漏洞:互联网时代的阿喀琉斯之踵 挖掘漏洞哪家强?

  互联网不缺乏漏洞 而是缺乏发现漏洞的眼睛。  近段时间来,iCloud艳照门事件、新浪微博支付系统漏洞事件,再到雅虎疑似被黑客借“shell shock”破壳漏洞入侵事件。“漏洞”正在用一次次网络安全事件刷新着存在感。而以智能设备安全挑战为内容的GeekPwn赛事更是“火上浇油”,让“漏洞”这个词不断闪现在我们眼前。

  互联网不缺乏漏洞 而是缺乏发现漏洞的眼睛。

  近段时间来,iCloud艳照门事件、新浪微博支付系统漏洞事件,再到雅虎疑似被黑客借“shell shock”破壳漏洞入侵事件。“漏洞”正在用一次次网络安全事件刷新着存在感。而以智能设备安全挑战为内容的GeekPwn赛事更是“火上浇油”,让“漏洞”这个词不断闪现在我们眼前。

  漏洞是什么?

  “漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。”百度百科上是这样描述漏洞的,但因载体的不同,造成的影响不同,漏洞也是分类型、分等级的。

  苍蝇不盯无缝的蛋,入侵者只要找到复杂的计算机网络中的一个缝,就能轻而易举地闯入系统。所以了解这些缝都有可能在哪里,对于修补它们至关重要。软件编写存在bug、系统配置不当、口令失窃、嗅探未加密通讯数据、设计存在缺陷、系统攻击等都属于漏洞的范畴。

  全球最大的电脑软件提供商微软将系统漏洞严重程度从低到高定义为注意、警告、重要、严重四个等级,重要与严重级别的漏洞的影响力远远超过注意、警告级别的漏洞。

  Windows系统发布以来,随着全球的白帽子黑客的共同努力,系统中存在的漏洞会不断被发现,这些漏洞会不断被微软修补,或在以后发布的新版本系统中得以纠正。新的系统漏洞也会不断出现,系统漏洞问题会长期存在,成为互联网时代的阿喀琉斯之踵。既然无法一劳永逸的解决,尽早发现并且修复漏洞才能将影响降到最低。

  挖掘漏洞哪家强?

  就像医生诊断病人的病情一样,安全界的白帽子黑客便是专业挖掘漏洞的人,那么问题来了:挖掘漏洞到底哪家强?

  人们普遍有一个思维定势,认为与信息安全相关的技术自然是外国人更厉害,或者是做杀毒软件的公司,但事实上,最强的漏洞挖掘专家和团队鲜为人知。据媒体报道和权威数据资料显示,这一殊荣当属于一支中国团队——KEEN公司安全研究团队Keen Team。

  Keen Team被媒体评价为中国最佳的白帽子黑客团队,其向微软、苹果、谷歌等全球知名厂商提交了数百个“严重”级别的安全漏洞,是全世界范围内发现并报告安全漏洞最多的团队。该团队发现的全球主流软件的高危漏洞超过三百多个,被福布斯杂志评价“发现的苹果漏洞是苹果整个安全团队的两倍还多”,而国内赫赫有名的某美国上市的安全巨头发现的严重漏洞数目只有四十多个,如此相比,其“段位”可想而知。

  值得一提的是,曾连续三年获得全球计算机漏洞挖掘白金奖,入选Google安全名人堂,被称为世界漏洞发现第一人的吴石正是Keen Team的首席科学家。

  为了更直观的解释漏洞等级问题,KEEN公司CEO、Keen Team安全研究团队负责人王琦在一次媒体见面会上表示:“如果将漏洞比喻成人们身上的疾病,普通的网站漏洞就相当于‘感冒’一样,而以我们团队的挖掘漏洞能力,同样的“病人”我们可以看出他们是不是得了‘癌症’。“

  盘点目前发现的所有漏洞可以看出,应用软件中的漏洞远远多于操作系统中的漏洞,特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。在国内著名的乌云上漏洞报告平台上,每天都有相当数量底层漏洞被白帽子黑客、黑客技术爱好者,甚至在校大学生发现并提交给厂商进行修复。

  用医生瞧病做个比方,大多数被发现的漏洞更像是普通的感冒发烧,而严重级的系统级漏洞则是伤及健康,甚至威胁生命的凶险病况,需要Keen Team这样的专家团队来诊疗,但这样的专家团队国内并为数不多,寥寥可数。可以说,漏洞分级,黑客有别。

  然而,除了像Keen Team、乌云、绿盟这样的好“医生”外,“黑心”医生的数量更是惊人。一个严重漏洞被没有道德黑客利用实施网络攻击,危害可能会更大。根据B2B International联合卡巴斯基实验室进行的2013全球企业IT安全风险调查,遭遇网络攻击后,给大型企业造成的平均损失为64.9万美元。

  可想而知,如果企业引入先进的安全管理方法,采用了高质量的IT安全解决方案,并对IT基础设施进行了适当的保护,很多安全漏洞可以被避免,或者及时发现和修复。但是像Keen Team安全研究团队在世界上最安全的系统平台上具有挖掘高级别安全漏洞能力的团队还是太少。

  据悉,由KEEN公司安全研究团队Keen Team主办的GeekPwn(极棒)极客嘉年华活动将于10月24日在北京举办。KEEN公司CEO王琦表示,GeekPwn旨在通过活动吸引一流的极客发现智能设备存在的安全问题,推动设备厂商及时修复存在的问题,从而进一步增强产品的安全性,为普通消费者使用安全提供保障。

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

为您推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

返回顶部