安全秘密:黑客揭秘失衡的数字军火发展

标签:安全网络安全技术企业黑客

访客:30991  发表于:2015-08-14 10:39:06

  序言:如今,飞机大炮等武器更多的作用在于威慑,而网络攻击在成为新的“数字军火”。


  现在人们在听到越来越多的恶意攻击事件,越来越多的0day漏洞,“有没有搞错,真的比以前多?”原因何在?

  2013年发现14个0day漏洞,2014年发现25个0day漏洞,2015年7月为止已经发现15个0day漏洞。安全圈内某些很厉害的“好孩子”黑客表示,被发现的0day漏洞会越来越多。企业服务器漏洞、学校系统漏洞、游戏外挂漏洞……漏洞真的很多、很多,而当被发现的漏洞反馈给相关企业、学校、游戏厂商人员时,大多被忽视、被推卸。漏洞被发现了不可怕,但不被重视、不被及时封堵、不建立相关防护机制才是最可怕的。而这也促使某些本来仅仅是喜欢研究网络安全技术的“好孩子”,变成了真正的骇客。

  还记得近期曝出的HackingTeam遭遇攻击400G资料泄漏事件么?“这些资料使得地下骇客们的技术前进了3年。”曾几何时,对犯罪嫌疑人进行监控,需要在室外电话线上外挂线路才能实现监听。而今不用那么复杂了,借助0day漏洞,通过在智能手机上做些“小小的手脚”植入RCS,就可以轻松实现对一个人全部日常行动的监控。之所以会如此,仅仅是由于这个“人”用智能手机浏览了某个特殊的网页。Hacking Team正在做的就是这类事情,当然他们做的更大一些。

  Stuxnet让人们知道:“原来真有这种事”——来自某知名黑客对伊朗核设施攻击事件的评论。

  能够奢侈的用4个0day发起攻击,不会是普通的地下黑色产业链集团里的骇客,只有国家级网络攻击才会如此“奢华”。Hacking Team所暴露出来的资料,再次确认数字军火的发展正在失去平衡。许多国外政府已经花费数百万美元从Hacking Team购买了N多0day漏洞,用来做什么?这个问题就不需要回答了吧。

  原厂对于黑客帮助其发现0day漏洞的奖金,与地下黑色产业链甚至Hacking Team这类企业对于0day漏洞的高价收购,造就了不对称的产业价值、不对称的安全意识,正是因此使得0day越来越多。

  好在有些企业已经将对漏洞发现者的奖励从一件T恤增加到了数百万美元的奖金。美国政府也在开出大笔奖金寻求安全研究人员、白帽子黑客等帮助其解决各类网络安全问题。

  金钱并不一定就能彻底解决安全漏洞问题,但恰当的漏洞发现奖金等激励机制的建立,能够减少0day漏洞被恶意利用,这样不仅能从根源上就解决安全问题,还是对用户最为负责任的举措。

安全秘密 : 黑客揭秘失衡的数字军火发展

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");