺登吧?国家级别的黑客行为,国家之间的黑客攻击,这个真有点难办了。
相关内容可以参见猎云原创好文《苹果解锁门引发“加密”连锁反应,那么问题来了:真英雄还是逞英雄?》
• 极端主义黑客,到目前为止真正有威胁的要数ISIS。
• 不法分子黑客,大约95%的恶意软件出自这群黑客之后,目的在于钱。比如美国国税局被黑,以及未来的无人驾驶汽车被绑架等等。
也就是说,我们当前网络安全的最大威胁来自这些散落各处的不法分子黑客。他们如黑暗中的影子一般,伺机作案令人防不胜防。哪里有“bug”,哪里就有他们的身影。其实解决方案很简单,就是消灭这些漏洞。
早在20多年前,就已经有人给出了极具借鉴意义的漏洞消灭方式——“漏洞赏金项目。”
Netscape创办于1994年,因推出同名浏览器而闻名。1995年他们发布了互联网史上第一个漏洞赏金项目。谁能在新产品中找到安全漏洞,谁就能获得诱人的现金奖励。那时,公司的市场副总裁Matt Horner是这么解释这个项目的:“通过奖励那些能够快速找到并向我们汇报漏洞的用户,这个项目将鼓励公众对我们的新产品提出意见和建议,并帮助我们不断创造安全稳定可靠的产品。”
Netscape的这个想法放到现在来看简直棒呆,但是在当时并没有获得其他软件开发商的共鸣。
直到十几年后,我们才看到Google、Facebook以及微软先后开始了自己的漏洞赏金项目。这个时期,正是互联网爆炸式发展的时期,也是黑客攻击日益频繁的时期。而且赏金数目也一年比一年高,就以Google为例,到2014年,漏洞赏金已是2010刚开始这个项目时的5倍;微软对严重漏洞的发现者给出的奖金是10万美元。另外漏洞赏金平台也顺势而生。
如果说互联网的繁荣带来了漏洞赏金项目的普及,那么对无人驾驶汽车安全的顾虑则为“赏金黑客”的崛起制造了契机。
这里不得不提最近刚发布漏洞赏金项目的科技公司Uber。Uber不仅仅是发布高额赏金,它还要引导“赏金黑客”们去挖掘系统中的漏洞,主动地提高“赏金黑客”的工作效率。公司产品经理表示:“我们希望安全人员能够享受这个过程。”
言下之意是,如果这样还找不到“bug”,要么是你们技术不行,要么是我们的系统真的很安全。一边向黑客们下战书,一边用实际行动向消费者证明自己系统的安全性,可谓一石二鸟。