经常关注新闻的朋友对于“XX公司被爆在XX软件上存在漏洞,导致XX人或者设备受到影响”这类消息,显然是可以说是非常的熟悉。例如波及全球采用Intel处理器PC的“Meltdown”和“Spectre”漏洞,又或者手机厂商在更新日志中提及修复了XX个漏洞等等,均属于此类。 作为一向十分注重自家生态系统安全的苹果,最近在美国拉斯维加斯举行的年度黑帽安全会议(Black Hat Security Conference)上宣布,将向网络安全研究人员提供高达100万美元,鼓励他们寻找iPhone上的漏洞,这也成为了业界创纪录的赏格。而无独有偶的是,在一天前苹果方面也宣布将为安全研究人员提供特殊版本iPhone。以便他们更容易找到漏洞。众所周知,任何一款软件都不可能会完全没有漏洞,但是这些漏洞显然不会主动跳出来。但其如何被外界所知晓呢?除了官方自己的测试团队之外,民间高手的“帮忙”显然也不可忽视。而这些“民间高手”就是俗称的白帽黑客,这是一批使用黑客技术来维护网络关系公平正义的hacker,包括苹果联合创始人Stephen Wozniak,以及Linux之父Linus Torvalds,也都是大名鼎鼎的白帽黑客。当然,让这些民间高手用爱发电显然并不长久。因此为了调动这些白帽黑客的主观能动性就显得很有必要了,而目前业界的漏洞赏金计划可以说已经是科技企业的标配,国外的微软、谷歌、Facebook,国内的腾讯与阿里也都有类似的悬赏计划。白帽黑客发现漏洞换取赏金是个行之有效的交易,据悉仅在2018年,微软就为漏洞发现者支付了200万美元的奖金。在相当长的一段时间里,苹果针对待白帽黑客的态度并不明确,采用的基本也都是漠视的态度,并不会被告知不能私自泄露漏洞,同时也不会明确什么时候才会封堵的回复。并且这类白帽黑客在那个时期,往往只有被“招安”一条路,例如Jonathan Zdziarski与Nicholas Allegra等多位iOS越狱界的元老级人物,都曾被苹果方面招募。事实上,苹果方面直到2016年的年度黑帽安全会议上,才首次宣布为发现软件重大漏洞和缺陷的个人提供现金奖励,最高奖金为20万美元。苹果安全工程和架构负责人Ivan Krstic是这样形容漏洞赏金计划,“把绝大部分的致命漏洞找出来是很难的,为了奖励芸芸研究者花费的时间、精力以及富有创造力的发现,苹果才设置这么庞大的奖金池”。不过苹果关于“庞大”的概念,可能与实际情况有点冲突。在其公布了首期漏洞赏金计划没多久,一家名为Exodus Intelligence的公司就在黑市上公开收购iOS 9.3及以上的版本的0day漏洞,并叫价为50万美元。被邀请参加苹果漏洞赏金计划的Synack首席安全研究员PatrickWardle就有这样的论断,“向苹果报告的漏洞都非常有价值,如果你只是为了钱,显然也不会直接交给苹果”。但这已经是几年前的价码了,随着时间的推移,现在iOS 13远程越狱漏洞的黑市价格高达200万美元。至于说iOS漏洞的价格为何会如此之高,其原因就与游戏中难度越大的BOSS,掉落越好的装备一样,闭源的iOS拥有极高安全性,外界很难具体研究其系统代码的疏漏。而封闭的iOS想要“越狱”,就只能靠黑客通过找寻iOS内核或者硬件级漏洞,来获得ROOT权限。用户在越狱之后能够自定义UI、使用美化插件,乃至通过第三方应用商店下载一些被破解的收费APP。当然,伴随着iOS越狱的式微,靠越狱本身赚钱已经不太现实,现阶段iOS漏洞越来越贵的原因其实是被黑产团队推波助澜所造成。根据曾经在全球首个完美越狱iOS 12的阿里安全潘多拉实验室安全专家说法,黑产团队可以在App中植入混淆越狱代码,当不知情的用户下载APP并启用后,用户设备会被悄悄越狱,进而导致Root权限也会被黑灰产团伙掌控,以至于设备上的所有账户密码等信息都会被窃取,显然这些敏感信息才是最值钱的。漏洞对于黑灰产来说是如此的有用,以至于目前通过洋葱路由等匿名渠道,在网络上活跃着不少0day漏洞的交易市场。白帽黑客始终游走在灰色地带,并且不同于杀毒软件与防火墙采用的防御策略,其往往是模拟黑客攻击行为,通过漏洞扫描、渗透测试、APT攻击来挖掘漏洞。一般来说走上这条路的程序员无外乎三种原因,物质奖励、同行认可,以及追求智力上的快感。要知道配合互联网的匿名性、黑客技术与数字货币,将漏洞在黑市出售的安全性对于这些网络安全技术专家来说是很高的。如果说苹果依然维持最高20万美元的奖金,面对黑市上10倍的诱惑,能坚守底线的白帽可能并不会很多。而现在苹果给出的赏格是100万美元,再加上这样一个全球知名科技巨头的认可,可谓是名和利都有了,因此自然就会有更多人将漏洞交给苹果,而不是闷声发大财。值得一提的是,或许有部分萌新程序员看到100万美元的赏金就走不动路,觉得找到个漏洞就能赚的盆满钵满。但这里还是要给这类脑子发热的程序员降降温,当科技巨头的“赏金猎人”是件赢家通吃的局面,参与项目的可并非只有一位黑客,如果别人率先找到漏洞,就标志着你数月的努力前功尽弃,同时也别忘了,厂商自己同样也在积极寻找漏洞。这就导致现在各大厂商给出的赏金呈现出马太效应,极少数白帽黑客拿走了大部分赏金,其他人只能跟着喝汤。另外尽管各大厂商都在宣传赏金高达XX万美元,但这通常指的是上限,一般很难拿到这个数。这一点从目前360旗下的补天漏洞响应平台就能看出,在官方放出的风云白帽排行榜上,有些名字总是排在前列,但是获得的赏金本身却并不是很惊人。所以虽然苹果给出的100万美元很诱人,但如果你不是在业内技术达到登峰造极的水平,还是洗洗睡吧。【本文图片来自网络】Chrome Web商店尽管有着大量的用户,表现却并不太尽如人意。
|