三国大战世界黑客大赛 360成为首支冠军团队

by admin on 2020年5月3日

网络攻防,漏洞为王。2015年网络空间硝烟不断:一方面,俄罗斯APT28组织攻击美国大型企业、疑似美国Duqu2.0入侵俄罗斯厂商卡巴斯基事件分
别曝光,双方攻击者都使用了Windows内核漏洞作为制胜法宝;另一方面,全球漏洞交易市场活跃,法国Zerodium明码标价收购漏洞,意大利
HackingTeam贩卖漏洞的邮件、攻击代码更是随着400G内部数据泄露而大白于天下,漏洞无疑就是网络空间的精准导弹甚至核武器级别军火。

三国大战世界黑客大赛 360成为首支冠军团队

澳门新葡亰信誉平台游戏,对待荣誉和金钱的态度,可能是白帽子黑客和黑帽子黑客的最大区别。

在攻击者疯狂使用漏洞武器的同时,Windows等系统和软件也在紧锣密鼓地抢修漏洞,更有一批“安全守卫者”黑客将漏洞无偿报告给软件商,帮助厂商打补丁保护用户,而微软等厂商也会对漏洞报告者进行公开致谢。

澳门新葡亰信誉平台游戏 1

黑帽子在乎实惠,能够通过非法手段搞到钱才是最重要的。至于荣誉则是避之不及,全世界都不知道他的存在才好。

接下来,我们将对Adobe、Apple、Google、Microsoft四个影响数亿用户的漏洞“大户”进行2015年盘点,看看都有哪些黑客团队荣登这些厂商的漏洞致谢榜。

北京时间3月16日凌晨,在加拿大温哥华举行的Pwn2Own
2017世界黑客大赛上,360安全战队首战告捷,仅用时3秒就攻破了Adobe
Reader,成功赢得5万美元全额奖金和6分满分,成为本届赛事首支冠军团队。

白帽子黑客荣誉至上,至于金钱,“取之有道”是这一种族的自画像。

Adobe:“漏洞之王”的救赎

三国大战360为中国赢得首冠

在巨头林立的IT世界,白帽子的荣誉有一种标准的格式,那就是巨头的“致谢”。如微软、苹果等都会对提交重大漏洞的组织个人发布致谢涵,甚至现金奖励。和你想象中不同,这些致谢并不能简单地理解为虚名大于实惠,而是行业巨擘对于团队的光荣加冕。说起来,白帽子和镖局有很多共同点,那就是对团体的荣誉背书是重要的无形资产——跑江湖靠的是江湖喝号。“你若盛开,清风自来”是白帽子的生存模式之一。

Adobe
的安全性一向饱受诟病,但由于Adobe Flash Player的跨平台广泛应用,现时仍然“讲不出再见”。在Zerodium公布的漏洞收购价格表
上,Flash漏洞最高可以卖到8万美元!2015年,Adobe送出近300个漏洞致谢。在Flash彻底退出历史舞台之前,但愿守卫者黑客们多帮助
Adobe再抵挡一阵。

Pwn2Own由美国五角大楼网络安全服务商TippingPoint的项目组ZDI主办,今年已是第十届赛事,吸引了来自中国、德国、美国三个国家的11支战队参赛,比赛项目数量和奖金均为历届最高。

在记者和诸多知名的白帽子团队掌门人的接触中,“致谢数量”是他们“严重”关心的硬指标。

2015年Adobe漏洞致谢榜

致谢对象

报告漏洞数量

Goole Project Zero

101

ZDI

55

Qihoo360

55

bilou/NicolasJoly

42

Alibaba

14

Keen Team

8

Trend Micro

5

Fortinet

4

KnownSec

2

Palo Alto Networks

2

FireEye

1

McAfee

1

PKAV

1

Venustech

1

作为Pwn2Own 2017的第一个挑战项目,Adobe
Reader是全球流行的PDF阅读器,拥有数以亿计用户。近年来Adobe
Reader不断加固安全防线,更搭配了强悍的沙箱保护。在著名“网络军火商”Zerodium公布的漏洞收购价目表上,完全攻破Adobe
Reader的漏洞悬赏价格高达8万美元,与Chrome、Edge、IE和Safari四大浏览器相同。

2015呼啸而过,各大白帽子黑客团队的“致谢”KPI都达标了吗?把各大公司发出的致谢信搜集起来,可以轻松盘点出各大团队今年的“战绩”。别急,先来看一张非常值钱的图表吧,这是漏洞军火商ZERODIUM为不同产品的漏洞开出的价码。

Apple:越狱难度与日俱增

据悉,本届比赛共有两支团队报名挑战Adobe
Reader,360安全战队率先出战。比赛中,360安全战队使用了Adobe
Reader漏洞和Windows 10漏洞的“组合拳”攻击:首先利用Adobe
Reader漏洞实现远程代码执行,再利用Win10系统的内核漏洞突破Adobe沙箱堡垒,在比赛中只要打开一个PDF文件就能成功控制电脑。

其实,ZERODIUM为特别的iOS漏洞开出的最贵价码,比图表中最贵的漏洞还要贵一倍,达到了丧心病狂的100万美元,而且据说有人真的拿到了这笔钱。那么,现在就让我们带着沉重的心情来看看这些把漏洞无私提交给厂商的白帽子究竟损失了多少钱吧。。。

苹果iOS系统的远程越狱漏洞价值百万美金。对越狱爱好者来说,自然不愿意见到漏洞被封堵,但对于普通的苹果用户来说,iOS的安全更新实实在在是一件儿好事,这意味iPhone、iPad等产品安全性不断提升。

由于攻击代码质量极高,整个比赛过程仅用时3秒就顺利完成。经过Adobe、微软和主办方ZDI审核,360安全战队的攻击完美有效,赢得Adobe
Reader项目最高级别的5万美元和6个积分奖励。

AdobeAdobe在渗透防御中总是扮演猪队友的角色。Flash
Player“体质虚寒”,但是又被各家平台轮番宠幸,所以成为了各路黑客攻击的突破口。查看“价目表”,发现Adobe
PDF Reader和Flash
Player的漏洞都可以买到8万美金,说明这些漏洞还是很有价值的。

2015年苹果漏洞致谢榜

致谢对象

报告漏洞数量

Google Project Zero

44

ZDI

24

TaiG

11

Qihoo360

9

FireEye

7

Alibaba

5

KeenTeam

4

Tencent

3

Fortine

2

Palo Alto Networks

1

黑客“找茬”让产品更安全

在Adobe战场的乱斗中,谷歌“0计划”当仁不让地抓到了101个漏洞,稳居第一。而国内主要的团队几乎全部榜上有名。360以55个排名并列第二,阿里巴巴和新兴安全公司知道创于也榜上有名。值得注意的是,小而美的技术向团队Keen
Team和誓与AV争宅男的PKAV团队也做出了贡献。

Google:开创漏洞奖励先河

360安全战队负责人郑文彬表示,尽管Pwn2Own设置的奖金数量低于“网络军火商”悬赏的漏洞价格,但360作为负责任的安全厂商,必须把漏洞提交给厂商官方修复,而不能让漏洞被恶意攻击者利用。

多数业界人士都认为iOS漏洞是最难挖掘的漏洞种类之一。因为iOS用户手里掌握了大量的金钱和社会资源,所以每一个漏洞的爆出都恨不得关系到世界和平。但从“越狱”这个巨大而繁荣的产业上来看,就可以得知而有关苹果的一切漏洞都具有“贵”的特性。从榜单上看,太极团队和Keen
Team是这个领域的老兵了,对于这两个团队来说,苹果系统的漏洞搜寻是他们压箱底的绝活。所以拿到好成绩并不让人意外。

Google
是最早花钱鼓励黑客寻找自家漏洞的企业,但其漏洞信息比较封闭,往往只公布漏洞报告者榜单,不公开具体涉及哪些漏洞。从今年8月和12月开
始,Google的Android系统和Chrome浏览器才分别公开具体漏洞编号。这也是Google致谢的漏洞数量相对较少的重要原因。

据Pwn2Own大赛主办方介绍,微软、Adobe等厂商在比赛中作为裁判,能够第一时间获得漏洞细节和攻击方法,从而及时制作补丁。360安全卫士官方微博也表示,黑客攻击比赛可以推动厂商提升产品安全性,让世界上每一台智能设备都变得更安全。

可以说微软是对自家漏洞最为“渴望”的公司,为此他们专门成立了漏洞奖励计划。一个名叫Jason的大胡子每天奔走世界各地用现金“利诱”白帽子们提交漏洞。

2015年Google漏洞致谢榜

致谢对象

Android漏洞

Chrome漏洞

合计

Qihoo360

7

2

9

Trend Micro

5

0

5

Mariusz Mlynski

0

4

4

Google Project Zero

2

0

2

Copperhead Security

2

0

2

Exodus Intelligence

2

0

2

Zimperium

1

0

1

Alibaba

1

0

1

Baidu

1

0

1

Keen Team

1

0

1

在攻破Adobe Reader的比赛中,360战队由360Vulcan
Team和360代码卫士团队联手出击。其中,360Vulcan
Team是360安全卫士的攻防研究团队,在世界各大黑客赛事上多次荣获冠军,也是首支攻破IE、Chrome和VMware
Workstation的亚洲团队,打破了欧美国家在这些项目上的统治地位。

【微软漏洞奖励计划负责人JasonShirk】

Microsoft:免费致谢+赏金计划

360代码卫士则面向企业源代码安全需求,实现软件安全开发生命周期管理,运营着国内规模最大的开源软件源代码安全检测公益项目。团队曾多次发现Windows系统、多款浏览器、Adobe
Flash
Player及各种开源基础组件的安全漏洞,已获得相关国际厂商29次公开致谢。

虽然微软在今年大幅提高了其安全性,不过在公众心中,“软柿子”的形象可能还要很长时间才能改观。榜单显示,360和百度都以26个漏洞并列第四位。不过360在Edge漏洞和赏金漏洞方面都有斩获,而百度在这两项上收获为零。

微软的漏洞致谢主要来自于每月“补丁星期二”的安全公告,此外微软也推出了赏金计划,专门给Mitigation Bypass(意指绕过系统安全机制的攻击技术)和Edge浏览器等专项产品提供漏洞奖金。

谷歌对于漏洞也是奖励的态度,不过却在公布漏洞细节方面比较保守。实际上,在今年下半年他们才开始公布漏洞的具体细节。在这一个榜单中,360终于替中国公司拿到了榜首的位置。

2015年微软漏洞致谢榜

致谢对象

安全公告

漏洞数量

赏金计划

总计

Edge漏洞

绕过技术

ZDI

154

0

1

155

Google Project Zero

93

0

1

94

Palo Alto Networks

34

0

0

34

Qihoo360

22

3

1

26

Baidu

26

0

0

26

Versign iDefense

25

0

0

25

Tencent

14

1

1

16

FireEye

14

1

0

15

Trend Micro

15

0

0

15

Keen Team

11

0

0

11

NSFOCUS

6

0

1

7

Fortinet

7

0

0

7

KnownSec

6

0

0

6

iSight Partners

3

0

0

3

McAfee

2

0

0

2

Venustech Adlab

1

0

0

1

VRV

1

0

0

1

综合四大公司的漏洞来看,谷歌0计划当仁不让拿下了漏洞王称号,这也是对硅谷极客们实至名归的奖赏。而排名第二的ZDI主要靠收购漏洞上榜,胜之不武。让心欣喜的是,第三名的位置被360拿下,这和2015年360祭出了旗下几个如涅槃、伏尔甘等大牛云集的重磅团队是分不开的。这些大牛不仅给中国的团队争光,也算没有辜负老周这么多年死磕打安全牌的苦心。百度名列第六,说明其在安全方面也下了很大的功夫,这和2015年百度在全球延揽安全人才的举动是分不开的。作为一个以漏洞为标签的安全团队Keen
Team,拿到第九位的名次,值得业内赞赏,这也是对他们专业精神的一种鼓舞。

 综合以上四家软件巨头的致谢公告,2015年度全球十大黑客天团如下:

单单看微软、谷歌、苹果、Adobe这“四大天王”的Top10排行,就有800+漏洞被爆出,权且按照1万美金一个漏洞的价格来算,这些漏洞就值800万美金。把如此价值连城的漏洞无偿或低价奉献给企业,白帽子果然值得让人尊敬啊。

TOP10

Adobe

Apple

Google

Microsoft

总计

Google Project Zero

101

44

2

94

241

ZDI

55

24

0

155

234

Qihoo360

55

9

9

26

99

bilou/Nicolas Joly

42

0

0

42

Palo Alto Networks

1

1

0

34

36

Baidu

0

0

1

26

27

Trend Micro

5

0

5

15

25

Versign iDefense

0

0

0

25

25

Keen Team

8

4

1

11

24

FireEye

1

7

0

15

23

还有三天,这些战绩就要清零。而2016年的第一个漏洞奖励,会花落谁家呢?这个并不安全的世界还真是让人期待呢。

Google Project Zero
当之无愧夺魁。作为Google旗下精英团队,Google Project Zero不光捍卫着Google的安全,也用实际行动促进各大软件厂商提升
产品安全性;排名第二的ZDI(HP’s Zero Day Initiative)与榜首的漏洞致谢数量差距不大,但ZDI的漏洞大多来自收购而不是靠
自身实力挖掘;排名第四的bilou/Nicolas Joly在一年间转战效力于VUPEN、Google Project Zero和微软,因此单独
列出。

360、百度和Keen Team三支中国团队也成功进入十大天团,分别名列第三、第六和第九。360的优势在于跨平台的安全研究实
力,包括Windows、Android、iOS等系统和Chrome、IE、Edge、Adobe Flash Player等软件均挖掘出不少漏洞;
百度则在2015年发力挖掘IE漏洞,凭借26个IE漏洞致谢脱颖而出;Keen Team也属于全能型选手,但没有特别突出的阵地,今年收获的漏洞致谢
数量反而落后于百度。

在全球TOP10以外,阿里巴巴、腾讯、绿盟科技、知道创宇等国内团队也或多或少地出现在各大软件厂商的漏洞致谢名单中。随着国内互联网行业持续加大对安全的投入,相信会有更多中国的安全团队活跃在世界舞台上。

转自:    

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图