本篇文章2861字,读完约7分钟

“目前的形势相当严峻。如果这种情况继续下去,没有人能够拥有一台没有被入侵的计算机,我们已经为灾难做好了准备。”-维克拉姆·菲塔克国家安全实验室首席执行官

安全企业Nss Lab正在推动建立一个集中的赏金平台,以便那些有大量漏洞的公司,如甲骨文、苹果、谷歌、mozilla、adobe等。,可以至少以与在线黑市买家相同的价格购买零日漏洞。兰德公司今年的一份调查报告显示,一些主要的零日漏洞可以在黑市上以30万美元的价格出售。一些安全专家说这个数字可能是100万。

然而,国家安全局的计划缺乏来自各方的支持,很难提高漏洞的报酬率,更不用说那些坚持不愿支付一分钱的企业了。Adobe就是一个例子。尽管去年有3800万用户的密码被黑客窃取,但该公司仅表示将与“报告漏洞的用户和安全社区研究人员”合作,并在网站上识别他们的建议。

其他不愿提供奖金的公司包括苹果、思科和甲骨文。后者生产的java软件由于漏洞众多,容易受到黑客攻击,多年来一直受到各方的批评和指责。

一些鼓励漏洞奖励的公司支持nss Lab的奖金池计划,但他们所能提供的价格无法与地下网络相比。例如,去年,雅虎!发现了软件中的一个漏洞,并将其提交给安全公司高科技桥。雅虎奖励该公司在雅虎商店以12.5美元的折扣出售的t恤、钢笔和其他小商品。在遭到严厉嘲笑后,雅虎最终将其奖金提高至15,000美元。

“这是开玩笑吗?你们将来能一起玩吗?”

今年9月,谷歌开始为“普通”漏洞提供15,000美元,这是之前奖励的三倍。与此同时,谷歌在其博客中表示,将为一个“令人印象深刻”的漏洞支付3万美元。尽管脸谱网声称它的一般漏洞奖金只有2000美元,但它也为一个非常严重的漏洞支付了33500美元。最初反对奖金池平台计划的微软也在2013年底将奖金上限提高至10万美元。杨宇(tk),中国著名的安全研究员,是仅有的两位获奖者之一。

科技巨头与网络黑市上演漏洞争夺战

其他急于了解自身漏洞的公司会雇佣专业的漏洞查找团队,比如旧金山的bug crunch,该公司为漏洞提供最高20,000美元的价格。该公司成立两年来,已经在世界各地招聘了13,000多名白帽子。

巴格人群中的赏金之王是一个24岁的大学生,本萨德吉普尔。他在加州萨克拉门托大学学习,主修计算机信息安全。小时候,他学会了黑客技术,绕过他母亲设置的密码,阻止他玩电脑游戏。

据估计,仅今年一年,就挖了30多个漏洞,获得了23,000美元。本说黑市上的人总是联系他去买漏洞,但他从来不接受。因为他“不想赚脏钱”。

国内第三方漏洞提交平台五云是第一个提出白帽“站着赚钱”的企业。乌云集中在行业内和人群中的大量安全爱好者,包括数以千计的活跃的白帽子。它们帮助企业修复安全漏洞或整理解决方案的知识库。由于吴云近年来的努力,大型互联网企业的安全水平提高到了一个更高的水平,白帽报告的漏洞得到了重视、确认和处理。然而,仍有一些互联网公司和传统行业对安全不够重视,导致安全事件频发,给用户带来安全隐患。

科技巨头与网络黑市上演漏洞争夺战

巨大的黑色利益在“黑色产业”中流动,基于企业和用户的痛苦,给互联网造成无法估量的经济损失。然而,如果互联网公司能够重视安全研究人员的劳动,并提供他们的客观和合法的收入来调动安全行业的积极性,许多安全问题将被及时发现并积极处理。

阿里巴巴、腾讯、百度、360、JD.com、新浪和网易都有自己的漏洞响应中心,对提交漏洞的白帽子给予相应的奖励。几年前,付钱给攻击你的人是一个激进的想法。但是互联网世界变化如此之快,以至于激进化现在变得切实可行。网络空.有成千上万的黑客天才,他们拥有漏洞发现技术把这些人聚集在一起,给他们一个机会认识自己,站起来赚钱,这难道不是一件好事吗?

科技巨头与网络黑市上演漏洞争夺战

五云联合创始人孟卓向安牛介绍,五云白帽一个月内的漏洞奖金金额相当于其过去六个月的工资总额。平均来说,白帽子每个月可以获得一般工资水平1~3倍的漏洞奖金。弱点奖励,通过乌云和国内企业的努力,给白帽子一个展示自己、被企业认可、获得法律利益的渠道,为行业创造巨大价值。

Synack由两名前国安局官员于2013年创建,使用另一种方法来发现软件漏洞。他们没有招募大量黑客,而是雇佣企业、大学和政府的安全专家,包括国家安全局的现有雇员。synack提供的单个漏洞的最大奖金通常为5000美元。

其他公司将发现的零日漏洞出售给世界各地的政府机构,包括美国情报机构和军事机构。他们利用这些漏洞开发利用程序来渗透其他国家的计算机系统。工控安防专业制造商严恩科技总裁孙曾告诉安牛:“在网络黑市上,重要的工控安防漏洞可以卖到60万到100万欧元。”

“在极少数情况下,为了收集顶级情报信息,政府授权国家安全局使用零日漏洞。”-美国总统顾问团

因为这些漏洞有时无法修复,公众面临危险。此外,世界各国对购买零日漏洞的需求也极大地推动了在线黑市。为此,美国政府受到了批评。

找到漏洞并不容易,即使对专业软件公司来说也是如此。这主要是因为传统的计算机教育只注重代码编程来实现功能,而不注重安全漏洞,更不用说符合安全规范的代码编程了。因此,很多业内人士认为这是一个雇佣黑客寻找漏洞的好方法。

安全咨询服务提供商固安天下的总经理李华告诉《安全牛》,对于大型组织来说,聘请黑客进行公开测试的最大问题是信任和风险控制。因此,作为客户信赖的顾问,来自世界各地的固安专家进行风险控制,沟通客户需求,然后与五云平台组织的行业内著名的白帽子合作,进行行业应用的深入测试。目前,在一些知名金融机构取得了很好的效果,得到了行业客户的认可。

科技巨头与网络黑市上演漏洞争夺战

“中国的知名金融服务机构已经实施了公开测试,并取得了良好的效果。这是未来的发展趋势。”-李华

这篇文章是作者独立的观点,并不代表老虎嗅探网络的立场

向作者提问并加入语料库

三链:吃昆虫、吃厕所和油炸??3.模纸锻造,模具模具模具模具模具模具模具模具模具模具模具??. 95镣铐和镣铐??0.07%锝58.....

当前流行度:0

[娇娇]http://itougu.jrj/view/189514.j.....

当前流行度:0

1.1 .涓涓细流??邦邦、邦邦、邦邦、交邦和廖廖??要坚强,要坚强。.....

当前流行度:0

你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道........

当前流行度:0

缇落入三条锁链??3镝??6铥??0(乌桕脂含有3条链吗??4镝??4铥??0)死,死,死,死又死,4.72??......

当前流行度:0

那墙,墙,墙和墙呢??钳子里有丰富的镰刀、叉子、叉子、nan和链条,这些都是銮棒的来源.....

当前流行度:1

你想挑起镝,破坏哮喘吗??缇,汤,汤,3汤和柊镶嵌??链条??4."敌鲁,缇,汤,汤,汤."??.....

当前流行度:0

咸丰、大树、细垴、十二寸、相互涓涓??环秀细链,涓涓细流,砸铙钹,甩铙钹,砸铙钹,砸铙钹,砸响,砸得咝咝作响??葛格·岳格·柊.....

当前流行度:0

来源:国土报中文版

标题:科技巨头与网络黑市上演漏洞争夺战

地址:http://www.g3gw.com/new/24811.html