网络攻防,漏洞为王。2015年网络空间硝烟不断:一方面,俄罗斯APT28组织攻击美国大型企业、疑似美国Duqu2.0入侵俄罗斯厂商卡巴斯基事件分
别曝光,双方攻击者都使用了Windows内核漏洞作为制胜法宝;另一方面,全球漏洞交易市场活跃,法国Zerodium明码标价收购漏洞,意大利
HackingTeam贩卖漏洞的邮件、攻击代码更是随着400G内部数据泄露而大白于天下,漏洞无疑就是网络空间的精准导弹甚至核武器级别军火。

三国大战世界黑客大赛 360成为首支冠军团队

在攻击者疯狂使用漏洞武器的同时,Windows等系统和软件也在紧锣密鼓地抢修漏洞,更有一批“安全守卫者”黑客将漏洞无偿报告给软件商,帮助厂商打补丁保护用户,而微软等厂商也会对漏洞报告者进行公开致谢。

澳门新葡亰 1

接下来,我们将对Adobe、Apple、Google、Microsoft四个影响数亿用户的漏洞“大户”进行2015年盘点,看看都有哪些黑客团队荣登这些厂商的漏洞致谢榜。

北京时间3月16日凌晨,在加拿大温哥华举行的Pwn2Own
2017世界黑客大赛上,360安全战队首战告捷,仅用时3秒就攻破了Adobe
Reader,成功赢得5万美元全额奖金和6分满分,成为本届赛事首支冠军团队。

Adobe:“漏洞之王”的救赎

三国大战360为中国赢得首冠

Adobe
的安全性一向饱受诟病,但由于Adobe Flash Player的跨平台广泛应用,现时仍然“讲不出再见”。在Zerodium公布的漏洞收购价格表
上,Flash漏洞最高可以卖到8万美元!2015年,Adobe送出近300个漏洞致谢。在Flash彻底退出历史舞台之前,但愿守卫者黑客们多帮助
Adobe再抵挡一阵。

Pwn2Own由美国五角大楼网络安全服务商TippingPoint的项目组ZDI主办,今年已是第十届赛事,吸引了来自中国、德国、美国三个国家的11支战队参赛,比赛项目数量和奖金均为历届最高。

2015年Adobe漏洞致谢榜

致谢对象

报告漏洞数量

Goole Project Zero

101

ZDI

55

Qihoo360

55

bilou/NicolasJoly

42

Alibaba

14

Keen Team

8

Trend Micro

5

Fortinet

4

KnownSec

2

Palo Alto Networks

2

FireEye

1

McAfee

1

PKAV

1

Venustech

1

作为Pwn2Own 2017的第一个挑战项目,Adobe
Reader是全球流行的PDF阅读器,拥有数以亿计用户。近年来Adobe
Reader不断加固安全防线,更搭配了强悍的沙箱保护。在著名“网络军火商”Zerodium公布的漏洞收购价目表上,完全攻破Adobe
Reader的漏洞悬赏价格高达8万美元,与Chrome、Edge、IE和Safari四大浏览器相同。

Apple:越狱难度与日俱增

据悉,本届比赛共有两支团队报名挑战Adobe
Reader,360安全战队率先出战。比赛中,360安全战队使用了Adobe
Reader漏洞和Windows 10漏洞的“组合拳”攻击:首先利用Adobe
Reader漏洞实现远程代码执行,再利用Win10系统的内核漏洞突破Adobe沙箱堡垒,在比赛中只要打开一个PDF文件就能成功控制电脑。

苹果iOS系统的远程越狱漏洞价值百万美金。对越狱爱好者来说,自然不愿意见到漏洞被封堵,但对于普通的苹果用户来说,iOS的安全更新实实在在是一件儿好事,这意味iPhone、iPad等产品安全性不断提升。

由于攻击代码质量极高,整个比赛过程仅用时3秒就顺利完成。经过Adobe、微软和主办方ZDI审核,360安全战队的攻击完美有效,赢得Adobe
Reader项目最高级别的5万美元和6个积分奖励。

2015年苹果漏洞致谢榜

致谢对象

报告漏洞数量

Google Project Zero

44

ZDI

24

TaiG

11

Qihoo360

9

FireEye

7

Alibaba

5

KeenTeam

4

Tencent

3

Fortine

2

Palo Alto Networks

1

黑客“找茬”让产品更安全

Google:开创漏洞奖励先河

澳门新葡亰,360安全战队负责人郑文彬表示,尽管Pwn2Own设置的奖金数量低于“网络军火商”悬赏的漏洞价格,但360作为负责任的安全厂商,必须把漏洞提交给厂商官方修复,而不能让漏洞被恶意攻击者利用。

Google
是最早花钱鼓励黑客寻找自家漏洞的企业,但其漏洞信息比较封闭,往往只公布漏洞报告者榜单,不公开具体涉及哪些漏洞。从今年8月和12月开
始,Google的Android系统和Chrome浏览器才分别公开具体漏洞编号。这也是Google致谢的漏洞数量相对较少的重要原因。

据Pwn2Own大赛主办方介绍,微软、Adobe等厂商在比赛中作为裁判,能够第一时间获得漏洞细节和攻击方法,从而及时制作补丁。360安全卫士官方微博也表示,黑客攻击比赛可以推动厂商提升产品安全性,让世界上每一台智能设备都变得更安全。

网站地图xml地图